第一篇 基础篇 3
第0章 技术要领 3
0.1 识别计算机病毒 3
0.2 读者必备的基础知识 4
0.3 IBMPC中断 5
0.4 解剖病毒的工具 12
0.5 解剖计算机病毒的方法 14
第一章 DOS的启动原理 24
1.1 IBMPC的启动程序 24
1.2 BOOT扇区的观察 25
1.3 BOOT程序的剖析 28
1.4 硬盘的启动 34
1.5 心得与检讨 38
第二篇 剖析篇 51
第二章 启动型病毒剖析(一) 51
2.1 DiskKiller简介 51
2.2 DiskKiller的启动 51
2.3 DiskKiller的核心:ISRs 55
5.5 病毒的欺骗伎俩 1 74
5.4 覆盖型病毒 1 74
2.4 DiskKiller的遗传 75
2.5 检讨 77
2.6 取自硬盘的完整样本 80
6.4 COM文件与.EXE文件的比较 1 90
第三章 启动型病毒剖析(二) 103
3.1 Stone的启动 103
3.2 Stone如何感染硬盘 105
3.3 Stone如何感染软盘 107
3.4 检讨 109
第四章 文件型病毒剖析 112
4.1 13号星期五(sUMsDos)简介 112
4.2 从.COM文件启动 112
4.3 sUMsDos中断服务程序 124
4.4 sUMsDos如何感染程序文件 137
4.5 从.EXE文件中启动 142
4.6 检讨 146
4.7 sUMsDos原始文件清单 149
5.1 复合型病毒 165
第五章 病毒的其它伎俩 165
5.2 创造软盘空间的病毒 172
5.3 不驻留的病毒 172
第三篇 参考篇 189
第六章 有用的系统数据表 189
6.1 AT硬盘参数 189
6.2 PSP的结构 189
6.3 EXE文件的结构 190
6.5 DOS4.0BPB的结构 191
6.6 PartitionTable 191
6.7 BIOS信息区 192
7.2 INT8 195
7.1 INT3 195
第七章 被病毒用到的中断 195
7.3 INT9 196
7.4 INT10H 196
7.5 INT12H 200
7.6 INT13H磁盘I/O服务程序组 201
7.7 INT16H键盘服务程序组 204
7.8 INT18H 205
7.9 INT19H 205
7.10 INT1CH 206
7.11 INT1EH 206
7.12 INT21H 206
7.13 INT24H 206
7.14 INT60H~7FH 206
7.15 INT80H~85H 207
第八章 病毒用到的DOS功能调用 208