2.1.4  程序常驻内存

最早设计DOS操作系统时，PC机的硬件系统只支持1M字节的寻址空间，所以DOS只能直接管理最多1M字节的连续内存空间。在这1M内存中，仅有640K被留给应用程序使用，它们被称为常规内存或基本内存。

在DOS自举完成后，内存的结构如图2-6所示。

图2-6  DOS内存结构

在内存0:413h开始处的两个字节描述了内存中未用内存的高端位置，它的值是KB的倍数。病毒程序首先将自身复制到内存的高端，修改内存容量标志单元0:413H，在原有值的基础上减去病毒长度，使得病毒的int 13h能够常驻内存，并将原int 13h磁盘中断服务程序的中断向量保存，然后将该中断向量置成新的int 13h中断程序入口，即加上一段病毒感染程序，功能是完成当系统对软盘进行读写操作时，如果该软盘尚未感染，则将该病毒写入该软盘，完成一次病毒的传播过程。

回书目   上一节   下一节