防病毒复习资料.doc

防病毒复习资料.doc计算机病毒组成部分：感染标志、引导模块、感染模块、破坏表现模块。
硬盘数据结构：主引导记录、主分区表和分区链表、分区引导记录、文件配置表、文件 目录表、数据区。
MBR项：主引导记录（MBR）占用主引导山区的前446个字节，存放系统主引导程序
（负责从活动分区中装载并运行系统引导程序）。
DPT项：主引导表（DPT）占用64个字节，记录了磁盘的基本分区信息。主分区表分为 4个分区表项，每项16个字节，分别记录了每个分区的信息，最多可以有4个主分区。
EXE文件头格式：EXE文件由三部分构成：文件头、重定位表和二进制代码
偏移量 内 容
格式化区， 文件头
OOh-Olh MZ EXE文件标记
汝匚匚］文件最后一个扇区（页）字节数
04h-05h 文件的总扇区（页）数
06h-07h 重定位项的个数
08h-09h 文件头大小除16的商
''Oah-^Obh'''程序运行所需最小段数（16字节的倍数） ^Och-^Odh 程序运行所需最大段数（16字节的倍数）
oeh-Ofh 初始化堆栈段（SS初值，相对于载入模块）
_ __10h-llh___初始化堆栈指针（SP初值）
_12h-13h __文件校验和
14h-15h 初始代码段指针（IP初值）
…二;匚…初始代码段段地址（CS初值'相对于载入 模块）
_18h-19h___第一个重定位项的偏移量 lah—lbh 覆盖号
mi二重定位表
PE文件的层次结构
-F-
DOS头
MZ文件头：DOS MZ HEADER
DOS插桩程序：DOS Stub
文件头
PE文件头
PE文件标志：“PE\O\O”
映像文件头：IMAGE_FILE_HEADER
可选映像头：IMAGE_OPTIONAL_HEADER32
数据目录表:IMAGE_DATA_DIRECTORY
节表
(Section Table)
节
(Section)
IMAGE_SECTION_HEADER
IMAGE_SECTION_HEADER
IMAGE_SECTION_HEADER
IMAGE SECTION HEADER
.text
.data
.edata
.reloc
调试信息
COFF行号
C0FF符号表
Code View调试信息
文件尾
病毒分类、状态
分类：
根据病毒破坏的能力可划分为：无害型、无危险型、危险型、非常危险型
>按照计算机病毒的破坏情况又可分为两类：良性病毒、恶性病毒
按计算机病毒特有的算法分为：伴随型病毒、“蠕虫”型病毒、寄生型病毒、练习 型病毒、诡秘型病毒、变形病毒
按计算机病毒按寄生对象分为：引导型病毒、文件型病毒、混合型病毒
>按计算机病毒按是否驻留内存分为：驻留内存型、不驻留内存型
A 按计算机病毒的链接方式分类：源码型病毒、嵌入型病毒、外壳型病毒、操作系统 型病毒
按照计算机病毒的传播媒介分类：单机病毒、网络病毒
（计算机病的产生过程分为：程序设计、传播、潜伏、触发、运行、实施攻击。） 周期：开发期、传染期、潜伏期、发作期、发现期、消化期、消亡期。
发展阶段：萌芽、滋生阶段；综合发展阶段；成熟发展阶段；Internet阶