《计算机病毒的相关DOS基本系统知识》由会员分享,可在线阅读,更多相关《计算机病毒的相关DOS基本系统知识(73页珍藏版)》请在金锄头文库上搜索。
1、主讲:李笑平主讲:李笑平计算机病毒原理及防治北京邮电大学出版社北京邮电大学出版社淮阴工学院计算机工程系 计算机病毒原理及防治计算机病毒原理及防治主讲讲:李笑平u磁盘结构与组织第2章 计算机病毒的相关DOS基本系统知识uDOS的组成、启动及内存分配u中断及其处理过程u.COM文件和.EXT文件结构和其加载过程u一个简单的引导程序淮阴工学院计算机工程系 计算机病毒原理及防治计算机病毒原理及防治主讲讲:李笑平1、软盘结构与组织u 软盘的结构和存储方式 8 磁盘在使用前必须“格式化”,使其制成标准格式 ,使之符合DOS系统的规定。格式化时,以磁盘 中心为原点,把磁盘表面划分成若干同心圆,称 为磁道,3
2、.5英寸的软盘被划分为079共80个磁 道,每个磁道又分了18或9个扇区。每个扇区由4 部分组成:标识号、间隙、数据、间隙。每扇区 可存储512个字节。对双面盘,磁头编号为01 ,磁道编号079,扇区编号118,共有2880 个扇区,共可存储1,474,560B。2.1 2.1 磁盘结构与组织磁盘结构与组织淮阴工学院计算机工程系 计算机病毒原理及防治计算机病毒原理及防治主讲讲:李笑平1、软盘结构与组织u 物理扇区和逻辑扇区 8物理扇区:指某个扇区在磁盘上的绝对位置,由驱动 器号、面号、磁道号、扇区号4个参数组成。 8逻辑扇区:指一张盘片上的所有扇区按扇区的访问顺 序进行统一顺序编号,这个编号就
3、称为逻辑扇区或相 对扇区。 8逻辑扇区与物理扇区的换算公式:2.1 2.1 磁盘结构与组织磁盘结构与组织逻辑扇区号十进制 (道号总面数面号)每道扇区数扇区号系统隐藏扇区数1软盘的逻辑扇区与物理扇区的换算关系:逻辑扇区号十进制(道号2面号)18扇区号1淮阴工学院计算机工程系 计算机病毒原理及防治计算机病毒原理及防治主讲讲:李笑平2.1 2.1 磁盘结构与组织磁盘结构与组织 1、软盘结构与组织 u DOS磁盘组织 1.引导扇区引导扇区位于逻辑0扇区处,由F程序格式 化磁盘时形成。引导扇区的主要功能是完成DOS系统 的启动。由磁盘基本输入输出参数块、磁盘基数表、 引导记录程序3部分组成。 2.文件分
4、配表文件分配表(FAT)从逻辑1扇区开始,它存放每个文件 在磁盘上分布的信息,文件分配表是DOS的一个重要 的数据结构,它可以用来登记文件区中所有磁盘簇号 的分配使用情况,磁盘上有两个完全相同的文件分配 表:FAT1、FAT2,FAT2是FAT1的备份,是为防止 FAT1被破坏而准备的。淮阴工学院计算机工程系 计算机病毒原理及防治计算机病毒原理及防治主讲讲:李笑平2.1 2.1 磁盘结构与组织磁盘结构与组织 1、软盘结构与组织u DOS磁盘组织3.文件目录表文件目录表(FDT)记录根目录下每一个磁盘文件( 或子目录)的文件名、扩展名、生成时间、文件长度 等信息。 4.数据区除上述3个区外,剩下
5、的磁盘空间都用来存储程序和数 据,称为数据区。淮阴工学院计算机工程系 计算机病毒原理及防治计算机病毒原理及防治主讲讲:李笑平2.1.2 硬盘结构及数据组织:硬盘结构u 绝大多数硬盘在结构上都是温彻斯特(Winchester) 盘,其核心就是:磁盘片被密封、固定并且不停高 速旋转,磁头悬浮于盘片上方沿磁盘径向移动,并 且不和盘片接触2.1 2.1 磁盘结构与组织磁盘结构与组织淮阴工学院计算机工程系 计算机病毒原理及防治计算机病毒原理及防治主讲讲:李笑平u 低级格式化与硬盘的基本参数 8 对于一块新硬盘,低级格式化的过程已经由生产 厂家在产品出厂前完成了 8 低级格式化的主要目的是将盘面划分成磁道
6、、扇 区和柱面2.1.2 硬盘结构及数据组织:硬盘结构2.1 2.1 磁盘结构与组织磁盘结构与组织淮阴工学院计算机工程系 计算机病毒原理及防治计算机病毒原理及防治主讲讲:李笑平u 基本INT 13H调用 8 BIOS INT 13H调用是BIOS提供的磁盘基本输入 输出中断调用,它可以完成磁盘(包括硬盘和软盘) 的复位、读写、校验、定位、诊断、格式化等功 能,完全不用考虑被操作硬盘安装的是什么操作 系统 8 它使用的就是CHS寻址方式 8 最大只能访问8GB左右的硬盘2.1.2 硬盘结构及数据组织:硬盘结构2.1 2.1 磁盘结构与组织磁盘结构与组织淮阴工学院计算机工程系 计算机病毒原理及防治
7、计算机病毒原理及防治主讲讲:李笑平u 现代硬盘结构简介 8 改用等密度结构生产硬盘,外圈磁道的扇区比内 圈磁道多 8 硬盘不再具有实际的3D参数 8 寻址方式也改为线性寻址,即以扇区为单位进行 寻址 8 现代大容量硬盘一般采用LBA(Logic Block Address)线性地址来寻址,以替代CHS寻址。在 LBA方式下,系统把所有的物理扇区都按某种方 式或规则看做是一线性编号的扇区,即从0到某个 最大值方式排列,这样,只用一个序数就能确定 一个唯一的物理扇区。这就是线性地址扇区的由 来,显然线性地址是物理扇区的逻辑地址2.1.2 硬盘结构及数据组织:硬盘结构2.1 2.1 磁盘结构与组织磁
8、盘结构与组织淮阴工学院计算机工程系 计算机病毒原理及防治计算机病毒原理及防治主讲讲:李笑平u 扩展INT 13H8 虽然现代硬盘都已经采用了线性寻址,但是由于 基本INT 13H的制约,使用BIOS INT 13H接口的 程序,如DOS等还只能访问8G以内的硬盘空间。 为了打破这一限制,Microsoft等几家公司制定了 扩展INT 13H标准(Extended INT 13H),采用线 性寻址方式存取硬盘,所以突破了8G的限制,而 且还加入了对可拆卸介质(如移动硬盘、优盘)的支 持2.1.2 硬盘结构及数据组织:硬盘结构2.1 2.1 磁盘结构与组织磁盘结构与组织淮阴工学院计算机工程系 计算
9、机病毒原理及防治计算机病毒原理及防治主讲讲:李笑平u分区与高级格式化 8硬盘在使用时,是按照不同的区域存储数据的,硬盘分区 就是划分区域的过程。划分好的每一个区域都称作一个分 区,最多可以划分为四个主分区。这项工作由分区程序来 完成,通常使用FDISK或磁盘管理工具软件 在分区的过程中,分区程序向0柱面0磁头1扇区写入主引导 记录MBR(Master Boot Record)和分区记录表DPT(Disk Partition Table),并建立一个分区表链,向所有的逻辑驱 动器写入链表记录。 硬盘的分区格式常用的分区格式有四种:FAT16、FAT32 、NTFS和Linux,其中使用最多的是F
10、AT16和FAT32 8硬盘分区后还不能直接使用,要在每个分区内建立完整的 存储系统后才能正常使用。建立存储系统的工作一般由 FORMAT程序来完成,这个过程称为高级格式化 高级格式化的目的是在分区内建立分区引导记录DBR(DOS Boot Record)、文件分配表FAT(File Allocation Table)、 文件目录表FDT(File Directory Table)和数据区DATA2.1.2 硬盘结构及数据组织:硬盘结构2.1 2.1 磁盘结构与组织磁盘结构与组织淮阴工学院计算机工程系 计算机病毒原理及防治计算机病毒原理及防治主讲讲:李笑平2.1.2 硬盘的数据结构u主引导扇区
11、的组成 8主引导扇区(Boot Sector)也就是硬盘的第 一个扇区(0柱面0磁头1扇 区) 主引导记录(Master Boot Record,MBR) 主分区表即磁盘分区表 (Disk Partition Table ,DPT) 引导扇区标记(Boot Record ID/Signature) 8完成系统主板BIOS向操 作系统交接的重要入口 主引导扇区结构图2.1 2.1 磁盘结构与组织磁盘结构与组织淮阴工学院计算机工程系 计算机病毒原理及防治计算机病毒原理及防治主讲讲:李笑平2.1.2 硬盘的数据结构u 硬盘主分区表结构简介偏移字节字段长度值字段名和定义 0x01BEBYTE0x80引
12、导指示符号(Boot Indicator) 0x01BFBYTE0x01起始磁头号(Start Head)0x01C0WORD6位0x01起始扇区号(Start Sector) 0x01C110位0x00起始柱面号(Start Cylinder)0x01C2BYTE0x07系统ID(System ID),定义了分区的类型0x01C3BYTE0xFE结束磁头号(End Head) 0x01C4WORD6位0xBF结束扇区号(End Sector) 0x01C510位0xFC结束柱面号(End Cylinder)0x01C6DWORD0x0000003F相对扇区数(Relative Sectors
13、) 0x01CADWORD0x00BB867E总扇区数(Total Sectors),该分区中扇区总数2.1 2.1 磁盘结构与组织磁盘结构与组织淮阴工学院计算机工程系 计算机病毒原理及防治计算机病毒原理及防治主讲讲:李笑平2.1.3 扩展分区与扩展MBR简介u 通过主引导记录定义的硬盘分区表,最多只能描述 4个分区 u 微软采用虚拟MBR的技术 u 用以描述分区的扇区形成一个“分区链”,通过这个 分区链,就可以描述所有的分区2.1 2.1 磁盘结构与组织磁盘结构与组织淮阴工学院计算机工程系 计算机病毒原理及防治计算机病毒原理及防治主讲讲:李笑平2.1.3 扩展分区与扩展MBR简介u 主分区、
14、扩展分区、逻辑驱动器及其关系2.1 2.1 磁盘结构与组织磁盘结构与组织淮阴工学院计算机工程系 计算机病毒原理及防治计算机病毒原理及防治主讲讲:李笑平2.1.3 扩展分区与扩展MBR简介u 扩展分区和逻辑盘2.1 2.1 磁盘结构与组织磁盘结构与组织淮阴工学院计算机工程系 计算机病毒原理及防治计算机病毒原理及防治主讲讲:李笑平2.1.3 扩展分区与扩展MBR简介u 3主分区(其中一个用作扩展)的磁盘结构图2.1 2.1 磁盘结构与组织磁盘结构与组织一 个 3 主 分 区 的 磁 盘 结 构 扩展分区表链接示意图淮阴工学院计算机工程系 计算机病毒原理及防治计算机病毒原理及防治主讲讲:李笑平文件系
15、统简介u当磁盘被格式化之后,文件 系统需要用到一些特殊的区 域来组织它本身的数据: 8主引导记录(Master Boot Record,MBR) 8磁盘分配表(Disk Partition Table,DPT) 8操作系统引导记录(DOS Boot Record,DBR) 8文件分配表(File Allocation Table, FAT) 8文件目录表(File Directory Table,FDT) 8数据区文件系统文件系统淮阴工学院计算机工程系 计算机病毒原理及防治计算机病毒原理及防治主讲讲:李笑平FAT32 DBRu DBR区(DOS Boot Record) 引导扇区文件系统文件系
16、统偏移 字节字段长 度(字节 )字段名对应图 中标记0x003 跳转指令细黑虚 线0x038 厂商标志和 OS版本号细黑实 线0x0B53BPB红粗虚 线0x4026 扩展BPB红粗实 线0x5A420引导程序代 码(没有下 划线)0x01 FE2 有效结束标 志蓝粗(最 粗)虚线淮阴工学院计算机工程系 计算机病毒原理及防治计算机病毒原理及防治主讲讲:李笑平FAT16 DBRu FAT12和FAT16中的DBR与FAT32中的DBR的基 本含义类似,只是相关偏移量和参数意义有小的差 异文件系统文件系统偏移字节字段长度(字节)字段名称0x003跳转指令(Jump Instruction) 0x038OEM ID0x0B25BPB0x2426扩展BPB0x3E448引导程序代码(Bootstrap Code) 0x01FE4扇区结束标识符(0x55AA)淮阴工学院计算机工程系 计算机病毒原理及防治计算机病毒原理及防治主讲讲:李笑平保留扇区 u在FAT文件系统DBR的偏移0x0E处,用2个字节存储保留扇 区的数目。所谓保
