第4章DOS病毒的基本原理与DOS病毒分析1PPT课件

格式：ppt
大小：369.50 KB
文档页数：28

下载文档原格式

DOS病毒

既感染主引导区或引导区，又感染感染文件的病毒被称为混合型病毒。如：“幽灵”病毒（ONEHALF）， Natas病毒等。
DOS引导型病毒分为单纯引导型病毒、文件/引导混合型病毒，该类病毒一般会感染主引导记录和DOS引导记录，将病毒体直接写入对应的扇区内，在BIOS执行完毕，将硬盘引导记录调入内存，并开始引导时，病毒就已经进入内存。一般情况下该类病毒修改INT13的中断服务程序，以达到获取控制权的目的。在发生磁盘IO时，INT13 被调用，病毒就开始传染和发作。严重时此类病毒会将引导记录和分区表同时篡改，造成整个计算机内磁盘数据的丢失，危害极大。
分类和原理
文件型病毒
引导性病毒
DOS病毒的绝大部分是感染DOS可执行文件，如：。EXE，。COM，甚至是。BAT等文件。这类病毒被称为文件型病毒。像“黑色星期五”、“1575"、“卡死脖”病毒（CASPER）等就是文件型病毒。
DOS文件型病毒一般通过将病毒本体链接到可执行文件（。EXE、。COM）上进行保存自身，并在该可执行文件得到执行后，主动或被动的找到其他可执行文件进行感染，复制自身代码，并在适当的时机发作，破坏计算机内的文件。DOS文件型病毒常见的攻击对象有命令解释器command和DOS系统的可执行文件等。例如：在病毒进入内存并得到执行，普通的一个dir /a/s命令可以感染该目录及子目录下的所有可执行文件。
EXE文件结构
EXE文件比较复杂，每个EXE文件都有一个文件头,结构如下： EXE文件头信息 ――――――――――――――――――― ├偏移量 ┤ 意义 ┤ ├00h-01h ┤MZ‘EXE文件标记 ┤ ├2h-03h ┤文件长度除512的余数 ┤ ├04h-05h ┤...............商 ┤ ├06h-07h ┤重定位项的个数 ┤ ├08h-09h ┤文件头除16的商 ┤ ├0ah-0bh ┤程序运行所需最小段数 ┤ ├0ch-0dh ┤..............大.... ┤

软件技术基础_DOS概述及入门PPT教学课件

2020/12/10
14
cd
cd：change directory（改变目录）进入子目录就输入cd＋空格＋子目录名
回上一层目录：cd .. 回到根目录：cd \
如果目录名含有空格，那要记得用引号，如：
cd "\Program Files\ACDSee8"
再次提醒，切换盘符不是用cd，而是直接用C: 或者D:或者E:等等
..表示上一级目录，.表示当前目录，/表示根目录
切换盘符，用C:或者D:或者E:等等
2020/12/10
9
目录、子目录与盘符－3
完整地表达一个子目录应该是盘符加目录，比如 C:\DOS\TEMP；完整地表达一个文件应该是盘符加目录加文件名，比如C:\DOS\TEMP\ME.TXT
仅仅输入可执行文件名时，DOS会在当前目录中寻找该文件，如果找不到，就到系统路径里找，如果还找不到，会提示错误的文件名。如果输入的是可执行文件的全路径名，则系统仅仅搜索指定路径。
17
copy
例如：
copy c:\1.txt d:\test\ 复制c:\1.txt文件到d:的test目录
copy c:\1.txt
复制c:\1.txt文件到当前目录
copy d:\src\*.* e:\ 复制d:\src下所有文件到e:
2020/12/10
18
del
del即delete（删除）例如：
系统路径是系统自动搜索文件的地方，DOS下可以用 path命令修改系统路径，windows下则必须修改环境变量（我的电脑点右键属性高级环境变量）。
2020/12/10
10
相对路径和绝对路径
绝对路径：从根目录写起的路径

超详细DOS入门及常用DOS命令详解PPT课件

这些长后缀名，在纯DOS状态下，都会被截断，只取头三个字母。
所以，当你在纯DOS状态下看到一些奇怪的文件名，你
不用惊奇，也不必恐慌，你如果掌握了以上的知识，再了
解相关的知识后，完全可以了解这些奇怪的文件名源自何
处。如果把它们copy到另一系统上，你也可以基本上复原
回它们原来的状态。
最新课件
22
DOS基本知识：
最新课件
31
DOS基本知识：
DOS知识的掌握； DOS简介； DOS基本知识；
最新课件
10
DOS基本知识：
光标：所谓光标，就是DOS窗口中用来标志输入字符位置的一个符号(或标志，这也就是光标这个词的来源)：
光标
最新课件
11
DOS基本知识：
光标：现在介绍键盘上几个控制光标的按键：
方向键，一般位于键盘的右侧，即四个方向键中的两个。它们的功能是在同一行里，移动光标而不影响已经输入的字符。等光标移动到指定的位置后，就可以在指定的位置插入字符。
这里，“E:\txt\doc>”的意思是：当前盘(分区)为 E盘，当前目录为E盘根目录下的txt子目录的doc 子目录。
最新课件
16
DOS基本知识：
DOS知识的掌握； DOS简介； DOS基本知识；
盘符；光标；目录；当前目录；目录结构；文件名；文件通配符；文件属性1；文件属性2；批处理文件；执行文件。 DOS命令；
??c???.pdf，是文件名第三个字符为c，文件名长度为6 个字符的pdf后缀的文件。演示
最新课件
24
DOS基本知识：
DOS知识的掌握； DOS简介； DOS基本知识；
盘符；光标；目录；当前目录；目录结构；文件名；文件通配符；文件属性1；文件属性2；批处理文件；执行文件。 DOS命令；

DDoS攻击介绍PPT(共24张)

3、目标的带宽
占领傀儡机
1、链路状态好的主机 2、性能不好的主机 3、安全管理水平差的主机
实施攻击
1、向受害主机以高速度发送大量的数据包，导致它死机或是无法响应正常的请求。
2、一般会以远远超出受害方处理能力的速度进行攻击，他们不会"怜香惜玉"。 3、老道的攻击者一边攻击，还会用各种手段来监视攻击的效果，在需要的时候进
DRDoS是通过发送带有受害者IP地址的SYN连接请求包给攻击主机 BGP，然后在根据TCP三次握手的规则，这些攻击主机BGP会向源IP （受害者IP）发出SYN+ACK包来响应这些请求，造成受害者主机忙于处理这些回应而被拒绝服务攻击。
第18页，共24页。
被DDoS攻击(gōngjī)时的现象
8．限制SYN/ICMP流量
用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽，这样，当出现大量的超过所限定的SYN/ICMP流量时，说明不是正常的网络访问，而是有骇客入侵。
第22页，共24页。
DDoS防御(fángyù)的方法：
1．采用高性能的网络设备 2．尽量避免NAT的使用 3．充足的网络带宽保证
能瞬间造成对方电脑死机或者假死，有人曾经测试过，攻击不到1秒钟，电脑就已经死机和假死，鼠标图标不动了，系统发出滴滴滴滴的声音。还有CPU使用率高等现象。
第19页，共24页。
DDoS攻击一般(yībān)步骤：
搜集了解目标的情况
1、被攻击目标主机数目、地址情况 2、目标主机的配置、性能
DNS Flood
第7页，共24页。
攻击与防御技术
DDoS技术(jìshù)篇
8
第8页，共24页。

DDOS攻击防护的基本原理PPT课件

2021
17
• 涉及参数：
– UDP保护触发 – UDP端口保护设置 – DNS Service Protection参数
2021
18
• DNS插件参数：
– 参数1：正常情况的DNS请求频率。低于该值，插件将记录所有的DNS请求源地址
– 参数2：攻击情况的DNS请求频率。高于该值，插件将只放行记录过的源地址
– 参数1：启用的验证模式。此值大于256，表示对所有类型的页面进行验证
• 0, 256：不执行跳转过程 • 1, 257：生成跳转页面，由javascript执行跳转。若客户端没
有开启javascript，可以由用户手动点击 • 2, 258：上一模式的基础上，将验证代码进行表达式变换 • 3, 259：在上一模式的基础上，将javascript执行的跳转，变
– 介于上两个值之间，则只是放行数据，而不做记录
2021
19
流量攻击防御——简单截流
• 对于某些业务无关的协议，可以使用简单截流策略防御攻击：
– ICMP Flood – IGMP Flood – Fragment Flood – NonIP Flood
• 注意：
– IGMP攻击计入NonIP攻击
2021
16
• 我们的防御策略：
– 通过插件检测53端口的UDP数据，剔除非DNS查询的攻击包
– 通过延时提交，强制客户端重传查询，应对某些无法生成重传包的DNS攻击器
– 通过验证TTL，应对某些固定 TTL的DNS攻击器
– 通过重传检测算法，应对某些生成重传包的DNS 攻击器
– 可以通过插件学习正常流量时的访问IP，受到攻击时只放行访问过的IP
2021

DOS攻击与防护 PPT

TCP/IP三次握手
• 服务器发送包含确认值的数据段，其值等于收到的序列值加1 ，并加上其自身的同步序列值。该值比序列号大 1，因为 ACK 总是下一个预期字节或二进制八位数。通过此确认值，客户端可以将响应和上一次发送到服务器的数据段联接起来
TCP/IP三次握手
发送带确认值的客户端响应，其值等于接受的序列值加1
DOS攻击与防护
目录
1 简单探索——DOS的分类和简介 2 知己知彼——DOS攻击详解与防护
3 居家旅行必备——抓包分析
简单探索——DOS分类和简介
• DOS攻击和防护
– DOS攻击在众多的网络攻击技术中是一种简单有效并且具有很大危害性的攻击方法
– 目的特点：
• 通过各种手段消耗网络带宽和系统资源 • 攻击系统缺陷，使正常系统的正常服务陷于瘫痪状态
TCP/IP三次握手
SYN Flood
TCP客户端客户端端口（1034~65535）
SYN
1
2 SYN/ACK
ACK
3
SYN . . .
TCP服务器端
服务器端口（1~1023熟知端
口）
SYN Cookie/SYN Proxy防护
存在的问题
– 代理的性能
– 反向探测量数量=攻击包数量，上行带宽堵死
Server
连接建立数据传输
TCP客户端
1
DATA
ACK
2
发送大量的 ACK 包冲击设备服务器回应 ACK/RST 包，消耗资
源
正常连接ack包承载数据传输，容易误判
带宽阻塞
ACK Flood
TCP服务器端数据
存在的问题 -会话中断1次

《计算机病毒原理及防范技术》第4章DOS病毒解析(精)

• AL=实际写入的扇区数。
4.1 引导型病毒（续）感染的方法
引导型病毒一般的感染方法都是通过引导存储设备进
行的，如软盘。由于软盘可以用来启动系统，所以是这类病毒的最佳选择。病毒会在驻留内存后监视计算机目前使用的磁盘，一旦发现没有感染的磁盘则立即感染
4.1 引导型病毒（续）驻留地点的选择
内存高端，监视着系统的运作。
篡改INT 13H中断，使其指向病毒入口，即主控模块，这一步是任何引导型病毒都必须具有的。检查病毒程序运行和装载情况，如果一切正常就将系统管理权交给正常的引导程序。将引导程序读入至0000:7C00处开始执行。系统正常启动。
病毒实时监视系统，一旦发现未被感染的磁盘就立即感染。
4.1 引导型病毒（续）调用BIOS磁盘中断服务
这个时候BIOS中断是可以使用的，当然，也有病
毒可以在自己内部加上能直接执行的I/O模块，
达到磁盘读、写的目的。
4.1 引导型病毒（续）病毒经常使用的BIOS磁盘服务功能调用：
INT 13H的子功能 02H调用。
• 功能：读扇区。 • 入口参数： • AH=02H； • AL=读入的扇区数； • CH=磁道号； • CL=扇区号（从1开始）； • DH=头号； • DL=物理驱动器号；
4.1 引导型病毒（续）
系统带病毒的引导过程：
前面的自检步骤和没有中毒是完全一样的，直到系统将控制权交给MBR时，由于此时的0磁道0柱面1扇区中已经被病毒程序替代，因此这时进入内存 0000:7C00的是病毒体，并首先执行。病毒程序修改40H:13H处的内容，减少可用基本内存，然后将自己放到
计算机的引导过程：
BIOS自检并准备好硬件环境，然后把系统控制权交给MBR。

2012版04(DoS与DDoS攻击) 网络安全课件

攻击运行原理
DDoS攻击体系结构
攻击运行原理
被DoS/DDoS攻击时的现象
网络中充斥着大量的无用的数据包，源地址为假。
制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯。
受害主机无法及时处理所有正常请求。受害主机响应缓慢，严重时会造成系统死机。
如何组织一次DDoS攻击
1. 搜集了解目标的情况
下列情况是黑客非常关心的情报：
被攻击目标主机数目、地址情况目标主机的配置、性能目标的带宽
如何组织一次DDoS攻击
对于DDoS攻击者来说，攻击互联网上的某个站点，首先要确定到底有多少台主机在支持这个站点，一个大的网站一般有很多台主机利用负载均衡技术提供同一个网站的www服务。
SYN Flood攻击 Smurf攻击 ACK Flood攻击 Connection Flood攻击 HTTP Get攻击 UDP DNS Query Flood攻击
毒包型（Killer Packet）攻击
Teardrop攻击小片段攻击重叠分片攻击重组攻击 Land攻击
当防火墙中代理连接的队列被填满时，防火墙拒绝来自相同区域中所有地址的新SYN片段，避免网络主机遭受不完整的三次握手的攻击。
这种方法在攻击流量较大的时候，连接出现较大的延迟，网络的负载较高，很多情况下反而成为整个网络的瓶颈。
SYN Flood防护策略
防护算法
SYN proxy算法：这种算法对所有的SYN包均主动回应，探测发起SYN包的源IP地址是否真实存在；如果该IP地址真实存在，则该IP会回应防护设备的探测包，从而建立TCP连接；大多数的国内外抗拒绝服务产品采用此类算法。
攻击实例1-- SYN Flood攻击

DOS病毒的原理与分析

DOS病毒的原理与分析【摘要】自Internet问世以来，资源共享和网络安全一直作为一对矛盾体而存在着，计算机网络资源共享的进一步加强随之而来的网络安全问题也日益突出。

但由于计算机网络自身具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、恶意软件和其他不轨的攻击。

网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。

要解决这个问题，就不得不提到正在不断成熟起来的黑客技术，它对网络安全造成了极大的威胁，黑客的主要攻击手段中著名的有Dos 攻击和木马攻击技术。

下文将对Dos进行详细的分析，从了解Dos攻击开始，更加安全的管理好自己的计算机。

【关键词】DOS攻击网络安全，防御策略一、DOS攻击概述1.1 DOS攻击的概念DoS 攻击广义上指任何导致被攻击的服务器不能正常提供服务的攻击方式。

具体而言，DoS 攻击是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务或资源访问, 使目标系统服务系统停止响应甚至崩溃, 而在此攻击中并不包括侵入目标服务器或目标网络设备, 这些服务资源包括网络带宽, 文件系统空间容量, 开放的进程或者允许的连接等, 这种攻击会导致资源的匮乏, 无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果, 拒绝服务攻击会使所有的资源变得非常渺小。

1.2 DOS攻击的分类如果了解了攻击者可以采取的攻击类型，就可以有针对性地应对这些攻击。

而对DOS攻击的分类研究则是深入了解拒绝服务攻击的有效途径。

DOS攻击的分类方法有很多种，从不同的角度可以进行不同的分类，而不同的应用场合需要采用不同的分类。

下面我们介绍几个常用分类：按照攻击方式来分可以分为：资源消耗、服务中止和物理破坏。

资源消耗指攻击者试图消耗目标的合法资源，例如网络带宽、内存和磁盘空间、CPU使用率等。

DDOS攻击方式和原理 ppt课件

11
DDOS攻击原理
SYN洪水攻击
攻击者发送大量的伪造了IP地址的SYN包给服务器，服务器回应(SYN+ACK)包，但是因为对方是假冒IP，对方永远收不到包，所以也就不会回应ACK包，这样的话，服务器不知道(SYN+ACK)是否发送成功。导致被攻击服务器保持大量SYN_RECV状态的“半连接”，默认情况下会重试5次。于是大量的半连接状态塞满TCP等待连接队列，资源耗尽（CPU满负荷或内存不足），让正常的业务请求连接不进来。造成了拒绝服务攻击的目的。
消耗应用资源的分布式拒绝服务攻击就是通过向应用提交大量消耗资源的请求，从而达到拒绝服务攻击的目的由于DNS和web应用的广泛，以及其在互联网上的重要性，成为了消耗应用资源攻击的主要攻击目标。
15
DDOS攻击原理
DNS QUERY洪水攻击
攻击者向被攻击的服务器发送大量的域名解析请求，通常请求解析的域名是随机生成或者是网络世界上根本不存在的域名，被攻击的DNS服务器在接收到域名解析请求的在服务器上查找不到，并且该域名无法直接由服务器解析的时候，DNS服务器会向其上层DNS服务器递归查询域名信息。域名解析的过程给服务器带来了很大的负载，每秒钟域名解析请求超过一定的数量就会造成 DNS域名服务解析域名超时。
18
end
谢谢!
19
16
DDOS攻击原理
HTTP洪水攻击
超文本传输协议（HTTP)是互联网上应用最为广泛的一种网络协议。Web服务通常使用HTTP进行请求和响应数据的传输。
HTTP洪水攻击，也被称之为CC攻击。攻击者利用大量的受控主机不断向Web服务器发送大量HTTP请求，那么Web服务器要处理这些请求就会完全占用服务器资源，造成其他正常用户访问Web服务的请求无法处理，造成拒绝服务攻击。

【2021】协议漏洞DOS原理ppt.完整资料PPT

泪珠攻击的原理
泪珠攻击(Tear Drop):利用IP数据包分片重组时候，数据重叠，操作系统不能恰当处理，而引起的系统性能下降的攻击行为。
防御：更新操作系统协议栈。
泪珠攻击示意图
正常分片报文
第一片报文
IP头
第二片报文
IP头
组合后报文
IP头
泪珠攻击分片报文
第一片报文
IP头
第二片报文
IP头
组合后报文
拒绝服务攻击的定义
拒绝服务攻击：Denial of Service（DoS），能导致服务器不能正常提供服务的攻击，都可以称为DoS攻击。
分布式拒绝服务攻击：Distributed Denial of Service（DDoS）指借助于客户/服务器模式，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。
防御：更新操作系统协议栈。拒绝服务攻击：Denial of Service（DoS），能导致服务器不能正常提供服务的攻击，都可以称为DoS攻击。
ICMP洪水攻击
向目标主机长时间、连续、大量的ping包，来减慢主机的响应速度和阻塞目标网络。
防御：对防火墙进行配置，阻断icmp协议的 ECHO报文。
IP头
UDP头数据A UDP头数据B UDP头数据A
偏移量=0 偏移量=1460
数据B
UDP头
数据Aቤተ መጻሕፍቲ ባይዱ
UDP头数据B
UDP头数据A 数据B
偏移量=0 偏移量=980
Smurf 攻击原理
ICMP请求攻击者伪造Ping包的源IP：
ICMP应答包被攻击者
Smurf 攻击的防御

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

病毒任务完成，将原引导区调入 0:7C00执行
原引导扇
系统正常引导
区的内容要保护好
引导型病毒基本原理
病毒 13H中断入口
否在读写软盘?
病毒被激活之后，即可根据感染条件实施暗地感染、根据爆发破坏条件破坏系统并表现自己
引导型病毒 INT 13H
调用BIOS磁盘服务功能读写扇区
调用INT 13H子功能02H读扇区调用INT 13H子功能03H写扇区
引导型病毒
调用BIOS磁盘服务功能读写扇区
A:\>debug
-a100
13AD:0100 mov ax,0201
读到内存 0:7C00处
常规内存大小
控制权转到主引导程序
(病毒 )
将 0:413单元的值减少 1K(或 nK)
计算可用内存高端地址，将病毒移到高端继续执行
INT 13H 中断功能
对磁盘扇区的读写
修改 INT 13H地址，指向病毒传染段，将原 INT 13H地址保存在某一单元
13AD:010C int 13
//执行命令
13AD:010E int 3 13AD:010E
//终止命令
Int 13H 需要的参数有哪些？
-g=100
//执行100开始的命令，遇到int 3会自动终止
-d 600
//查看扇区内容，一共512字节
引导型病毒
引导型病毒样例分析
该引导型病毒，通过截流盗取INT 13H中断监视系统的运行并感染软盘引导扇区、硬盘主引导扇区
物理位置
引导型病毒
引导型病毒的思想
引导型病毒是一种在ROM BIOS之后，系统引导时出现的病毒，它先于操作系统，依托的环境是 BIOS中断服务程序。
引导型病毒是利用操作系统的引导模块放在某个固定的位置，并且控制权的转交方式是以物理位置为依据，而不是以操作系统引导区的内容为依据。
因而病毒占据该物理位置即可获得控制权，而将真正的引导区内容搬家转移或替换，待病毒程序执行后，将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中并伺机传染、发作。
;这时eax中存放着var1在内存中的真实地址
如果病毒程序中有一个变量var1，那么该变量实际在内存中的地址应该是ebp＋(offset var1－offset delta)，即参考量delta在内存中的地址＋其它变量与参考量之间的距离= 其它变量在内存中的真正地址
有时候我们也采用(ebp－offset delta)＋offset var1的形式进行变量var1的重定位
引导型病毒计算机启动过程
BIOS将启动盘的主引导记录(位于0柱面、0磁道、 1扇区)读入7C00处，然后将控制权交给主引导代码。主引导代码的任务包括：
扫描分区表，找到一个激活(可引导)分区；找到激活分区的起始扇区；将激活分区的引导扇区装载到内存7C00处；将控制权交给引导扇区代码；
引导型病毒
引导型病毒的触发
引导型病毒的触发
用染毒盘启动计算机时，引导型病毒先于操作系统获取系统控制权(被首次激活)，处于动态
因首次激活时修改INT 13H入口地址使其指向病毒中断服务程序，从而处于可激活态
当系统/用户进行磁盘读写时调用INT 13H，调用的实际上是病毒的中断服务程序，从而激活病毒，使病毒处于激活态
感染前在相应扇区备份引导扇区/主引导扇区通过分析MBR或DBR，或将其与正常的MBR/DBR
进行比较，若发现异常，可以断定感染了引导型病毒
病毒修改中断向量，通过分析比较中断向量，也可发现病毒的存在
引导型病毒
引导型病毒的基本原理
带毒硬盘引导
BIOS将硬盘主引导区
0:413存放
引导型病毒
引导型病毒的主要特点
引导型病毒是在操作系统之前进入内存，寄生对象又相对固定，因此该类型病毒基本上不得不采用减少操作系统所掌管的内存容量方法来驻留内存高端。而正常的系统引导过程一般是不减少系统内存的。
引导型病毒需要把病毒传染给软盘，一般是通过修改INT 13H的中断向量，而新INT 13H中断向量段址必定指向内存高端的病毒程序。
DOS病毒的基本原理与DOS病毒分析
主要内容
病毒重定位的含义与基本方法引导型病毒的基本原理文件型病毒的基本原理感染COM文件的基本方法及COM文件病毒的清除感染EXE文件的基本方法及EXE文件病毒的清除
病毒的重定位
病毒为什么需要重定位
病毒不可避免也要用到变量(常量)，当病毒感染
病毒在感染前的Var2位置 Nhomakorabea病毒感染HOST后Var2的位置
4.1 病毒的重定位
4.1.2 病毒如何重定位
call delta ;这条语句执行之后，堆栈顶端为delta在内存中的真正地址 delta:pop ebp ;这条语句将delta在内存中的真正地址存放在ebp寄存器中
…… lea eax,[ebp+(offset var1-offset delta)]
//02->读取 01->1个扇区
13AD:0103 mov bx,0600
//读到内存13AD:0600的位置 ES:BX->数据缓冲区
13AD:0106 mov cx,0001
//从第一个扇区开始读取;CH:柱面号低8位;CL:低6位扇区号
13AD:0109 mov dx,0080
//DH磁头号；DL:物理驱动器号-从硬盘读取
HOST程序后，由于其依附到不同HOST程序中的
位置各有不同，病毒随着HOST载入内存后，病毒
中的各个变量(常量)在内存中的位置自然也会随着
发生变化
00400000
004010xx
HOST
00400000
004010xx
变量Var2 VIRUS
变量 Var2的实际位置
变量 Var2 VIRUS
引导型病毒感染硬盘时，必定驻留硬盘的主引导扇区或引导扇区，并且只驻留一次，因此引导型病毒一般都是在软盘启动过程中把病毒传染给硬盘的。而正常的引导过程一般是不对硬盘主引导区或引导区进行写盘操作的。
引导型病毒的寄生对象相对固定，把当前的系统主引导扇区和引导扇区与干净的主引导扇区和引导扇区进行比较，如果内容不一致，可认定系统引导区异常。