关于MBR病毒的一些调研及分析工作
来源:互联网 发布:网页三剑客软件下载 编辑:程序博客网 时间:2024/05/02 04:45
MBR简介
系统启动过程(以硬盘启动为例):
- 开机
- BIOS加电自检(POST-Power on Self Test),内存地址为0FFF:0000
- 将硬盘的第一个扇区读入内存地址0000:7C00处 +
MBR是(main boot record,主引导记录)的简称,主要由四个部分组成:
主引导记录MBR从0000H到00D9H结束,共有128个字节;MBR的作用就是检查分区表是否正确以及确定哪个分区为引导分区,并且在程序结束的时候把该分区的启动程序(也就是操作系统的引导扇区)调入内存加以执行。MBR是由分区程序产生的,在不同的操作系统中,这个扇区的内容可能不完全相同。主引导记录比较容易编写,所以针对这块的病毒比较多,如eeye bootroot、Vbootkit、Stoned bootkit、Sinowal等
硬盘分区相关知识:
任何硬盘最多只能分为4个分区。分区表自偏移01BEH处开始,共有64个字节,其中每16个字节为一个分区说明项,具体如下分区结构信息表(偏移量表示)
MBR病毒感染的基本思想
MBR病毒感染的基本思想,首先是读取主引导记录并且把分区表从主引导记录中复制出来。然后,MBR病毒把自己的恶意代码二进制数据的主引导记录放到主引导扇区,并复制新的分区表到它。但是,除了分区表需要保留之外,原来操作系统的主引导记录也需要保留下来。因此,MBR病毒复制原系统的主引导记录到其他未使用的64个扇区。等到MBR病毒加载完自己的程序之后再加载原系统的主引导记录并跳到0x7c00处进行开机。
0 0
- 关于MBR病毒的一些调研及分析工作
- MBR病毒分析
- 关于手写数字识别的一些调研
- MBR病毒
- win2K的MBR分析
- 调试MBR的预备工作
- 关于智能病毒分析系统的设想
- 关于蠕虫病毒传播模式的分析
- 关于Recycle.exe病毒的分析
- 自己调研的一些关于NSRunLoop与NSTimer的知识
- 关于工作的一些总结
- 一些关于工作的感想
- 关于工作的一些总结
- 关于工作的一些帖
- 关于工作的一些感想
- 关于工作的一些展望。
- 关于appium测试框架的调研及使用
- 关于spec2006的调研
- 百度地图点聚合MarkerClusterer,性能优化
- php 杂项函数
- 剑指offer36:数组中的逆序对
- Shell-条件判断
- c++中vector的用法详解
- 关于MBR病毒的一些调研及分析工作
- oracle用户创建及权限设置
- Android Studio使用framework.jar方法
- Construct the Rectangle
- 链表
- Python中的random函数
- 1030. Travel Plan (30)
- 软件版本命名规范
- python中数组的操作