关于MBR病毒的一些调研及分析工作
2017-04-07 10:30
253 查看
MBR简介
系统启动过程(以硬盘启动为例):开机
BIOS加电自检(POST-Power on Self Test),内存地址为0FFF:0000
将硬盘的第一个扇区读入内存地址0000:7C00处
+
MBR是(main boot record,主引导记录)的简称,主要由四个部分组成:
地址范围 | 作用 | 分区格式 |
---|---|---|
0000-0088 | master boot record主引导程序 | 主引导程序 |
0089-01BD | 出错信息数据区 | 数据区 |
01BE-01CD | 分区项1(16字节) | 分区表 |
01CE-01DD | 分区项2(16字节) | |
01DE-01ED | 分区项3(16字节) | |
01EE-01FD | 分区项4(16字节) | |
01FE | 55 | 结束标志 |
01FF | AA |
硬盘分区相关知识:
任何硬盘最多只能分为4个分区。分区表自偏移01BEH处开始,共有64个字节,其中每16个字节为一个分区说明项,具体如下分区结构信息表(偏移量表示)存储字节位 | 内容及含义 |
---|---|
第1字节 | 引导标识,值为80H时表示活动分区,00H时表示非活动分区 |
第2,3,4字节 | 本分区起始:磁头号 - 第2字节;扇区号 - 第3字节低6位;柱面号 - 第3字节高2位+第4字节8位 |
第5字节 | 分区类型:00H - 分区未使用;06H - FAT16基本分区;0BH - FAT32基本分区;05H - 扩展分区;07H - NTFS分区;0FH - (LBA模式)扩展分区;83H - Linux分区 |
第6,7,8字节 | 本分区结束:磁头号 - 第6字节;扇区号 - 第7字节低6位;柱面号 - 第7字节高2位+第8字节8位 |
第9,10,11,12字节 | 本分区之前已用的扇区数 |
第13,14,15,16字节 | 本分区的总扇区数 |
MBR病毒感染的基本思想
MBR病毒感染的基本思想,首先是读取主引导记录并且把分区表从主引导记录中复制出来。然后,MBR病毒把自己的恶意代码二进制数据的主引导记录放到主引导扇区,并复制新的分区表到它。但是,除了分区表需要保留之外,原来操作系统的主引导记录也需要保留下来。因此,MBR病毒复制原系统的主引导记录到其他未使用的64个扇区。等到MBR病毒加载完自己的程序之后再加载原系统的主引导记录并跳到0x7c00处进行开机。相关文章推荐
- 关于MBR病毒的一些调研及分析工作
- 关于辅域控制器夺取主域控制器角色,接替其工作时的一些疑问及回答
- 关于递归的一些分析
- 关于WAMP出现无法启动的一些分析以及解决思路
- 关于腾讯vs360分析的一些补充
- 关于抽象代数(16、17)中一些零散概念间联系的个人分析总结
- 关于对下阶段工作的一些建议10.10
- 关于程序员工作 交接的一些注意事项
- common.inc.php--关于系统中$_REQUEST['GLOBALS']的一些分析
- 关于工作的一些经验
- 关于对border的一些属性的分析
- 分析我关于路由协议的一些技术感想
- 关于人性的一些思考:如何提高员工工作热情与成就感,以及因材施教的心灵培训
- 关于网站策划工作的分析
- 今日工作心得:关于C#读取Excel的一些资料
- 关于双向链表的一些分析
- 关于编码、开发、分析、设计、项目管理的一些随笔
- 一些关于debug和性能分析方面的资料收集
- 一些关于帮助初学者分析dump的链接
- 关于云计算/分布式计算的一些调研和思考