结构

病毒基本
病毒基本能力





文件系统
磁盘原理




FAT12
DOS时代,主要用于软盘



55aa结束标志


文件定位













文件删除与恢复




文件创建与分配

FAT16

FAT32


FAT32引导记录









硬盘数据结构
分区






硬盘启动



同时要验证55AA结束标志
DOS病毒


病毒程序在正常程序中头插入或尾插入



简答题:
病毒定义



PE格式


FAT32/12



文件名长度 根目录区 32的引导区有保留区
病毒防范




虚拟机

蠕虫


木马

RVA地址转换
入口点RVA - 节表 - 查找文件起始位置
可造头 - 入口点RVA - 从节表中找到代码节的文件偏移
计算节头到入口点的差值+文件偏移 -》 入口点偏移量
病毒扫描 - 特征码技术
病毒监控 - 程序行为定义 int13h
病毒防范 - 查杀
保护模式-实模式
