硬盘主引导程序剖析1

硬盘主引导程序剖析

如果是从硬盘起动,则开机起动时,ROM BIOS程序首先查看把硬盘上0面0道1扇区是以0xAA55结尾，就认为其中存放的为主引导程序并将该扇区内容加载到内存0000:7C00处,
并开始执行它.因此,下面的第一条指令CLI的绝对地址是0000:7C00H
通过修改主引导扇区,可以实现一定的加密效果,若被病毒利用...

偏移 机器码 符号指令 说明
==============================================================================
0000 FA CLI ;屏蔽中断
0001 33C0 XOR AX,AX
0003 8ED0 MOV SS,AX ;(SS)=0000H
0005 BC007C MOV SP,7C00 ;(SP)=7C00H
0008 8BF4 MOV SI,SP ;(SI)=7C00H
000A 50 PUSH AX
000B 07 POP ES ;(ES)=0000H
000C 50 PUSH AX
000D 1F POP DS ;(DS)=0000H
000E FB STI
000F FC CLD
0010 BF0006 MOV DI,0600
0013 B90001 MOV CX,0100 ;共512字节(100H*2=512)
0016 F2 REPNZ ;如果CX != 0,则重复执行下一语句
0017 A5 MOVSW ;主引导程序把自己从0000:7C00处搬到0000:0600处,为Dos分区的引导程序腾出空间
0018 EA1D060000 JMP 0000:061D ;跳到0000:061D处继续执行,实际上就是执行下面的MOV指令(001D偏移处)
001D BEBE07 MOV SI,07BE ;07BE-0600=01BE,01BE是分区表的首址
0020 B304 MOV BL,04 ;分区表最多4项,即最多4个分区
0022 803C80 CMP BYTE PTR [SI],80 ;80H表示活动分区
0025 740E JZ 0035（此处实际应该为0635，即0035+0600，为了方便跟该行数对照，故使用了相对于0600的偏移量，下面也有类似情况，不再另行指出） ;找到活动分区则跳走
0027 803C00 CMP BYTE PTR [SI],00 ;00H为有效分区的标志
002A 751C JNZ 0048 ;既非80H亦非00H则分区表无效
002C 83C610 ADD SI,+10 ;下一个分区表项,每项16字节
002F FECB DEC BL ;循环计数减一
0031 75EF JNZ 0022 ;检查下一个分区表项
0033 CD18 INT 18 ;4个都不能引导则进入ROM Basic
0035 8B14 MOV DX,[SI] //(DX)的高低字节分别存储了活动分区表项的指示区和磁头号
0037 8B4C02 MOV CX,[SI+02] ;（CX）的高低字节分别存储了活动分区表项的扇区、柱面号
003A 8BEE MOV BP,SI ;然后继续检查后面的分区表项
003C 83C610 ADD SI,+10
003F FECB DEC BL
0041 741A JZ 005D ;4个都查完则去引导活动分区
0043 803C00 CMP BYTE PTR [SI],00 ;00H为分区有效标志
0046 74F4 JZ 003C ;此分区表项有效则继续查下一个
0048 BE8B06 MOV SI,068B ;068B-0600=008B,取"无效分区"字符串
004B AC LODSB ;从字符串中取一字符
004C 3C00 CMP AL,00 ;00H表示串尾
004E 740B JZ 005B ;串显示完了则进入死循环
0050 56 PUSH SI
0051 BB0700 MOV BX,0007
0054 B40E MOV AH,0E
0056 CD10 INT 10 ;显示一个字符
0058 5E POP SI
0059 EBF0 JMP 004B ;循环显示下一个字符
005B EBFE JMP 005B ;此处为死循环
005D BF0500 MOV DI,0005 ;读入活动分区的引导扇,最多试读5次
0060 BB007C MOV BX,7C00
0063 B80102 MOV AX,0201
0066 57 PUSH DI
0067 CD13 INT 13 ;将活动分区的引导扇区读入0000；7C00开始的内存中
0069 5F POP DI
006A 730C JNB 067B ;读盘成功则跳到067B处校验，（067B-0600=007B，即下面的007B处）
006C 33C0 XOR AX,AX
006E CD13 INT 13 ;读失败则复位磁盘
0070 4F DEC DI
0071 75ED JNZ 0060 ;不到5次则再试读
0073 BEA306 MOV SI,06A3 ;06A3-0600=00A3,即"Error loading"串
0076 EBD3 JMP 004B ;去显示字符串,然后进入死循环
0078 BEC206 MOV SI,06C2 ;06C2-0600=00C2,即"Missing.."串
007B BFFE7D MOV DI,7DFE ;7DFE-7C00=01FE,即活动分区的引导扇区的最后两字节的首址
007E 813D55AA CMP WORD PTR [DI],AA55;最后两字节为AA55H则有效（注：此处校验的并非下面该主引导程序末尾的0xAA55，而是活动分区的引导扇区的末尾值）。
0082 75C7 JNZ 004B ;无效则显示字符串并进入死循环
0084 8BF5 MOV SI,BP
0086 EA007C0000 JMP 0000:7C00 ;有效则跳去引导该分区
008B 49 6E 76 61 6C Inval
0090 69 64 20 70 61 72 74 69-74 69 6F 6E 20 74 61 62 id partition tab
00A0 6C 65 00 45 72 72 6F 72-20 6C 6F 61 64 69 6E 67 le.Error loading
00B0 20 6F 70 65 72 61 74 69-6E 67 20 73 79 73 74 65 operating syste
00C0 6D 00 4D 69 73 73 69 6E-67 20 6F 70 65 72 61 74 m.Missing operat
00D0 69 6E 67 20 73 79 73 74-65 6D 00 00 FB 4C 38 1D ing system...L8.
00E0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
00F0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
0100 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
0110 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
0120 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
0130 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
0140 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
0150 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
0160 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
0170 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
0180 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
0190 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
01A0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
01B0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 80 01 ................;分区表
01C0 01 00 06 0F 7F 9C 3F 00-00 00 F1 59 06 00 00 00 ......?....Y....
01D0 41 9D 05 0F FF 38 30 5A-06 00 40 56 06 00 00 00 A....80Z..@V....
01E0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
01F0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 55 AA ..............U.

使用INT 13H的02功能调用把位于硬盘保留扇区中0道0头1扇区处的硬盘主引导记录
读到内存的ES:BX处。现在把读出程序代码进行如下分析：

1、移动主引导记录程序
0E74:7C00 33C0 XOR AX,AX ；AX清零
0E74:7C02 8ED0 MOV SS,AX ；SS清零
0E74:7C04 BC007C MOV SP,7C00 ；SP=7C00，堆栈设在0：7C00H
0E74:7C07 FB STI ；开中断
0E74:7C08 50 PUSH AX
0E74:7C09 07 POP ES ；ES=0
0E74:7C0A 50 PUSH AX
0E74:7C0B 1F POP DS ；DS=0
0E74:7C0C FC CLD
0E74:7C0D BE1B7C MOV SI,7C1B ；源地址为0：7C1BH
0E74:7C10 BF1B06 MOV DI,061B ；目的地址为0：061BH
0E74:7C13 50 PUSH AX
0E74:7C14 57 PUSH DI
0E74:7C15 B9E501 MOV CX,01E5 ；移动01E5字节
0E74:7C18 F3 REPNZ ；将从0：7C1B-0：7DFF的主引导记录移至0：061B-0：07FF位置
0E74:7C19 A4 MOVSB
0E74:7C1A CB RETF ；转移到0：061B，继续执行程序

2、顺序查找四个硬盘分区表，寻找自举标志
0E74:061B BEBE07 MOV SI,07BE ；SI指向硬盘分区表1的自举标志

0E74:061E B104 MOV CL,04 ；查找四个分区
0E74:0620 382C CMP [SI],CH
0E74:0622 7C09 JL 062D ；如果[SI]的第7位为1，即为自举标志，
转062DH
0E74:0624 7515 JNZ 063B ；如果[SI]不为0，出错，转063BH
0E74:0626 83C610 ADD SI,+10 ；依次检验四个分区表，直至找到

0E74:0629 E2F5 LOOP 0620 ；自举标志
0E74:062B CD18 INT 18 ；找不到自举标志，进入BOOT异
；常处理程序。
0E74:062D 8B14 MOV DX,[SI] ；保存自举驱动器号于DL中
0E74:062F 8BEE MOV BP,SI ；保存自举分区地址指针于BP
0E74:0631 83C610 ADD SI,+10 ；继续检验自举分区后的分区
0E74:0634 49 DEC CX ；自举标志，直至四个分区都
0E74:0635 7416 JZ 064D ；检查完
0E74:0637 382C CMP [SI],CH ；若其余的自举标志不为0，出错

0E74:0639 74F6 JZ 0631

3、出错，写屏幕程序段
0E74:063B BE1007 MOV SI,0710 ；错误信息输出，死循环
0E74:063E 4E DEC SI
0E74:063F AC LODSB
0E74:0640 3C00 CMP AL,00
0E74:0642 74FA JZ 063E
0E74:0644 BB0700 MOV BX,0007
0E74:0647 B40E MOV AH,0E
0E74:0649 CD10 INT 10
0E74:064B EBF2 JMP 063F

硬盘主引导记录程序的功能是读出自举分区的BOOT程序，并把控制转移到分区
BOOT程序。整个程序流程如下：
1 将本来读入到0：7C00H处的硬盘主引导记录程序移至0：61BH处；
⑵ 顺序读入四个分区表的自举标志，以找出自举分区，若找不到，转而执行
INT18H的BOOT异常执行中断程序；
⑶ 找到自举分区后，检测该分区的系统标志，若为32位FAT表或16位FAT表但支持
13号中断的扩展功能，就转到执行13号中断的41号功能调用进行安装检验，检验成
功，就执行42号扩展读功能调用把BOOT区程序读入到内存0：7C00H处，成功，跳到
第⑸步，若读失败或系统标志为其它，就调用13号中断的读扇区功能调用把BOOT读
到0：7C00H；
⑷ 用13号中断的读扇区功能时，用两种方式分别进行5次试读。第一种方式是直接
从自举分区的头扇区读入BOOT程序，若读成功，但结束标志不是55AA，则改用第二
种方式，又如果用第一种方式试读五次均不成功，就改用第二种方式。若两种方式
试读均失败，就转到出错处理程序；
⑸ 读入BOOT区程序成功，转至0：7C00H处执行BOOT程序。