这是之前在xl博客上写的计算机病毒原理课程实验二的续。
原理上,文件删除是将目录项的第一字节改为e5(删除文件),并将FAT表中链上每个FAT项还原为0(回收簇)。
该实验目的为验证并试验此原理。
因为完整实验的之前步骤已经在xl博客上实现了,这里就不再赘述,直接从删除文件这个步骤开始:
显而易见在根目录下有MUSIC目录,GAME目录和一个TXT文件,在这里删除这个TXT文件。
然后将软盘弹出并打开考察。
现在考察这个软盘,首先考察FAT表区:
显然ROOTTMP.TXT对应的第8簇已清0。
继续考察根目录区(根目录区的地址已在之前的文章中计算过两次..这里也不再赘述..)
显然该目录项的第一个字节被修改为E5。
最后考察用户数据区:因为第0,1扇区被系统保留但未在用户数据区占用实际储存空间(实验在之前验