?
病毒基本能力
?
?
?
?
?
?
?
?
?
DOS时代,主要用于软盘
?
?
?
55aa结束标志
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
FAT32引导记录
?
?
?
?
?
?
?
?
?
分区
?
?
?
?
?
?
?
?
?
同时要验证55AA结束标志
?
?
病毒程序在正常程序中头插入或尾插入
?
?
?
病毒定义
?
?
?
PE格式
?
?
FAT32/12
?
?
?
文件名长度 根目录区 32的引导区有保留区
病毒防范
?
?
?
?
虚拟机
?
蠕虫
?
?
木马
?
RVA地址转换
入口点RVA - 节表 - 查找文件起始位置
可造头 - 入口点RVA - 从节表中找到代码节的文件偏移
计算节头到入口点的差值+文件偏移 -》 入口点偏移量
病毒扫描 - 特征码技术
病毒监控 - 程序行为定义 int13h
病毒防范 - 查杀
保护模式-实模式
?
原文:https://www.cnblogs.com/tinoryj/p/bing-du-yuan-lifu-xi-zong-jie.html