收藏
下载资源

第2章预备知识 计算机病毒与反病毒技术 教学课件

上传人:飞*** 文档编号:48604829 上传时间:2018-07-18 格式:PPT 页数:82 大小:874KB
返回 下载 相关 举报
第2章预备知识 计算机病毒与反病毒技术 教学课件_第1页
第1页 / 共82页
第2章预备知识 计算机病毒与反病毒技术 教学课件_第2页
第2页 / 共82页
第2章预备知识 计算机病毒与反病毒技术 教学课件_第3页
第3页 / 共82页
第2章预备知识 计算机病毒与反病毒技术 教学课件_第4页
第4页 / 共82页
第2章预备知识 计算机病毒与反病毒技术 教学课件_第5页
第5页 / 共82页
点击查看更多>>
资源描述

《第2章预备知识 计算机病毒与反病毒技术 教学课件》由会员分享,可在线阅读,更多相关《第2章预备知识 计算机病毒与反病毒技术 教学课件(82页珍藏版)》请在金锄头文库上搜索。

1、合肥工业大学计算机与信息学院 张仁斌计算机病毒与反病毒技术计算机病毒与反病毒技术计算机病毒与反病毒技术合肥工业业大学计计算机学院 张仁斌 2主要内容u 硬盘结构u 文件系统u 计算机的引导过程u 中断u 内存管理 u EXE文件的格式第第2 2章章 预备知识预备知识计算机病毒与反病毒技术计算机病毒与反病毒技术合肥工业业大学计计算机学院 张仁斌 32.1.1 硬盘的物理结构u 绝大多数硬盘在结构上都是温彻斯特(Winchester) 盘,其核心就是:磁盘片被密封、固定并且不停高 速旋转,磁头悬浮于盘片上方沿磁盘径向移动,并 且不和盘片接触2.1 2.1 硬盘结构简介硬盘结构简介计算机病毒与反病毒

2、技术计算机病毒与反病毒技术合肥工业业大学计计算机学院 张仁斌 42.1.1 硬盘的物理结构u 低级格式化与硬盘的基本参数 8 对于一块新硬盘,低级格式化的过程已经由生产 厂家在产品出厂前完成了 8 低级格式化的主要目的是将盘面划分成磁道、扇 区和柱面2.1 2.1 硬盘结构简介硬盘结构简介计算机病毒与反病毒技术计算机病毒与反病毒技术合肥工业业大学计计算机学院 张仁斌 52.1.1 硬盘的物理结构u 基本INT 13H调用 8 BIOS INT 13H调用是BIOS提供的磁盘基本输入 输出中断调用,它可以完成磁盘(包括硬盘和软盘) 的复位、读写、校验、定位、诊断、格式化等功 能,完全不用考虑被操

3、作硬盘安装的是什么操作 系统 8 它使用的就是CHS寻址方式 8 最大只能访问8GB左右的硬盘2.1 2.1 硬盘结构简介硬盘结构简介计算机病毒与反病毒技术计算机病毒与反病毒技术合肥工业业大学计计算机学院 张仁斌 62.1.1 硬盘的物理结构u 现代硬盘结构简介 8 改用等密度结构生产硬盘,外圈磁道的扇区比内 圈磁道多 8 硬盘不再具有实际的3D参数 8 寻址方式也改为线性寻址,即以扇区为单位进行 寻址 8 现代大容量硬盘一般采用LBA(Logic Block Address)线性地址来寻址,以替代CHS寻址。在 LBA方式下,系统把所有的物理扇区都按某种方 式或规则看做是一线性编号的扇区,即

4、从0到某个 最大值方式排列,这样,只用一个序数就能确定 一个唯一的物理扇区。这就是线性地址扇区的由 来,显然线性地址是物理扇区的逻辑地址2.1 2.1 硬盘结构简介硬盘结构简介计算机病毒与反病毒技术计算机病毒与反病毒技术合肥工业业大学计计算机学院 张仁斌 72.1.1 硬盘的物理结构u 扩展INT 13H8 虽然现代硬盘都已经采用了线性寻址,但是由于 基本INT 13H的制约,使用BIOS INT 13H接口的 程序,如DOS等还只能访问8G以内的硬盘空间。 为了打破这一限制,Microsoft等几家公司制定了 扩展INT 13H标准(Extended INT 13H),采用线 性寻址方式存取

5、硬盘,所以突破了8G的限制,而 且还加入了对可拆卸介质(如移动硬盘、优盘)的支 持2.1 2.1 硬盘结构简介硬盘结构简介计算机病毒与反病毒技术计算机病毒与反病毒技术合肥工业业大学计计算机学院 张仁斌 82.1.1 硬盘的物理结构u分区与高级格式化 8硬盘在使用时,是按照不同的区域存储数据的,硬盘分区 就是划分区域的过程。划分好的每一个区域都称作一个分 区,最多可以划分为四个主分区。这项工作由分区程序来 完成,通常使用FDISK或磁盘管理工具软件 在分区的过程中,分区程序向0柱面0磁头1扇区写入主引导 记录MBR(Master Boot Record)和分区记录表DPT(Disk Partit

6、ion Table),并建立一个分区表链,向所有的逻辑驱 动器写入链表记录。 硬盘的分区格式常用的分区格式有四种:FAT16、FAT32 、NTFS和Linux,其中使用最多的是FAT16和FAT32 8硬盘分区后还不能直接使用,要在每个分区内建立完整的 存储系统后才能正常使用。建立存储系统的工作一般由 FORMAT程序来完成,这个过程称为高级格式化 高级格式化的目的是在分区内建立分区引导记录DBR(DOS Boot Record)、文件分配表FAT(File Allocation Table)、 文件目录表FDT(File Directory Table)和数据区DATA2.1 2.1 硬盘

7、结构简介硬盘结构简介计算机病毒与反病毒技术计算机病毒与反病毒技术合肥工业业大学计计算机学院 张仁斌 92.1.2 硬盘的数据结构u主引导扇区的组成 8主引导扇区(Boot Sector)也就是硬盘的第 一个扇区(0柱面0磁头1扇 区) 主引导记录(Master Boot Record,MBR) 主分区表即磁盘分区表 (Disk Partition Table ,DPT) 引导扇区标记(Boot Record ID/Signature) 8完成系统主板BIOS向操 作系统交接的重要入口2.1 2.1 硬盘结构简介硬盘结构简介主引导扇区结构图计算机病毒与反病毒技术计算机病毒与反病毒技术合肥工业业大

8、学计计算机学院 张仁斌 102.1.2 硬盘的数据结构u 硬盘主分区表结构简介2.1 2.1 硬盘结构简介硬盘结构简介偏移字节字段长度值字段名和定义 0x01BEBYTE0x80引导指示符号(Boot Indicator) 0x01BFBYTE0x01起始磁头号(Start Head)0x01C0WORD6位0x01起始扇区号(Start Sector) 0x01C110位0x00起始柱面号(Start Cylinder)0x01C2BYTE0x07系统ID(System ID),定义了分区的类型0x01C3BYTE0xFE结束磁头号(End Head) 0x01C4WORD6位0xBF结束扇

9、区号(End Sector) 0x01C510位0xFC结束柱面号(End Cylinder)0x01C6DWORD0x0000003F相对扇区数(Relative Sectors) 0x01CADWORD0x00BB867E总扇区数(Total Sectors),该分区中扇区总数计算机病毒与反病毒技术计算机病毒与反病毒技术合肥工业业大学计计算机学院 张仁斌 112.1.3 扩展分区与扩展MBR简介u 通过主引导记录定义的硬盘分区表,最多只能描述 4个分区 u 微软采用虚拟MBR的技术 u 用以描述分区的扇区形成一个“分区链”,通过这个 分区链,就可以描述所有的分区2.1 2.1 硬盘结构简介

10、硬盘结构简介计算机病毒与反病毒技术计算机病毒与反病毒技术合肥工业业大学计计算机学院 张仁斌 122.1.3 扩展分区与扩展MBR简介u 主分区、扩展分区、逻辑驱动器及其关系2.1 2.1 硬盘结构简介硬盘结构简介计算机病毒与反病毒技术计算机病毒与反病毒技术合肥工业业大学计计算机学院 张仁斌 132.1.3 扩展分区与扩展MBR简介u 扩展分区和逻辑盘2.1 2.1 硬盘结构简介硬盘结构简介计算机病毒与反病毒技术计算机病毒与反病毒技术合肥工业业大学计计算机学院 张仁斌 142.1.3 扩展分区与扩展MBR简介u 3主分区(其中一个用作扩展)的磁盘结构图2.1 2.1 硬盘结构简介硬盘结构简介一

11、个 3 主 分 区 的 磁 盘 结 构 扩展分区表链接示意图计算机病毒与反病毒技术计算机病毒与反病毒技术合肥工业业大学计计算机学院 张仁斌 152.2.1 文件系统简介u当磁盘被格式化之后,文件 系统需要用到一些特殊的区 域来组织它本身的数据: 8主引导记录(Master Boot Record,MBR) 8磁盘分配表(Disk Partition Table,DPT) 8操作系统引导记录(DOS Boot Record,DBR) 8文件分配表(File Allocation Table, FAT) 8文件目录表(File Directory Table,FDT) 8数据区2.2 2.2 文件

12、系统文件系统计算机病毒与反病毒技术计算机病毒与反病毒技术合肥工业业大学计计算机学院 张仁斌 162.2.2 FAT32 DBRu DBR区(DOS Boot Record) 引导扇区2.2 2.2 文件系统文件系统偏移 字节字段长 度(字节 )字段名对应图 中标记0x003 跳转指令细黑虚 线0x038 厂商标志和 OS版本号细黑实 线0x0B53BPB红粗虚 线0x4026 扩展BPB红粗实 线0x5A420引导程序代 码(没有下 划线)0x01 FE2 有效结束标 志蓝粗(最 粗)虚线计算机病毒与反病毒技术计算机病毒与反病毒技术合肥工业业大学计计算机学院 张仁斌 172.2.3 FAT16

13、 DBRu FAT12和FAT16中的DBR与FAT32中的DBR的基 本含义类似,只是相关偏移量和参数意义有小的差 异2.2 2.2 文件系统文件系统偏移字节字段长度(字节)字段名称0x003跳转指令(Jump Instruction) 0x038OEM ID0x0B25BPB0x2426扩展BPB0x3E448引导程序代码(Bootstrap Code) 0x01FE4扇区结束标识符(0x55AA)计算机病毒与反病毒技术计算机病毒与反病毒技术合肥工业业大学计计算机学院 张仁斌 182.2.4 保留扇区u在FAT文件系统DBR的偏移0x0E处,用2个字节存储保留扇 区的数目。所谓保留扇区(有

14、时候也称作系统扇区、隐藏扇 区),是指从分区DBR扇区开始的仅为系统所有的扇区,包 括DBR扇区。在FAT16文件系统中,保留扇区的数据通常 设置为1,即仅仅DBR扇区。而在FAT32中,保留扇区的数 据通常取为32 uFAT32中的保留扇区除了磁盘总第0扇区用作DBR,总第2 扇区(Windows 98系统)或总第0xC扇区(Windows 2000/XP)用作OS引导代码扩展部分外,其余扇区都不参与 操作系统管理与磁盘数据管理,通常情况下是没作用的 u操作系统之所以在FAT32中设置保留扇区,是为了对DBR 作备份或留待以后升级时用。FAT32中,DBR偏移0x32占2 字节的数据指明了D

15、BR备份扇区所在,一般为0x06,即第6 扇区。当FAT32分区DBR扇区被破坏导致分区无法访问时 ,可以用第6扇区的原备份替换第0扇区来找回数据2.2 2.2 文件系统文件系统计算机病毒与反病毒技术计算机病毒与反病毒技术合肥工业业大学计计算机学院 张仁斌 192.2.5 FAT16 存储原理u 当把一部分磁盘空间格式化为FAT文件系统时, FAT文件系统就将这个分区当成整块可分配的区域 进行规划,以便于数据的存储 u FAT16是Microsoft较早推出的文件系统,具有高 度兼容性,目前仍然广泛应用于PC机尤其是移动 存储设备中2.2 2.2 文件系统文件系统FAT16的组织形式计算机病毒与反病毒技术计算机病毒与反病毒技术合肥工业业大学计计算机学院 张仁斌 202.2.5 FAT16 存储原理uFAT表记录了磁盘数据文件的存储链表(簇号链表) 8FAT表以“F8 FF FF FF”开头,此4字节为介质描述单元, 并不参与FAT表簇链关系。小红字标出的是FAT扇区每2字 节对应的簇号 8相对偏移0x40x5为第2簇(顺序上第1簇),为“FF FF”, 表示存储在第2簇上的文件/目录是个小文件,只占用1个簇 便结束了2.2 2.2 文件系统文件系统计算机病毒与反病毒技术计算机病毒与

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号