第三章第三章计算机病毒结构分析计算机病毒结构分析
上海交通大学信息安全工程学院上海交通大学信息安全工程学院
刘功申
本章学习目标
了解COM、EXE、NE、PE可执行文件格式
掌握引导型病毒原理及实验
掌握掌握COMCOM文件病毒原理及实验文件病毒原理及实验
掌握PE文件型病毒及实验
信息安全工程学院
总体概念
DOS病毒定格在5000多种
DOS是VXer 的乐园(Aver)
99x病毒病毒riing33, riing00
2K病毒主要是ring3
Windows文件格式变迁:
•• COMCOM
• EXE:MZ->NE->PE
• VVxdd: LE(16BitLE(16Bit, 32Bit)32Bit)
信息安全工程学院
章节主要内容
一、引导型病毒编制原理及实验
二、16位COM可执行文件病毒原理及实验
三三、3232位位PEPE可执行文件病毒原理及实验可执行文件病毒原理及实验
信息安全工程学院
一、引导型病毒编制原理及实验
PC引导流程
CPU\BIOS 引导区、分 发现操作系统
加电 POST 自检
初始化 区表检查 执行引导程序
信息安全工程学院
引导区病毒取得控制权的过程:引导区病毒取得控制权的过程:
11 正常的引导过程正常的引导过程
MBR和分
区表装载 运行DOS 加载IO.sys 加载DOS
引导程序 MSDOS.sys
DOSDOS引导区引导区
22用被感染的软盘启动用被感染的软盘启动
引导型病毒 寻找DOS 将DOS引导 病毒将自己写入
从软盘加载 引导区的 区移动到别的 原DOS引导区
到内存到内存 位置位置 位置位置 的位置的位置
33病毒在启动时获得控制权病毒在启动时获得控制权
MBR和分区表 原DOS引导
将病毒的引导 运行病毒 病毒驻留 程序执行并加
程序加载入内存 引导程序引导程序 内存内存 载载 DOS系统系统
信息安全工程学院
引导区病毒实验
【实验目的】
通过实验,了解引导区病毒的感染对象和感染特征,重
点学习引导病毒的感染机制和恢复感染染毒文件的方法,
提高汇编语言的使用能力提高汇编语言的使用能力。
【实验内容】
本实验需要完成的内容如本实验需要完成的内容如下:
引导阶段病毒由软盘感染硬盘实验。通过触发病毒,观
察病毒发作的现象和步骤学习病毒的感染机制察病毒发作的现象和步骤学习病毒的感染机制;阅读和阅读和
分析病毒的代码。
DO
206
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
