admin管理员组文章数量:1595253
病毒
行为
- 欺骗
- 隐蔽
- 自启动
- 自我复制
- 自我删除
- 传播
- 感染
与反病毒的简单较量
- 显示与隐藏拓展名
- U盘传播
进程与线程
进程是一个具有独立功能的程序关于某个数据集合的一次运行活动,是程序的一次动态执行,它可以申请和拥有系统资源。把进程看成一个容器,程序运行时,首先将程序代码装入容器,然后可继续加入程序执行所需要的变量数据等。
线程是进程中的一个实体,是CPU调度和分派的基本单位,一个进程可以有多个独立运行的线程。进程为线程提供生存空间和所需资源,线程执行任务。
程序一次执行结束,则进程退出,进程产生的所有线程也都被强制退出并清除。
动态链接库(DLL-Dynamic Link Library)
DLL是作为*共享函数库的可执行文件(*PE格式),但它不能独立运行,只能通过其他可运行的程序加载到内存中执行功能。
共享函数库:DLL是一个包含可供多个程序同时使用的代码和数据的库。DLL提供了一种方法,使进程可以调用不属于其可执行代码的函数。
磁盘
结构
磁头
硬盘由很多盘片组成,每个盘片的每个面都有一个读写磁头。如果有N个盘片。就有2N个面,对应2N个磁头(Heads),从0、1、2开始编号。
柱面
每个盘片被划分成若干个同心圆磁道(逻辑上的,是不可见的)每个盘片的划分规则通常是一样的。这样每个盘片的半径均为固定值R的同心圆再逻辑上形成了一个以电机主轴为轴的柱面(Cylinders),从外至里编号为0、1、2……
扇区
每个盘片上的每个磁道又被划分为几十个扇区(Sector),通常的容量是512byte,并按照一定规则编号为1、2、3……
磁头数(Heads) 最大为 255 (0-255,用 8 个二进制存储)
柱面数(Cylinders) 最大为 1023(0-1023,用 10 个二进制存储)
扇区数(Sectors) 最大为 63(1-63,用 6个二进制位存储)
每个扇区一般是 512个字节
MBR分区结构
001
硬盘的第一个扇区(0面0磁道1扇区),这个扇区在硬盘分区的时候产生,用FDISK/MBR可重建标准的主引导记录程序。
主引导扇区(Boot Sector)组成:
- 主引导记录MBR(Main Boot Record)
- 硬盘主分区表DPT(Disk Partition Table)
- 引导扇区标记
在总共512byte的主引导记录中,MBR的引导程序占了其中的前446个字节(偏移0H~偏移1BDH)
随后的64个字节(偏移1BEH~偏移1FDH)为DPT(Disk Partition Table,硬盘分区表)
最后的两个字节“55 AA”(偏移1FEH~偏移1FFH)是分区有效结束标志。
DPT
DPT分区项各字段含义
字节位移 | 字段长度 | 值 | 字段名和定义 |
---|---|---|---|
0x01BE | BYTE | 0x80 | 引导指示符(Boot Indicator)指明该分区是否是活动分区。 |
0x01BF | BYTE | 0x01 | 开始磁头(Starting Head) |
0x01C0 | 6位 | 0x01 | 开始扇区(Starting Sector)只用了0~5位。后面的两位(第6位和第7位)被开始柱面字段所使用 |
0x01C1 | 10位 | 0x00 | 开始柱面(Starting Cylinder) 除了开始扇区字段的最后两位外,还使用了1位来组成该柱面值。开始柱面是一个10位数,最大值为1023 |
0x01C2 | BYTE | 0x07 | 系统ID(System ID)定义了分区的类型 |
0x01C3 | BYTE | 0xFE | 结束磁头(Ending Head) |
0x01C4 | 6位 | 0xFF | 结束扇区(Ending Sector) 只使用了0~5位。最后两位(第6、7位)被结束柱面字段所使用 |
0x01C5 | 10位 | 0x7B | 结束柱面(Ending Cylinder)除了结束扇区字段最后的两位外,还使用了1位,以组成该柱面值。结束柱面是一个10位的数,最大值为1023 |
0x01C6 | DWORD | 0x0000003F | 相对扇区数(Relative Sectors) 从该磁盘的开始到该分区的开始的位移量,以扇区来计算 |
0x01CA | DWORD | 0x00DAA83D | 总扇区数(Total Sectors) 该分区中的扇区总数* |
GPT分区
传统BIOS引导
- 开机
- BIOS初始化
- POST自检
- MBR
- DBR(分区引导扇区)
- BOOTMGR(Boot Manager)
- 读取BCD(或boot.ini)
- 启动系统
UEFI BIOS引导过程
- 开机
- BIOS初始化
- 启动管理器
- 读取BCD
- 启动相应的系统
引导型病毒
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-rm93s8R2-1684891837957)(C:\Users\WenTe\AppData\Roaming\Typora\typora-user-images\image-20230523194211787.png)]
引导型病毒也是先于操作系统的。
如果被感染的磁盘作为系统启动盘使用,在启动系统时,病毒程序即被自动装入内存,从而使现行系统感染上病毒。
引导型病毒依托的环境是BIOS中断服务程序。
PE文件
PE (Portable Executable):可移植的执行体
文件结构
版权声明:本文标题:恶意代码机理与防护笔记 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/xitong/1728224910a1150106.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论