计算机病毒的相关DOS基本系统知识.pptVIP

每一个程序都有一个环境段，其中包括环境变量的设置值。环境变量可以用SET命令显示和设置。环境块中环境变量的格式为：NAME=string。每一项后面都以“00H”字节结束。整个列表后面再跟一个字节“00H”，表示环境变量列表的结束。正在执行的程序的文件名也放在环境段中。环境段的值放在PSP: [02CH]中，如图4.5所示。 2.4 .com文件和.exe文件结构和其加载过程 1 .com文件结构 图4.5 COM文件的内存映像和环境段 2.4 .com文件和.exe文件结构和其加载过程 1 .com文件结构 一个DOS下的exe文件可以包含多个段，每个段的长度在64KB内。exe文件中的程序、数据总的大小可以超过64KB。 EXE文件分为两个部分，exe文件头和装入模块。文件头描述整个exe文件的一些信息，在装入过程中由DOS使用。exe文件的格式如图4.6所示。 在执行一个exe文件时，操作系统根据文件头的信息，为其分配内存块、生成环境段、建立PSP，其过程和执行com文件时基本相同。 2.4 .com文件和.exe文件结构和其加载过程 2 .exe文件结构 图4.6 exe文件结构 2.4 .com文件和.exe文件结构和其加载过程 2 .exe文件结构 exe文件中装入模块的内容直接读入到PSP之后的内存。程序段前缀PSP所在的段称为起始段值，其值由操作系统根据动态内存使用情况决定。DS、ES初始化为PSP的段地址，CS、IP和SS、SP根据文件头中相应字段的内容进行赋值，段寄存器CS和SS等于文件头中相应字段的值，再加上PSP的段值（即起始段值）。 2.4 .com文件和.exe文件结构和其加载过程 2 .exe文件结构 对exe文件的装入模块中，如果其中的指令或数据使用了段地址，装入程序还需要进行重定位。通过重定位表，取出每一个重定位项进行处理。重定位项实际上是一个4字节指针，包括段和偏移两个部分，将段加上起始段值得到一个段值，再结合偏移，就可以定位到装入模块的一个字，将这个字的内容加上起始段值，然后开始执行这个exe程序，如图4.7所示。 2.4 .com文件和.exe文件结构和其加载过程 2 .exe文件结构 图4.7 exe内存映像 2.4 .com文件和.exe文件结构和其加载过程 2 .exe文件结构 在文件型病毒中，exe文件曾经是计算机病毒的主要寄生场所。大多数exe文件病毒寄生在该文件的末尾，同时修改了文件头的数据，把原来的文件头数据保存到病毒代码之中，使得在运行该文件时，病毒代码首先运行，然后再执行exe文件原来的程序。 2.4 .com文件和.exe文件结构和其加载过程 2 .exe文件结构 思考题 1. 简述计算机病毒的定义和特征。 2. 计算机病毒有哪些分类方法？根据每种分类方法，试举出一到两个病毒。 3. 传统的计算机病毒按其寄生方式和感染途径分成几类？ 谢 谢！ 石油大学《信息安全》电子教案 2003年7月 * 页 石油大学《信息安全》电子教案 2003年7月 * 页 石油大学《信息安全》电子教案 2003年7月 * 页 石油大学《信息安全》电子教案 2003年7月 * 页 石油大学《信息安全》电子教案 2003年7月 * 页 石油大学《信息安全》电子教案 2003年7月 * 页 石油大学《信息安全》电子教案 2003年7月 * 页 石油大学《信息安全》电子教案 2003年7月 * 页 石油大学《信息安全》电子教案 2003年7月 * 页 石油大学《信息安全》电子教案 2003年7月 * 页 石油大学《信息安全》电子教案 2003年7月 * 页 NTFS文件系统 一个文件通常占用一个文件记录。但当一个文件具有很多项属性值或很零碎的时候，就可能占用一个以上的文件记录。这种情况下，第一个文件记录是其基本的文件记录，存储有该文件需要的其他文件记录的位置。 NTFS的文件夹只是一个简单的文件名和文件引用号的索引，如果目录列表小于一个记录的长度，那么该文件夹的所有信息都存储在主文件表的记录中。对于大于记录长度的文件夹则使用B+树进行管理，并用一个指针指向一个外部簇，该簇用来存储那些MFT内存储不了的文件夹的属性 文件系统 NTFS文件系统 常驻属性与非常驻属性 当一个文件很小时，其所有属性和属性值都可以存放在MFT的文件记录中。当属性值能直接存放在MFT中时，该属性就称为常驻属性(Resident Attribute) 有些属性总是常驻的，这样NTFS才可以确定其他非常驻属性。例如，标准信息属性和根索引就总是常驻属性 小文件和文件夹(典型的如1023字节或更少)将全部存储在文件的MFT记录里 文件系统 NTFS文件系统 如果属性值能直接存