磁盘文件系统
DOS/WINDOWS系统操作系统中共使用了6种不同的文件系统： FAT12、FAT16、FAT32、NTFS、NTFS5.0、WinFS。LINUX系统使用的 主要是Ext2、Ext3，也能识别FAT16分区。
FAT12：文件名只能是8.3格式；磁盘容量最大8M；文件磁片严重 HAT16:大容量磁盘利用率低；分区创建的越大，造成的浪费越大。 FAT32：文件分配表扩大后，速度减慢；不能向下兼容；当分区 小于512M时，该格式不起作用，单个文件不能超过4G。 NTFS：有出色的安全性和稳定性，且不易产生故善人碎片，对用 户权限有非常严格的限制。但兼容性不好 NTFS5.0：可支持2T的分区，是可恢复的文件系统；支持对分区、 文件夹和文件的压缩以及动态分区。 WinFS:建立在NTFS文件系统之上。请上微软官方网站查看。 Ext2：是LINUX/GUN系统中的标准文件系统。存取文件性能好。 Ext3：是上述系统的下一代，目前离实用阶段还的一段距离。是 一个日志式文件系统。
混客绝情炸弹：2001年由黑龙江17岁的高中学生池某
制造。
什么是计算机病毒
计算机病毒的特点
可执行性 传染性 潜伏性 可触发性 破坏性 攻击主动性 针对性 非授权性 隐蔽性 衍生性 寄生性 不可预见性 欺骗性 持久性
计算机病毒的结构
感染标记：即病毒签名。常以ASCⅡ 方式放在程序里。 破坏模块：实现病毒编写者预定的 破坏动作代码。 触发模块：根据预定条件是否满足， 控制病毒的感染或破坏。 主控模块：包括调用感染模块,进行 感染；调用触发模块，接受其返回 值；根据返回值决定是否执行破坏。
内容 主引导程序代码
分区表1 分区表2 分区表3 分区表4 55AAH主引导记录有效标志
用户可用DEBUG来查看主引导记录。
文件系统是操作系统中借以组织、存储和命名文件的结构。 磁盘或分区和它所包括的文件系统的不同是很重要的，大部分应 用程序都基于文件系统进行操作，在不同种文件系统上是不能工 作的。
计算机病毒原理与防范
胡继荣制作
制
性 况：
1.恶作剧：美国康奈尔大学的莫里斯，编写蠕虫程序肇 事后，被称为电脑奇才，一些公司出高薪争相聘用他。
2.加密陷阱论：巴基斯坦病毒是世界上唯一给出 病毒作者姓名、地址的病毒。由该国一家电脑商 店的两兄弟编写，目的是追踪软件产品的非法用 户。
3.游戏程序起源：1960年美国人约翰康维在编写 生命游戏程序时，萌发了程序自我自制技术。其 程序运行时屏幕上有许多生命元素图案在运动变 化，元素在过于拥挤和稀疏时都会因缺少生存条 件而死亡，只有处于合适环境中的元素才能自我 复制并进行传播。
每一种操作系统要想在硬盘上建立自己的分区，必须由一个
自己特有的实用程序来进行操作。硬盘初始化时，经过分区后建 立一个主引导分区和其他几个分区。见下图：
主引导扇区 保留 DOS引导扇区 FAT区 目录区数据区
系统隐藏分区
DOS分区1
DOS分区2
主引导扇区结构与文件系统
区域 0000H-01BDH 01BFH-01CDH 01CEH-01DDH 01DEH-01EDH 01EEH-01FDH 01FEH-01FFH
VBS脚本病毒的防范
VBS病毒具有一些弱点：
运行是时需要用到一个对象：FileSystemObject 代码通过Windows Script Host来解释执行 运行时需要其关联程序Wscript.exe的支持 通过网页传播的病毒需要ActiveX的支持 通过E-mail传播的病毒需要OE的自动发送邮件功能支持，但绝
获取API 函数地址
1.利用程序的返回 地址,在其附近搜 索Kernel32模块 基地址
2.对相应操作系统 分别给出固定的 Kernel32模块基 地址
感染目标搜索
1.调用API函数进行 文件搜索
2.采用递归与非递归 算法进行搜索
3.内存映射文件
特 洛 伊 木马
概念
一种能够在受害者毫无察觉的情况下渗透到系统的代码
计算机病毒的分类
分类方法有很多。 根据攻击系统分类：攻击DOS型、 攻击WINDOWS型、攻击UNIX型、 攻击OS/2型。 根据攻击机型分：微型计算机病毒、 小型计算机病毒、工作站病毒。 根据病毒链接方式分：源码型、嵌 入型、外壳性、操作系统型。 按破坏情况分:良性病毒、恶性病毒 按传播媒介分:单机病毒、网络病毒
JavaScript是一种解释型的、基于对象的脚本语言，是一种 宽松类型的语言，不必显式地定义变量的数据类型。大多数情况 下，该语言会根据需要自动进行转换。
VBScript使用ActiverX Script与宿主应用程序对话。
VBS脚本病毒
该病毒是用VBScript编写的，其脚本语言功能非常强大， 利用WINDOWS系统的开放性特点，通过调用一些现成的 WINDOWS对象、组件，可直接对文件系统、注册表等进行控 制，功能非常强大。VBS脚本病毒具有如下特点：
脚本语言的前身实际上就是DOS系统下的批处理文件。脚本 的应用是对应用系统的一个强大的支撑，需要一个运行环境。现 在比较流行的脚本语言的Unix/Linux shell、VBScript、PHP、 JavaScript、JSP等。现在流行的脚本病毒大都是利JavaScript 和VBScript编写。
大多数病毒都是以E-mail为主要传播方式的
预防措施：
✓禁用文件系统对象FileSystemObject ✓卸载Windows Script Host ✓删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射 ✓在Windows目录中找到Wscript.exe，更名或删除 ✓在浏览器安全选项中将“ActiveX”控件及插件设为禁用 ✓禁止OE的自动收发邮件功能 ✓不要隐藏系统中书籍文件类型的扩展名 ✓安装防病毒软件
4.政治、经济和军事：一些组织和个人也会编制 一些程序胜于进攻对方电脑，给对方造成灾难或 直接经济损失。
病毒与计算机犯罪
莫里斯事件：1988年11月2日，康奈尔大学计算机科学
系研究生罗但特.莫里斯制造的蠕虫案件。
震荡波事件：2004年德国18岁的技校生为显示自己的
才能,用自己组装的电脑编写了一个名为“震荡波”的程 序。该病毒不是通常意义上的病毒，而是一种以某种程 序语言编写的程序文本。造成了全球巨大经济损失。美 国德尔塔航空公司取消周末全部航班、欧萌委员会1200 台计算机失灵、芬兰一家银行关闭全部营业处。
CIH病毒程序的组成
引导模块：感染了该病毒的EXE文件运行时修改文件程序的入口地址 传染模块：病毒驻留内存过程中调用WINDOWS内核底层 表现模块
脚本病毒
脚本宿主简称WSH，是一种与语言无关的脚本宿主，可用于 与WINDOWS脚本兼容的脚本引擎。WSH是一种WINDOWS管理工具。 当脚本到达计算机时，WSH先充当主机的一部分，它使对象和服 务可用于脚本，并提供一系列脚本执行指南。
CIH病毒的表现形式、危害及传播途径
受感染的EXE文件的文件长度未改变。 DOS及Win3.1格式的或执行文件不受感染，且在WinNT中无效 查找包含EXE特征 “CIHv”过程中显示一大堆符合查找特征的可执行文件 4月26日开机会黑屏、硬盘指示灯闪烁、重新开机时无法启动
CIH病毒的运行机制 碎洞攻击，将病毒化整为零插入到宿主文件中，利用BIOS芯片可重写特点， 发作时向主板BIOS中写入乱码，开创了病毒直接进攻硬件的行先例。
MZ MS-DOS头部 MS-DOS实模式残余程序（DOS stub)
PE\0\0 PE文件标志 PE文件头 PE文件可选头部 节表（section table) 节1 节2 节3 ……
节n
WIN32病毒分析
PE病毒的 重定位技术 我们在编程用常量和变量 时，一般直接用名字访问, 编译后通过偏移地址访问, 而计算机病毒在感染宿主 程序时,要插入到宿主程序 的代码空间,肯定要用到变 量和常量.当病毒感染host 程序后,由于依附到host程 序中的位置不同,病毒随 host载入内存后,病毒的各 变量常量在内存中的位置 自然也随之变化.病毒必须 采用重定位技术才能使自己 正常运行
宏病毒
Microsoft Word对宏的定义是：能组织到一起作为一个独立的 命令使用的一系列Word命令，它能使日常工作变得更容易。Word宏 病毒是一些制作病毒的专业人员利用Micript Word的开放性即Word Basic编程接口，专门制作的一个或多个具有病毒特点的宏的集合。 这种病毒影响计算机使用，并能通过DOC文档模块进行自我复制及 传播。该病毒具有如下特点：
组成 分类 特征
硬件部分
软件部分 具体连接部分
远程控制型 密码发送型
毁坏型FTP型Fra bibliotek键盘记录型 多媒体型
隐蔽性 自动运行性 欺骗性 自动恢复性 功能特殊性
植入方法 软件复制 电子邮件 发送超链接 缓冲区溢出攻击
程序设 无固定 的子流 子流程
程序提供 是一个 动模式 是用户 应的对
CIH病毒剖析
CIH病毒是一种文件型病毒,是第一例感染WINDOWS环境下的 PE格式文件的病毒。目前CIH病毒有多个版本，最流行的是 CIH1.2版本。
间隙、数据区和间隙组成。每个扇区为512B。 索引信号
ID区 间隙 数据区 间隙 ID区 间隙
扇区1 首部 尾部
扇区2
扇区N
容量=碰头数×磁道数/面×扇区数/磁道 ×512B/扇区
……
硬盘的数据组织
磁盘的扇区定位有两种方法：物理扇区与逻辑扇区。硬盘的
物理扇区由驱动器号、磁头号(面号)、柱面号与扇区号四个参数 组成。
运算器
存数
设
备 指令
接 口
控制信号
控制器
磁盘结构
了解磁盘的结构及其数据组织的特点，对于检测和预防计 算机病毒具有十分重要的意义。