【文章內(nèi)容簡(jiǎn)介】 工作程序 ，以及建立 INT 1FH以前的中斷向量表 。 如果自檢正常 ， 則把系統(tǒng)盤(pán)上存于0面 0道 1扇區(qū)的系統(tǒng)引導(dǎo)記錄讀入內(nèi)存地址 0000:7C00H， 并把控制權(quán)交給引導(dǎo)程序中的第一條指令 。 （ 2） 引導(dǎo)記錄用于檢查系統(tǒng)所規(guī)定的兩個(gè)文件 否按規(guī)定的位置存于啟動(dòng)盤(pán)中 ， 如符合要求就把它們讀入內(nèi)存地址0060:0000H， 否則啟動(dòng)盤(pán)被認(rèn)為不合法 ， 啟動(dòng)失敗 。 （ 3） ， 引導(dǎo)記錄的使命即完成 ，控制權(quán)交給 ， 該程序完成初始化系統(tǒng) 、 定位 。 其主要過(guò)程是： ① 建立新的磁盤(pán)基數(shù)表并修改 INT lEH向量地址指向該磁盤(pán)基數(shù)表 。 ② 初始化異步通信口 R5232和打印機(jī)口 。 ③ 修改 0lH， 03H， 04H和 1BH中斷入口 。 ④ 調(diào)用 INT 11H及 INT l2H確定系統(tǒng)的硬件配置和內(nèi)存 RAM容量 。 ⑤ 將系統(tǒng)初始化程序移到內(nèi)存高端并將 。 ⑥ 控制權(quán)交給 。 DOS的核心部分 ， 它在接受控制以后 ， 也進(jìn)行一系列的初始化工作 ， 這些工作包括：初始化 DOS內(nèi)部表和工作區(qū) 、 初始化 DOS的中斷向量 20H～ 2EH、 建立磁盤(pán)輸入／輸出參數(shù)表以及設(shè)置磁盤(pán)緩沖區(qū)和文件控制塊等 。 完成這些工作以后 ， 繼續(xù)執(zhí)行 。 ⑦ 初始化程序檢查系統(tǒng)盤(pán)上的系統(tǒng)配置程序 ， 如果存在 ，則執(zhí)行該程序 ， 按配置命令建立 DOS的運(yùn)行環(huán)境：設(shè)置磁盤(pán)緩沖區(qū)大小 、能同時(shí)打開(kāi)的句柄文件個(gè)數(shù) 、 加載可安裝的設(shè)備驅(qū)動(dòng)程序等 。 ⑧ 將命令處理程序 ， 并把控制權(quán)交給該程序 。至此 。 （ 4） 命令處理程序在接受控制以后 ， 重新設(shè)置中斷向量 22H、 23H、24H和 27H入口地址 ， 然后檢查系統(tǒng)盤(pán)上是否存在 。若系統(tǒng)盤(pán)上不存在該文件 ， 則顯示日期和時(shí)間等待用戶(hù)輸入 ， 顯示DOS提示符 。 若存在該文件 ， 則程序轉(zhuǎn)入暫駐區(qū) ， 由批處理程序?qū)ζ溥M(jìn)行解釋和執(zhí)行 ， 執(zhí)行完成后顯示 DOS提示符 。 至此 ， DOS的整個(gè)啟動(dòng)過(guò)程全部結(jié)束 ， 系統(tǒng)處于命令接受狀態(tài) 。 系統(tǒng)自檢 冷啟動(dòng) 熱啟動(dòng) A驅(qū)動(dòng)器有盤(pán)否？ 有系統(tǒng)文件么？ 顯示無(wú)系統(tǒng)盤(pán)并提示換盤(pán) 換盤(pán)并按任意鍵 C盤(pán)上有系統(tǒng)文件么？ 裝入系統(tǒng)文件并進(jìn)行系統(tǒng)初始化 進(jìn)入 ROM BASIC 啟動(dòng)盤(pán)上有 ? 啟動(dòng)盤(pán)上有 AUTOEXEC.BAT? 執(zhí)行 顯示 DOS提示符 詢(xún)問(wèn)日期和時(shí)間 執(zhí)行 N Y N Y Y N Y N N 系統(tǒng)加電 Y Ctrl+Alt+Del DOS的啟動(dòng)過(guò)程圖 DOS啟動(dòng)后 ， 內(nèi)存的組織即分配如圖 ， 該圖僅說(shuō)明了 DO S在基本內(nèi)存 （ 640KB） 運(yùn)行時(shí)的內(nèi)存分配狀態(tài) 。 在計(jì)算機(jī)通常的工作方式 （ 實(shí)方式 ） 下 ， 總體上來(lái)說(shuō) ， DOS可以管理的內(nèi)存空間為 1 MB。 此l MByte空間可分為兩大部分 ， 一部分是 RAM區(qū) ， 另一部分則是 ROM區(qū) 。 而 RAM區(qū)又分為系統(tǒng)程序 、 數(shù)據(jù)區(qū)和用戶(hù)程序區(qū)兩部分 。 由于DOS的版本不同 ， DOS系統(tǒng)文件的長(zhǎng)度就不同 ， 從而駐留在內(nèi)存中的系統(tǒng)程序占用的內(nèi)存空間也就不同 ， 這樣用戶(hù)程序區(qū)的段地址就是一個(gè)不確定的值 。 從內(nèi)存絕對(duì)地址 0040:0000H～ 0040:00FFH開(kāi)始存放一些重要的數(shù)據(jù) ，這些數(shù)據(jù)是由 ROM BIOS程序在引導(dǎo)過(guò)程中裝入的 ， 記錄了有關(guān)系統(tǒng)的設(shè)備配置和存儲(chǔ)單元的系統(tǒng)參數(shù) ， 它們是提供給 ROM BIOS例行程序在進(jìn)行設(shè)備操作時(shí)必備的重要數(shù)據(jù) 。 其中地址為 40:13～ 40:14的兩個(gè)字節(jié)存放了以 lKB為單位的內(nèi)存總?cè)萘?（ 含存儲(chǔ)擴(kuò)展板容量 ） ， 例如 640 KB RAM為 280H。 有些病毒程序通過(guò)調(diào)入內(nèi)皴高端并修改40:13～ 40:14內(nèi)存而駐留內(nèi)存；地址為 40:6C～ 40:6F的 4個(gè)字節(jié)為時(shí)鐘數(shù)據(jù)區(qū)；前兩個(gè)字節(jié) （ 40:6C～ 40:6D） 為 0～ 65535之間的一個(gè)數(shù) ， 由8253定時(shí)器每 55 ms調(diào) 1NT 8H使數(shù)值加 1；后兩個(gè)字節(jié) （ 40:6E～ 40:6F）為小時(shí)數(shù) ， 當(dāng)計(jì)數(shù)值滿 65 535時(shí) （ 恰好 1小時(shí) ） ， 小時(shí)數(shù)加 1。 病毒常通過(guò)調(diào)用這一時(shí)鐘數(shù)據(jù)來(lái)檢測(cè)激活的時(shí)機(jī)是否成熟 。 圖 DOS內(nèi)存分布圖 中斷及其處理過(guò)程 1. 中斷的概念 2. 中斷優(yōu)先權(quán) 3. 中斷向量表 4. 中斷處理過(guò)程 5. 與病毒有關(guān)的中斷 1. 中斷的概念 1. 中斷的概念 所謂中斷 ， 是指 CPU對(duì)系統(tǒng)中發(fā)生的無(wú)一定時(shí)序關(guān)系的隨機(jī)事件的響應(yīng) ， 也就是在 CPU工作過(guò)程中 ， 當(dāng)出現(xiàn)某種較為緊急的事件時(shí) ， 令 CPU暫時(shí)停止當(dāng)前的工作 ， 轉(zhuǎn)去執(zhí)行處理此事件的程序 。 該處理程序完成該做的工作后 ， 立即返回?cái)帱c(diǎn) ， CPU繼續(xù)執(zhí)行原程序 。 這個(gè)過(guò)程叫做中斷 。 中斷是 CPU處理外部突發(fā)事件的一個(gè)重要技術(shù)。使用中斷，系統(tǒng)可在分時(shí)處理、實(shí)時(shí)操作、故障處理等方面得到提高。引起中斷的原因或者說(shuō)發(fā)出中斷請(qǐng)求的來(lái)源叫做中斷源。根據(jù)中斷源的不同，可以把中斷分為硬件中斷和軟件中斷兩大類(lèi)，而硬件中斷又可以分為外部中斷和內(nèi)部中斷兩類(lèi)。 2. 中斷優(yōu)先權(quán) CPU為了處理并發(fā)的中斷請(qǐng)求 ， 規(guī)定了中斷的優(yōu)先權(quán) ， 中斷優(yōu)先權(quán)由高到低的順序是： ① 除法錯(cuò) ， INT 0H（ 溢出中斷 ） ， INT nH（ 軟件中斷 ） ； ② 不可屏蔽中斷； ③ 可屏蔽中斷； ④ 單步中斷 。 3. 中斷向量表 為了有效地管理各種中斷，系統(tǒng)初始化之后在內(nèi)存的最低端建立了一張中斷向量表，它占有 0000H到 03FFH的 1K地址空間。該表用來(lái)存放各種中斷程序的入口地址，每一中斷向量的入口地址占有 4個(gè)字節(jié)，高兩字節(jié)存放中斷向量的段地址，低兩字節(jié)存放中斷向量的偏移地址。整個(gè)中斷向量表中可以存放 256個(gè)中斷向量地址，編號(hào)從 00到 255。 4. 中斷處理過(guò)程 首先是中斷源發(fā)出中斷請(qǐng)求 ， 由中斷控制機(jī)構(gòu)把各中斷請(qǐng)求匯集起來(lái) ， 按中斷優(yōu)先級(jí)別排隊(duì) ， 選取一個(gè)級(jí)別最高的中斷請(qǐng)求；而 CPU硬件中 ， 每執(zhí)行完一條指令或開(kāi)始取一條指令前 ， 檢查有無(wú)中斷請(qǐng)求 ， 如出現(xiàn)中斷請(qǐng)求 ，CPU先確定好中斷類(lèi)型 ， 然后進(jìn)行如下幾方面的工作： （ 1） 把狀態(tài)標(biāo)志進(jìn)棧保護(hù)； （ 2） 0→IF（ 即：清除標(biāo)志 IF， 禁止跟蹤 ） ， 0→TF（ 清除標(biāo)志 TF， 禁止中斷 ） ； （ 3） 根據(jù)中斷類(lèi)型號(hào)計(jì)算中斷向量入口地址在向量表中的位移 ， 計(jì)算的方法是：位移＝中斷類(lèi)型號(hào) 4， 由此獲得中斷向量的入口地址 （ 段地址和偏移地址 ） ； （ 4） 保護(hù)斷點(diǎn) ， 把當(dāng)前代碼段寄存器的內(nèi)容進(jìn)棧保護(hù) ， 將中斷向量的段地址送 CS；把當(dāng)前指令指針入棧保護(hù) ， 將中斷向量的偏移地址送 IP， 于是 ，程序就轉(zhuǎn)到了中斷服務(wù)程序； （ 5）進(jìn)入中斷服務(wù)程序之后，一般要保護(hù)現(xiàn)場(chǎng)（寄存器壓棧），然后進(jìn)行中斷服務(wù)，在中斷返回前要恢復(fù)現(xiàn)場(chǎng)（寄存器彈棧），最后用 STI開(kāi)中斷，并用 IRET恢復(fù)斷點(diǎn)處的標(biāo)志寄存器、 CS和 IP的值。 ⑴ INT 8H時(shí)鐘中斷 ⑵ INT 10H顯示器驅(qū)動(dòng)程序 ⑶ INT l3H磁盤(pán) I／ O中斷 ⑷ INT lAH日期 /時(shí)鐘 I/O中斷 ⑸ INT lCH定時(shí)器斷續(xù)中斷 ⑹ INT 20H程序正常結(jié)束中斷和 INT 27H退出且駐留中斷 ⑺ INT 24H標(biāo)準(zhǔn)錯(cuò)誤處理程序入口地址中斷 ⑻ INT 25H、 INT 26H磁盤(pán)邏輯扇區(qū)讀／寫(xiě)中斷 ⑼ INT 21H系統(tǒng)功能調(diào)用 .COM文件和 .EXE文件結(jié)構(gòu)和其加載機(jī)制 ? 文件型病毒專(zhuān)門(mén)入侵可執(zhí)行文件。在 DOS狀態(tài)下，可執(zhí)行文件共有兩種： .COM和 .EXE文件?？蓤?zhí)行文件是計(jì)算機(jī)病毒傳染的主要對(duì)象之一。病毒往往用附加或插入的方式隱藏在可執(zhí)行程序文件中，或者采取分散及多處隱藏的方式，當(dāng)病毒程序潛伏的文件被合法調(diào)用時(shí)，病毒程序也合法進(jìn)入運(yùn)行，并可將分散的程序在其非法占用的存儲(chǔ)空間進(jìn)行裝配，構(gòu)成完整的病毒體后進(jìn)入運(yùn)行狀態(tài)。進(jìn)入運(yùn)行狀態(tài)的病毒再去擴(kuò)散感染其他文件，以致磁盤(pán)所有可執(zhí)行文件均被感染甚至文件被毀壞。 1. 程序段前綴（ PSP） ? 在 DOS狀態(tài)下，當(dāng)輸入一個(gè)可執(zhí)行文件名或在運(yùn)行中的程序中通過(guò) EXEC子功能加載 —個(gè)程序時(shí)， COMMAND確定當(dāng)前內(nèi)存空間的最低端作為被加載程序的段起點(diǎn)，在該處建立 —個(gè)所謂的程序段前綴控制塊，其中存放有關(guān)被加載程序運(yùn)行時(shí)所必需的一些重要信息和其他有關(guān)內(nèi)容，其長(zhǎng)度為 256個(gè)字節(jié)，用來(lái)溝通 DOS﹑ 用戶(hù)程序和命令行之間的聯(lián)系。程序段前綴的一般結(jié)構(gòu)如圖 。 10H 8H 0H 80H 100H 程序中止 INT 20H 內(nèi)存的頂 保留 DOS功能長(zhǎng)調(diào)用（第 5字節(jié)） 結(jié)束地址（ IP﹑CS ） Ctrl+Break引出地址（ IP） Ctrl+Break引出地址（ IP） 標(biāo)準(zhǔn)錯(cuò)誤輸出地址（ IP﹑CS ） DOS系統(tǒng) 2CH 包含有環(huán)境的段地址 使用 5CH 已格式化的參數(shù)區(qū) 已格式化的標(biāo)準(zhǔn)未打開(kāi)文件控制塊 FCB1 6CH 已格式化的參數(shù)區(qū) 已格式化的標(biāo)準(zhǔn)未打開(kāi)文件控制塊 FCB2 （ 若 5 CH處 FCB1已打開(kāi) ， 則覆蓋此處 ） 未格式化的參數(shù)區(qū) 默認(rèn)的磁盤(pán)傳輸區(qū) （ DATA） 程序段前綴PSP的結(jié)構(gòu)圖 程序段前綴主要包括以下幾部分： （ 1） 程序出口 （ 2） 調(diào)用文件的信息 （ 3） 功能調(diào)用代碼 （ 4） 環(huán)境塊段地址 （ 5） 磁盤(pán)傳輸區(qū) 程序段前綴為程序運(yùn)行提供了必要的信息和存放信息的空間 。 2. COM文件的結(jié)構(gòu)及其加載 ? COM文件結(jié)構(gòu)簡(jiǎn)單 ， 磁盤(pán)上對(duì)應(yīng)于該文件的所有信息都是要被加載的對(duì)像 ， 沒(méi)有控制加載信息 。 DOS在加載 .COM文件時(shí) ， 在內(nèi)存當(dāng)前空間的最低端建立一個(gè)相應(yīng)的 PSP， 然后緊靠 PSP的上方將磁盤(pán)上 .COM文件的所有內(nèi)容裝入 ， 并把控制轉(zhuǎn)向 PSP的 100H偏移處 ， 運(yùn)行該文件 。 ? 加載 .COM文件后 ， CPU內(nèi)部寄存器的初始值被固定地設(shè)置成如下?tīng)顟B(tài)： ?4個(gè)段寄存器 CS、 ES、 DS、 SS都指向 PSP的段； ?指令指針 IP的值被設(shè)置指向 0100H； ?堆棧指針寄存器 SP的初始位被設(shè)置成 FFFFH或當(dāng)前可用內(nèi)存字節(jié)數(shù)減 2； ?堆棧的棧頂放入一個(gè)字 0000H， 為 .COM文件以 RET返回 DOS作準(zhǔn)備； ?BX﹑ CX寄存器的內(nèi)容含有 .COM文件的長(zhǎng)度 ， 一般情況下 BX等于 0。 3 .EXE文件的結(jié)構(gòu)及其加載 ? ⑴ .EXE文件的結(jié)構(gòu) ? .EXE文件比較復(fù)雜 ， 它允許代碼 、 數(shù)據(jù) 、 堆棧段分別處于不同的段 ，每一個(gè)段都可以是 64KB。 當(dāng)生成一個(gè) .EXE文件時(shí) ， 存放在磁盤(pán)上的執(zhí)行代碼凡是涉及到段地址的操作數(shù)都尚未確定 ， 在 DOS加載該程序時(shí) ，需要根據(jù)當(dāng)前內(nèi)存空間的起始段值對(duì)每一個(gè)段進(jìn)行重定位 ， 使這些段操作數(shù)具有確定的段地址 。 因此 ， 存放在磁盤(pán)上的 .EXE文件一般都由兩部分內(nèi)容組成：一部分是文件頭；另一部分是裝入模塊 。 ? 文件頭位于 .EXE文件的首部 ， 它包括加載 .EXE文件時(shí)所必需的控制信息和進(jìn)行段重定位的重定位信息表 。 重定位表中含有若干個(gè)重定位項(xiàng) ，每一項(xiàng)對(duì)應(yīng)于裝入模塊中需進(jìn)行段重定位的一個(gè)字 ， 每個(gè)重定位項(xiàng)占有4個(gè)字節(jié) ， 這 4個(gè)字節(jié)表示一個(gè)全地址 （ 段地址和偏移量 ） ， 其中高兩字節(jié)給出某個(gè)需做段重定位字的段值 ， 低兩字節(jié)則給出其偏移量 ， 這里的段值和偏移量 ， 是相對(duì)于程序正文段而言的 。 文件頭通常的長(zhǎng)度是 512字節(jié)的整數(shù)倍 ， 重定位的項(xiàng)數(shù)越多 ， 其占用的字節(jié)數(shù)越多 。 .EXE文件頭的一般結(jié)構(gòu)如表 。 偏移值 （十六進(jìn)制） 字段含義 0～ 1 EXE文件的標(biāo)志： 4DH、 5AH 2～ 3 最后一個(gè)扇區(qū)的字節(jié)數(shù) 4～ 5 包含文件頭在內(nèi)的文件頁(yè)數(shù) （ 以 512字節(jié)為一頁(yè) ） 6～ 7 重定位的項(xiàng)數(shù) 8～ 9 文件頭的節(jié)數(shù) （ 16字節(jié)為一節(jié) ） 0