概述
MBR简介
系统启动过程(以硬盘启动为例):
- 开机
- BIOS加电自检(POST-Power on Self Test),内存地址为0FFF:0000
- 将硬盘的第一个扇区读入内存地址0000:7C00处
- +
MBR是(main boot record,主引导记录)的简称,主要由四个部分组成:
| 地址范围 | 作用 | 分区格式 |
|---|---|---|
| 0000-0088 | master boot record主引导程序 | 主引导程序 |
| 0089-01BD | 出错信息数据区 | 数据区 |
| 01BE-01CD | 分区项1(16字节) | 分区表 |
| 01CE-01DD | 分区项2(16字节) | |
| 01DE-01ED | 分区项3(16字节) | |
| 01EE-01FD | 分区项4(16字节) | |
| 01FE | 55 | 结束标志 |
| 01FF | AA |
主引导记录MBR从0000H到00D9H结束,共有128个字节;MBR的作用就是检查分区表是否正确以及确定哪个分区为引导分区,并且在程序结束的时候把该分区的启动程序(也就是操作系统的引导扇区)调入内存加以执行。MBR是由分区程序产生的,在不同的操作系统中,这个扇区的内容可能不完全相同。主引导记录比较容易编写,所以针对这块的病毒比较多,如eeye bootroot、Vbootkit、Stoned bootkit、Sinowal等
硬盘分区相关知识:
任何硬盘最多只能分为4个分区。分区表自偏移01BEH处开始,共有64个字节,其中每16个字节为一个分区说明项,具体如下分区结构信息表(偏移量表示)
| 存储字节位 | 内容及含义 |
|---|---|
| 第1字节 | 引导标识,值为80H时表示活动分区,00H时表示非活动分区 |
| 第2,3,4字节 | 本分区起始:磁头号 - 第2字节;扇区号 - 第3字节低6位;柱面号 - 第3字节高2位+第4字节8位 |
| 第5字节 | 分区类型:00H - 分区未使用;06H - FAT16基本分区;0BH - FAT32基本分区;05H - 扩展分区;07H - NTFS分区;0FH - (LBA模式)扩展分区;83H - Linux分区 |
| 第6,7,8字节 | 本分区结束:磁头号 - 第6字节;扇区号 - 第7字节低6位;柱面号 - 第7字节高2位+第8字节8位 |
| 第9,10,11,12字节 | 本分区之前已用的扇区数 |
| 第13,14,15,16字节 | 本分区的总扇区数 |
MBR病毒感染的基本思想
MBR病毒感染的基本思想,首先是读取主引导记录并且把分区表从主引导记录中复制出来。然后,MBR病毒把自己的恶意代码二进制数据的主引导记录放到主引导扇区,并复制新的分区表到它。但是,除了分区表需要保留之外,原来操作系统的主引导记录也需要保留下来。因此,MBR病毒复制原系统的主引导记录到其他未使用的64个扇区。等到MBR病毒加载完自己的程序之后再加载原系统的主引导记录并跳到0x7c00处进行开机。
最后
以上就是饱满大白为你收集整理的关于MBR病毒的一些调研及分析工作的全部内容,希望文章能够帮你解决关于MBR病毒的一些调研及分析工作所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复