自磁芯大战以来，病毒从dos时代的病毒发展到windos系统的病毒，从变形、加密到智能化现在的病毒是让人防不胜防，现在网络上病毒大肆泛滥，给人们带来的很大的危害，本人在此仅做抛砖引玉，介绍病毒的原理，希望大家共同研究交流。（本文参考了网络上的部分文章，并引用了部分内容。）
要学dos下的病毒，首先你必须要学会或掌握汇编语言。dos下病毒一般分为引导型病毒、文件型病毒、混合型病毒等。大部分病毒是感染com和exe文件，因此你必须了解com文件和exe文件结构。
一 .com文件结构及原理
.com 文件比较简单，.com文件包含程序的一个绝对映象―――就是说,为了运行程序准确的处理器指令和内存中的数据，ms-dos通过直接把该映象从文件拷贝到内存而加载.com程序，它不作任何改变。为加载一个.com程序，ms-dos首先试图分配内存,因为.com程序必须位于一个64k的段中，所以.com文件的大小不能超过65,024(64k减去用于psp的256字节和用于一个起始堆栈的至少256字节)。如果ms-dos不能为程序、一个psp、一个起始堆栈分配足够内存，qq:9750406则分配尝试失败。否则，ms-dos分配尽可能多的内存(直至所有保留内存)，即使.com程序本身不能大于64k。在试图运行另一个程序或分配另外的内存之前,大部分.com程序释放任何不需要的内存。
分配内存后，ms-dos在该内存的头256字节建立一个psp，如果psp中的第一个fcb含有一个有效驱动器标识符，则置al为00h,否则为0ffh。ms-dos还置ah为00h或0ffh，这依赖于第二个fcb是否含有一个有效驱动器标识符。建造psp后,ms-dos在psp后立即开始(偏移100h)加载.com文件，它置ss,ds和es为psp的段地址，接着创建一个堆栈.为创建一个堆栈，ms-dos置sp为0000h,若已分配了至少64k内存;否则,它置寄存器为比所分配的字节总数大2的值.最后，它把0000h推进栈（这是为了保证与在早期ms-dos版本上设计的程序的兼容性）。ms-dos通过把控制传递偏移100h处的指令而启动程序.程序设计者必须保证.com文件的第一条指令是程序的入口点。注意，因为程序是在偏移100h处加载，因此所有代码和数据偏移也必须相对于100h.汇编语言程序设计者可通过置程序的初值为100h而保证这
一点(例如通过在原程序的开始使用语句org 100h).
二 exe文件结构
　exe 文件比较复杂，每个exe文件都有一个文件头,结构如下：
　　　　　　　exe文件头信息　　　　
　　　　―――――――――――――――――――
　　　　 ├ 偏移量 ┤　　 意义　　　　　 　 　┤
　　　　 ├00h-01h ┤mz‘exe文件标记　　　　 ┤
　　　　 ├2h-03h　┤文件长度除512的余数　 ┤
　　　　 ├04h-05h ┤...............商　 ┤
　　　　 ├06h-07h ┤重定位项的个数　　 　 　┤
　　　　 ├08h-09h ┤文件头除16的商　　 　 ┤
　　　　 ├0ah-0bh ┤程序运行所需最小段数 ┤
　　　　 ├0ch-0dh ┤..............大.... ┤
　　　　 ├oeh-0fh ┤堆栈段的段值 (ss)　 　┤
　　　　 ├10h-11h ┤........sp　　　　　 ┤
　　　　 ├12h-13h ┤文件校验和　　　　　　 ┤
　　　　 ├14h-15h ┤ip　　　　　　　　　　 ┤
　　　　 ├16h-17h ┤cs　　　　　　　　　　 ┤
　　　　 ├18h-19h ┤............　 ┤
　　　　 ├1ah-1bh ┤............　　　 　┤
　　　　 ├1ch　　 ┤............　　　 　　┤　
　―――――――――――――――――――――――――
.exe文件包含一个文件头和一个可重定位程序映象。文件头包含ms-dos用于加载程序的信息，例如程序的大小和寄存器的初始值。文件头还指向一个重定位表，该表包含指向程序映象中可重定位段地址的指针链表。文件头的形式与exeheader结构对应：
exeheader struc
exsignature dw 5a4dh ;.exe标志
exexrabytes dw ? ;最后(部分)页中的字节数

三、引导型病毒原理
了解引导型病毒的原理，首先要了解引导区的结构。软盘只有一个引导区，称为dos boot secter ，只要软盘做了格式化，就会存在。其作用为查找盘上有无io.sys dos.sys,若有则引导，若无则显示‘no system disk...’等信息。硬盘有两个引导区，在0面0道1扇区的称为主引导区，内有主引导程序和分区表，主引导程序查找激活分区，该分区的第一个扇区即为dos boot secter。绝大多数病毒感染硬盘主引导扇区和软盘dos引导扇区。

***3.5”软盘格式***
3.5”软盘是双面的，所以零磁道有正反两面，正面为0-17扇区，
反面是18-35扇区。
0 扇区： boot area (引导扇区)；
1 - 9 扇区： 1st fat area (第一张文件分配表)；
10 - 18 扇区： 2st fat area (第二张文件分配表)；
19 - 32 扇区： root dir area(也叫 file directory table,fdt)
文件目录表(根目录)
33-2879 扇区： data area (数据区)

***硬盘的主引导记录结构***
硬盘的主引导记录结构
偏移　机器码　符号指令　说明
0000　fa　cli　;屏蔽中断
0001　33c0　xor　ax,ax
0003　8ed0　mov　ss,ax　;(ss)=0000h
0005　bc007c　mov　sp,7c00　;(sp)=7c00h
0008　8bf4　mov　si,sp　;(si)=7c00h
000a　50　push　ax

使用int　13h的02功能调用把位于硬盘保留扇区中0道0头1扇区处的硬盘主引导记录读到内存的es:bx处。现在把读出程序代码进行如下分析：

1、移动主引导记录程序
0e74:7c00　33c0　xor　ax,ax　；ax清零
0e74:7c02　8ed0　mov　ss,ax　；ss清零
0e74:7c04　bc007c　mov　sp,7c00　；sp=7c00，堆栈设在0：7c00h
0e74:7c07　fb　sti　；开中断
0e74:7c08　50　push　ax
0e74:7c09　07　pop　es　；es=0
0e74:7c0a　50　push　ax
0e74:7c0b　1f　pop　ds　；ds=0
0e74:7c0c　fc　cld
0e74:7c0d　be1b7c　mov　si,7c1b　；源地址为0：7c1bh
0e74:7c10　bf1b06　mov　di,061b　；目的地址为0：061bh
0e74:7c13　50　push　ax
0e74:7c14　57　push　di
0e74:7c15　b9e501　mov　cx,01e5　；移动01e5字节
0e74:7c18　f3　repz　；将主引导记录从0：7c1b-0：7dff
0e74:7c19　a4　movsb　；移至0：061b-0：07ff
0e74:7c1a　cb　retf　；转移到0：061b，继续执行程序

2、顺序查找四个硬盘分区表，寻找自举标志
0e74:061b　bebe07　mov　si,07be　；si指向硬盘分区表1的自举标志

0e74:061e　b104　mov　cl,04　；查找四个分区
0e74:0620　382c　cmp　[si],ch
0e74:0622　7c09　jl　062d　；如果[si]的第7位为1，即为自
；举标志，转062dh
0e74:0624　7515　jnz　063b　；如果[si]不为0，出错，转063bh
0e74:0626　83c610　add　si,+10　；依次检验四个分区表，直至找到

0e74:0629　e2f5　loop　0620　；自举标志
0e74:062b　cd18　int　18　；找不到自举标志，进入boot异
；常处理程序。
0e74:062d　8b14　mov　dx,[si]　；保存自举驱动器号于dl中
0e74:062f　8bee　mov　bp,si　；保存自举分区地址指针于bp
0e74:0631　83c610　add　si,+10　；继续检验自举分区后的分区

0e74:0639　74f6　jz　0631　

3、出错，写屏幕程序段
0e74:063b　be1007　mov　si,0710　；错误信息输出，死循环
0e74:063e　4e　dec　si
0e74:063f　ac　lodsb
0e74:0640　3c00　cmp　al,00
0e74:0642　74fa　jz　063e
0e74:0644　bb0700　mov　bx,0007
0e74:0647　b40e　mov　ah,0e
0e74:0649　cd10　int　10
0e74:064b　ebf2　jmp　063f

硬盘主引导记录程序的功能是读出自举分区的boot程序，并把控制转移到分区boot程序。整个程序流程如下：
1　将本来读入到0：7c00h处的硬盘主引导记录程序移至0：61bh处；
⑵　顺序读入四个分区表的自举标志，以找出自举分区，若找不到，转而执行int18h的boot异常执行中断程序；
⑶　找到自举分区后，检测该分区的系统标志，若为32位fat表或16位fat表但支持13号中断的扩展功能，就转到执行13号中断的41号功能调用进行安装检验，检验成功，就执行42号扩展读功能调用把boot区程序读入到内存0：7c00h处，成功，跳到第⑸步，若读失败或系统标志为其它，就调用13号中断的读扇区功能调用把boot读到0：7c00h；
⑷　用13号中断的读扇区功能时，用两种方式分别进行5次试读。第一种方式是直接从自举分区的头扇区读入boot程序，若读成功，但结束标志不是55aa，则改用第二种方式，又如果用第一种方式试读五次均不成功，就改用第二种方式。若两种方式试读均失败，就转到出错处理程序；
⑸　读入boot区程序成功，转至0：7c00h处执行boot程序。