计算机病毒原理与防治技术
1.MBR:主引导分区记录,位置位于0柱面0磁道1扇区大小为512字节。作用:1)定位活动分区;2)复制引导代码
划分:1)硬盘引导代码,占前446字节;2)DPT占46字节;3)结束标志55AA占2字节。
2.DPT的概念以及阅读?
DPT:主分区表,定义了4个分区表项,16个字节为一个分区表项,在01beh到01fdh的位置。基本分区:安装操作系统的分区 ;
活动分区:当前启动的操作系统所在的分区;扩展分区:非操作系统分区;硬盘分区:包括基本分区和扩展分区。
3.Windows启动过程以winXp为例:1)预引导;2)引导;3)载入内核;4)初始化内核;5)登陆
预引导:运行POST程序,POST将检测系统的总内存以及其他硬件设备的状况,将磁盘的第一个物理扇区加载到内存,加载
硬盘主引导记录并运行,主引导记录会查找活动分区的起始位置。接着活动分区的引导扇区被加载执行,最后从引导扇区加载
并初始化NTLDR文件。
预引导:1)电源开启自检过程;2)选择启动设备;3)读MBR;4)MBR控制
引导:操作系统引导,在WinXp经历四个阶段:1)初始引导加载器阶段;2)操作系统选择阶段;3)硬件检测阶段;4)配置选择阶段
载入内核阶段:NTLDR首先载入WinXp的内核文件NTOSKRNL.exe,其次载入抽象层
初始化内核:NTLDR将控制权传递给NTOSKRNL.exe,至此引导过程结束,在这一阶段主要完成这四项任务:创建Hardware注册表键、对Control Set注册表键进行修复、载入和初始化设备驱动,以及启动服务。
登陆:用于提供Windows用户的登陆和注销的支持。功能:1)启动服务子系统;2)启动本地安全授权;3)在开始登陆的时候,对Ctrl+Alt+Del组合键进行分析处理;4)一个图形化的识别和认证组件收集用户的账号和密码,然后将这些信息安全地传送给LSA以进行认证处理。