MBR病毒分析

时间:2015-12-27 08:36:02
【文件属性】:

文件名称:MBR病毒分析

文件大小:10KB

文件格式:TXT

更新时间:2015-12-27 08:36:02

MBR病毒分析

MBR病毒分析 一、基础知识 1、 Windows启动过程 系统引导过程主要由以下几个步骤组成(以硬盘启动为例) 1、 开机; 2、 BIOS加电自检(POST---Power On Self Test),内存地址为0fff:0000; 3、 将硬盘第一个扇区(0头0道1扇区,也就是Boot Sector)读入内存地址0000:7c00处; 4、 检查(WORD)0000:7dfe是否等于0xaa55.若不等于则转去尝试其他介质;如果没有其他启动介质,则显示 ”No ROM BASIC” ,然后死机; 5、 跳转到0000:7c00处执行MBR中的程序; 6、 MBR先将自己复制到0000:0600处,然后继续执行; 7、 在主分区表中搜索标志为活动的分区.如果发现没有活动分区或者不止一个活动分区,则停止; 8、 将活动分区的第一个扇区读入内存地址0000:7c00处; 9、 检查(WORD)0000:7dfe是否等于0xaa55,若不等于则显示 “Missing Operating System”,然后停止,或尝试软盘启动; 10、 跳转到0000:7c00处继续执行特定系统的启动程序; 11、 启动系统. 以上步骤中(2),(3),(4),(5)步由BIOS的引导程序完成;(6),(7),(8),(9),(10)步由MBR中的引导程序完成. Windows启动过程主要由以下几个步骤组成,其中vista和win7可一概而论


网友评论

  • 分析一下,发现自己的调试水平很挫啊!