返回
病毒分析与防御考试重点

病毒分析与防御考试重点

ID:28344518

大小:89.54 KB

页数:6页

时间:2018-12-09

病毒分析与防御考试重点_第1页
病毒分析与防御考试重点_第2页
病毒分析与防御考试重点_第3页
病毒分析与防御考试重点_第4页
病毒分析与防御考试重点_第5页
资源描述:

《病毒分析与防御考试重点》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、1.病毒的对抗和检测方式病毒的检测方式:1、特征码扫描(缺点:几乎不能检测新的病毒种类)2、启发式扫描(缺点:误报)3、虚拟机技术4、主动防御技术5、自免疫技术(完整性检查、审计分析)病毒的对抗方式:1、未知病毒查杀技术2、防病毒立体化技术3、流扫描技术4、云安全技术2.硬盘寻址方式,病毒的CHS到线性地址的转换公式(P22)C为当前柱面号,H为当前磁头号,Cs表示起始柱面号,Hs表示起始磁头号,Ss表示起始扇区号,PS表示每磁道有多少个扇区,PH表示每柱面有多少个磁道LBA=(C-Cs)*PH*PS+(H-Hs)*PS+(S-Ss)C=LBA/(PH*PS)+CsH=(LBA/PS)m

2、odPH+HsS=LBAmodPS+Ss注:CHS扇区编号是从1-63,LBA扇区编号是从0开始3.主引导扇区结构,扩展分区的概念作用,主分区的字段表项引导扇区在每个分区里都存在,但是我们常说的*主引导扇区*是硬盘的第一物理扇区。它由两个部分组成:即主引导记录MBR和硬盘分区表DPT。在总共512字节的主引导分区里其中MBR占446个字节(偏移0--偏移1BDH),DPT占64个字节(偏移1BEH--偏移1FDH),最后两个字节“55,AA”(偏移1FEH偏移1FFH)是分区的结束标志。大致的结构如下图:扩展分区的概念,作用主引导记录中的分区表最多只能包含4个分区记录,为了有效地解决这个

3、问题,DOS的分区命令FDISK允许用户创建一个扩展分区,并且在扩展分区内在建立最多23个逻辑分区,其中的每个分区都单独分配一个盘符,可以被计算机作为独立的物理设备使用。关于逻辑分区的信息都被保存在扩展分区内,而主分区和扩展分区的信息被保存在硬盘的MBR内。这也就是说无论硬盘有多少个分区,其主启动记录中只包含主分区(也就是启动分区)和扩展分区两个分区的信息。主分区表的字段表项分区表由四个分区项构成,每一项结构如下:  BYTEState:分区状态,0=未激活,0x80=激活(注意此项);  BYTEStartHead:分区起始磁头号;  WORDStartSC:分区起始扇区和柱面号,底字

4、节的底6位为扇区号,高2位为柱面号的第9,10位,高字节为柱面号的低8位;  BYTEType:分区类型,如0x0B=FAT32,0x83=Linux等,00表示此项未用;  BYTEEndHead:分区结束磁头号;  WORDEndSC:分区结束扇区和柱面号,定义同前;  DWORDRelative:在线性寻址方式下的分区相对扇区地址(对于基本分区即为绝对地址);  DWORDSectors:分区大小(总扇区数)。  在DOS或Windows系统下,基本分区必须以柱面为单位划分(Sectors*Heads个扇区),如对于CHS为764/256/63的硬盘,分区的最小尺寸为256*63*

5、512/1048576=7.875MB.  由于硬盘的第一个扇区已经被引导扇区占用,所以一般来说,硬盘的第一个磁道(0头0道)的其余62个扇区是不会被分区占用的。某些分区软件甚至将第一个柱面全部空出来。1.PE文件节和节表,引入表和引出表【重点】5.病毒重定位技术病毒不可避免也要用到变量,在病毒感染HOST程序后,由于依附到HOST程序中的位置各不相同,因此病毒随着HOST载入内存后,病毒中的各个变量在内存中的位置会随着HOST程序的位置而发生变化,因此,病毒程序需要正常使用变量就需要采用重定位技术。重定位过程的一般步骤:1、用CALL指令跳转到下一条指令,使下一条指令感染后在内存中的实

6、际地址进栈。2、用POP或MOVEXX,[ESP]指令取出栈顶的内存,这样就得到了感染后下一条指令在内存中的实际地址。3、领V_start为感染前call指令的下一条执行的地址,Var_Lable为感染前变量的地址,则感染后该变量Var的实际地址为Base+(OffSetVar_Lable-OffSetV_start)6.Dos下的.com文件的格式和特点.com文件中的程序代码只在一个段内运行,文件长度不超过64k字节,.com文件调入时dos将全部可用内存分配给用户程序,四个寄存器DS数据段、CS代码段、ES附加段、SS堆栈段。全部指向程序段前缀PSP的段地址。PSP程序代码数据堆栈

7、.com文件型病毒比较简单,病毒要感染.com文件一般采用两种方式:一种是将病毒加在COM文件前部,一种是加在文件尾部。7.缓冲区溢出shellcode的特点?Shellcode:能完成特殊任务的自包含的二进制代码,根据不同任务发出系统调用或建立一个高权限的shell,目的是获取目标机器的控制权。Shellcode是作为数据形式发送给服务器,制造溢出得以执行代码并获取控制权。特点:1.长度受限2.不能使用特殊符号,例如xoo,x

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。