学习啦>学习电脑>电脑安全>病毒知识>

电脑病毒结构介绍

晓斌分享

  从鬼影病毒开始,最近利用MBR手法的病毒逐渐普及,而想分析此类病毒,难免需要用到MBR和磁盘引导等基础知识。因此利用休息时间整理了一点东西,希望对想研究或了解该手法的同学有些帮助。以下就是学习啦小编为大家整理到关于电脑病毒结构的相关知识,大家一起来看看吧!!!

  电脑病毒结构介绍知识一:

  计算机病毒是由三个部分构成:感染部分,表现破坏部分,激发部分。

  计算机病毒(Computer Virus)是编制者在计算机程序中插入的破坏计算机功能或者数据的代码,能影响计算机使用,能自我复制的一组计算机指令或者程序代码。

  计算机病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。计算机病毒的生命周期:开发期→传染期→潜伏期→发作期→发现期→消化期→消亡期。

  计算机病毒是一个程序,一段可执行码。就像生物病毒一样,具有自我繁殖、互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力,它们能够快速蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上,当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。从而感染其他程序,对计算机资源进行破坏,所谓的病毒就是人为造成的,对其他用户的危害性很大。

  电脑病毒结构介绍知识二:

  先简单介绍一下硬盘上相关结构:

  1、MBR(主引导记录)

  硬盘第一个物理扇区为MBR,当我们选择从硬盘启动时,由 bois从该扇区读入引导代码。MBR关键数据可分为3部分:

  (1) 引导代码

  (2) 分区表

  (3) 结束标志(55AA)

  分区表用以管理整个磁盘空间的划分。它从MBR的0x1BE偏移开始,有4个表项,每项16个字节,因此最多只能可以建立4个主分区。(微软为了克服这个数量限制,设计了扩展分区的方式,所谓扩展分区就是分区表中指向的一个普通分区而已,只是在它自己分区内部又有特殊的结构,使得我们可以分出多个逻辑分区,我们平时看到的d、e、f等驱动器实际上都是扩展分区内部划分的逻辑分区,你可以用winhex查看你的分区表,会发现里面只有两项,一项代表C盘分区,另外一项就是代表其他所有驱动器之和的扩展分区了,当然如果自己分了其他主分区的情况除外)

  分区表项结构列出如下,以便查阅:

  2、DBR

  每个主分区的第一个扇区存放着另一个引导扇区DBR,“分区引导扇区”或叫“DOS引导扇区”。该扇区的目的就是读入ntldr,以进行进一步分引导。该扇区也是以”55AA”标志结束。

  3、扩展分区

  详细讲一下扩展分区的结构,我们平时能分多个逻辑磁盘出来都是它的功劳。

  前面说了扩展分区内部有着自己特殊的结构以实现多分区,它和普通的主分区一个明显的差别就是它的第一个扇区存放的就不是DBR了,而是一个叫虚拟MBR的扇区。叫虚拟MBR是因为他和MBR结构很像。结构也为3部分:

  (1) 全0

  (2) 分区表

  (3) 55AA

  它没有引导代码,以全0代替。分区表偏移也在0x1BE处,为4项。只是它只会用前两项。后面两项全0。第一项指向一个逻辑驱动器(逻辑分区)比如d盘。第二项指向下一个虚拟MBR(如果还有逻辑分区的话)。如此就形成了一个链,突破了分区个数限制。扩展分区本身没有DBR,它的DBR在它的每个孩子即逻辑分区的第一个扇区。你可以把扩展分区想象成一个独立的硬盘,只是分区的组织方式变成链表了,这样可能好理解点。忘了一点,记得曾经有过硬盘逻辑锁的概念,其原理就是把逻辑分区的链表修改成了一个环,这样在系统遍历这个链表时就死循环了。

  以上文字描述的比较乱,下面给大家整理成一个结构图,以方便理解。图中以硬盘分了2个主分区+一个扩展分区画的。

  windows系统从MBR开始的引导过程简单描述为:MBR->活动分区DBR->Ntldr->boot.ini启动菜单->加载系统。

    388682