思考题
a)
Q:恶意软件如何在系统重启、系统重装、以及硬盘更换之后继续获得控制权?
A:
- 重启:BIOS、MBR、DBR、NTLDR、自启动项(文件病毒)。
- 重装:BIOS、MBR。
- 硬盘更换:BIOS引导。
b)
Q:给出在系统重启时恶意软件可以获得控制权的至少5种启动方式(并实践)。哪些方式不需要系统管理员权限?
A:Bios、MBR、DBR、NTLDR、自启动项。
c)
Q:每个进程可用4GB内存空间,但有的电脑内存才2G!系统如何做到的?
A:虚拟地址转换物理地址
d)
Q:两个进程的可执行程序映像加载地址都是00400000H,但同一地址对应的数据却不一样,为什么?
A:因为是虚拟地址转换成物c理地址,他们的00400000H转换成的物理地址都
不一样(cr3、页目录不一样)
e)
Q:PAE模式下,虚拟地址依然只有32位地址,为何可以寻址64G范围内的物理内存?
- i.内存管理:物理地址扩展(PAE)分页机制https://blog.csdn.net/trochiluses/article/details/12853027
- ii.PAE分页模式详解:https://www.cnblogs.com/ck1020/p/6078214.html
A:分页的方式不同,PAE下,使用32位(2+9+9+12+4个内存目录项)。
f)
Q:如果硬盘分区表被完全破坏,如何重构分区表?
A:根据FAT表,以及数据的分布。
g)
Q:FAT32系统下文件被删除时,系统具体做了哪些修改?
A:(1)回收箱,文件名首字节变为E5
(2)shift+deltete,文件首字节E5,FAT簇号高位归零,FAT簇链归零
h)
Q:数据擦写(安全删除)的原理什么?
A:由于磁盘可以重复使用,前面的数据被后面的数据覆盖后,前面的数据被还原的可能性就大大降低了,随着被
覆盖次数的增多,能够被还原的可能性就趋于 0,但相应的时间支出也就越多。密级要求的高低对应着不同的标
准,低密级要求的就是一次性将磁盘全部覆盖;高密级要求则须进行多次多规则覆盖。覆盖是指使用预先定义的格
式——无意义、无规律的信息来覆盖硬盘上原先存储的数据。
i)
Q:在使用数据恢复软件时,为什么标准格式文件(如doc、jpg等)比非格式文件更容易被恢复?
A:应该是,标准文件每部分都有固定的格式,可以方便恢复簇
j)
Q:在进行数据恢复时,为何有时候恢复出来的大文件只有前半部分是正确的?
A:因为簇链不连续。
k)
Q:恶意代码一定要在文件系统中以文件的方式出现么?它还可以隐藏在哪些区域以躲避被发现和查杀?
A:不一定以文件形式存在。可以隐藏在MBR、bios这些之中。