1.磁盤(pán)空間的總體劃分經(jīng)過(guò)格式化后的磁盤(pán)包括：主引導(dǎo)記錄區(qū)（只有硬盤(pán)有）、引導(dǎo)記錄區(qū)、文件分配表 （FAT）、目錄區(qū)和數(shù)據(jù)區(qū)。主引導(dǎo)記錄區(qū)和引導(dǎo)記錄區(qū)中存有DOS系統(tǒng)啟動(dòng)時(shí)所用的信息。

　　文件分配表（FAT）是反映當(dāng)前磁盤(pán)扇區(qū)使用狀況的表。每張DOS盤(pán)含有兩個(gè)完全相同的FAT表，即FAT1和FAT2，F(xiàn)AT2是一張備份表。FAT與目錄一起對(duì)磁盤(pán)數(shù)據(jù) 區(qū)進(jìn)行管理。 目錄區(qū)存放磁盤(pán)上現(xiàn)有的文件目錄及其大孝存放時(shí)間等信息。數(shù)據(jù)區(qū)存儲(chǔ)和文件名相對(duì)應(yīng)的文件內(nèi)容數(shù)據(jù)。

　�。�1）軟盤(pán)空間的總體劃分 當(dāng)使用DOS的外部命令FORMAT格式化一張軟盤(pán)后，不僅把磁盤(pán)劃分為若干磁道，每一磁道劃分為若干扇區(qū)，而且同時(shí)把劃分的扇區(qū)分為五大區(qū)域，它們分別是引導(dǎo)記 錄區(qū)、文件分配表1、文件分配表2、根目錄區(qū)以及數(shù)據(jù)區(qū)。

　　對(duì)于軟盤(pán)只有一個(gè)引導(dǎo)區(qū)，引導(dǎo)區(qū)在磁盤(pán)的0面0道1扇區(qū)，它的作用是在系統(tǒng)啟動(dòng)時(shí)負(fù)責(zé)把系統(tǒng)兩個(gè)隱含文件IO.SYS和MSDOS.SYS裝入內(nèi)存，并提供DOS進(jìn)行磁盤(pán) 讀寫(xiě)所必需的磁盤(pán)I/O參數(shù)表。文件分配表（FAT表）是反映磁盤(pán)上所有文件各自占用的扇區(qū)的一個(gè)登記表，此表非 常重要，一旦被破壞，將無(wú)法查找文件的內(nèi)容。即使對(duì)DOS內(nèi)部精通的人，要修復(fù)FAT表?yè)p壞的磁盤(pán)文件，亦非易事，開(kāi)銷(xiāo)很大。為此系統(tǒng)在劃分磁盤(pán)區(qū)域時(shí)，保留了兩份完全相同 的文件分配表。根目錄區(qū)是記載磁盤(pán)上所有文件的一張目錄登記表。主要記載每個(gè)文件的文件名、擴(kuò) 展名、文件屬性、文件長(zhǎng)度、文件建立日期、建立時(shí)間以及其他一些重要信息。

　�。�2）硬盤(pán)空間的總體劃分 對(duì)于不同類(lèi)型、不同介質(zhì)的磁盤(pán)，DOS劃分磁盤(pán)的格式是不同的。對(duì)于硬盤(pán)來(lái)說(shuō)，由于其存儲(chǔ)空間比較大，為了允許多個(gè)操作系統(tǒng)分享硬盤(pán)空間，并希望能從磁盤(pán)啟動(dòng) 系統(tǒng)，DOS在格式化硬盤(pán)時(shí)，把硬盤(pán)劃分為主引導(dǎo)記錄區(qū)和多個(gè)系統(tǒng)分區(qū)。

　　對(duì)于硬盤(pán)空間的分配由兩個(gè)部分組成：第一部分就是整個(gè)硬盤(pán)的第一扇區(qū)，這一扇區(qū) 稱(chēng)之為硬盤(pán)的主引導(dǎo)程序扇區(qū)，它由兩部分內(nèi)容組成，一是主引導(dǎo)程序，二是分區(qū)信息表。主引導(dǎo)程序是硬盤(pán)啟動(dòng)時(shí)首先執(zhí)行的程序，由它裝入執(zhí)行活動(dòng)分區(qū)（活動(dòng)分區(qū)）引導(dǎo)程序，從而進(jìn)一步引導(dǎo)系統(tǒng)。分區(qū)信息表登記各個(gè)分區(qū)引導(dǎo)指示符、操作系統(tǒng)指示符以及該分區(qū)占用硬盤(pán)空間的位置及其長(zhǎng)度；第二部分是各個(gè)系統(tǒng)分區(qū)。各個(gè)系統(tǒng)分區(qū)是提供給各操作 系統(tǒng)使用的區(qū)域，每一區(qū)域只能存放一種操作系統(tǒng)，在該區(qū)域中的系統(tǒng)具有自己的引導(dǎo)記錄、文件分配表區(qū)、文件目錄區(qū)以及數(shù)據(jù)區(qū)。 若整個(gè)硬盤(pán)歸DOS使用，硬盤(pán)上信息由5部分即第1扇區(qū)的主引導(dǎo)程序和分區(qū)信息表、分區(qū)引導(dǎo)程序、文件分配表區(qū)、文件根目錄區(qū)、文件數(shù)據(jù)區(qū)。

　　硬盤(pán)主引導(dǎo)扇區(qū)很特殊，它不在DOS的管轄范圍內(nèi)。所以用DOS的非常駐命令 FORMAT、FDISK、DEBUG都不能觸及它。當(dāng)該扇區(qū)損壞時(shí)，硬盤(pán)不能啟動(dòng)。用FORMAT、FDISK都不能修復(fù)它。DEBUG的L命令和W命令都不能用于主引導(dǎo)扇區(qū)。只有 在DEBUG下借用INT 13H或低級(jí)格式化方能修復(fù)。

　　系統(tǒng)型病毒是指專(zhuān)門(mén)傳染操作系統(tǒng)的啟動(dòng)扇區(qū)，主要指?jìng)魅居脖P(pán)主引導(dǎo)扇區(qū)和DOS引導(dǎo)扇區(qū)的病毒。系統(tǒng)型病毒在磁盤(pán)上的存儲(chǔ)結(jié)構(gòu)是這樣的，病毒程序被劃分為兩部分， 第一部分存放在磁盤(pán)引導(dǎo)扇區(qū)中，第二部分則存放在磁盤(pán)其他的扇區(qū)中。病毒程序在感染一個(gè)磁盤(pán)時(shí)，首先根據(jù)FAT表在磁盤(pán)上找到一個(gè)空白簇（如果病毒程序的第二部分占用 若干個(gè)簇，則需要找到一個(gè)連續(xù)的空白簇），然后將病毒程序的第二部分以及磁盤(pán)原引導(dǎo)扇區(qū)的內(nèi)容寫(xiě)入該空白簇，接著將病毒程序的第一部分寫(xiě)入磁盤(pán)引導(dǎo)扇區(qū)。

　　但是，由于磁盤(pán)不同，病毒程序第二部分所占用的空白簇的位置就不同，而病毒程序在侵入系統(tǒng)時(shí)，又必須將其全部程序裝入內(nèi)存，在系統(tǒng)啟動(dòng)時(shí)道德裝入的是磁盤(pán)引導(dǎo)扇區(qū) 中的病毒程序，該段程序在執(zhí)行時(shí)要將其第二部分裝入內(nèi)存，這樣第一部分必須知道其第二部分所在簇的簇號(hào)或邏輯扇區(qū)號(hào)。為此，在病毒程序感染一個(gè)磁盤(pán)時(shí)，不僅要將其第一 部分寫(xiě)入磁盤(pán)引導(dǎo)扇區(qū)，而且必須將病毒程序第二部分所在簇的簇號(hào)（或該簇第一扇區(qū)的邏輯扇區(qū)號(hào)）記錄在磁盤(pán)的偏移地址01F9處，存放其第二部分所在簇第一扇區(qū)的邏輯扇 區(qū)號(hào)。

　　另外，由于DOS分配磁盤(pán)空間時(shí)，必須將分配的每一簇與一個(gè)文件相聯(lián)系，但是，系 統(tǒng)型病毒程序第二部分所占用的簇沒(méi)有對(duì)應(yīng)的文件名，它們是以直接磁盤(pán)讀寫(xiě)的方式被存取的，這樣它們所占用的簇就有可能被DOS分配給新建立的磁盤(pán)文件，從而被覆蓋。為 了避免這樣的情況發(fā)生，病毒程序在將其第二部分寫(xiě)入空白簇后，立即將這些簇在FAT中登記項(xiàng)的內(nèi)容，強(qiáng)制地標(biāo)記為壞簇（FF7H），經(jīng)過(guò)這樣處理后，DOS就不會(huì)將這些簇分 配給其他新建立的文件。

　　3.文件型病毒的磁盤(pán)存儲(chǔ)結(jié)構(gòu)文件型病毒是指專(zhuān)門(mén)感染系統(tǒng)中的可執(zhí)行文件，即擴(kuò)展名為.COM、.EXE的文件。

　　對(duì)于文件型的病毒來(lái)說(shuō)，病毒程序附著在被感染文件的首部、尾部、中部或“空閑”部位，病毒程序沒(méi)有獨(dú)立占用磁盤(pán)上的空白簇。也就是說(shuō)，病毒程序所占用的磁盤(pán)空間依賴(lài)于 其宿主程序所占用的磁盤(pán)空間。但是，病毒入侵后一定會(huì)使宿主程序占用的磁盤(pán)空間 增加。

　　絕大多數(shù)文件型病毒屬于所謂外殼病毒，什么是文件外殼呢？簡(jiǎn)單地說(shuō)是計(jì)算機(jī)軟件 的一種層次結(jié)構(gòu)。比方說(shuō)計(jì)算機(jī)軟件公司編制了一種教育軟件，經(jīng)過(guò)設(shè)計(jì)調(diào)試，軟件本身的功能已經(jīng)很完善，可以作為獨(dú)立的磁盤(pán)文件提供給用戶。但為了提高產(chǎn)品的商品化程 序，公司決定為軟件加一個(gè)漂亮的封面，為此設(shè)計(jì)人員可以在已經(jīng)完成的軟件基礎(chǔ)上附加一段顯示封面的程序。通常我們稱(chēng)軟件本身為內(nèi)核，而附加的顯示封面程序稱(chēng)為外殼，加載運(yùn)行關(guān)系。

　　盡管在結(jié)構(gòu)上外殼接在內(nèi)核后面，但運(yùn)行的順序仍然是先顯示封面再跳轉(zhuǎn)去執(zhí)行內(nèi)核�？蓤�(zhí)行文件的外殼一般具有相對(duì)獨(dú)立的功能和結(jié)構(gòu)，去掉外殼將不會(huì)影響內(nèi)核部分的運(yùn)行。 如果我們用“病毒外殼”去替換圖中的“封面外殼”，那么就已經(jīng)說(shuō)明了文件型病毒的 基本機(jī)理。計(jì)算機(jī)病毒一般不傳染數(shù)據(jù)文件，這是由于數(shù)據(jù)文件是不能執(zhí)行的，如果病毒傳染了 數(shù)據(jù)文件以后，病毒自身得不到執(zhí)行權(quán)，也就不能進(jìn)行進(jìn)一步的傳播，所以計(jì)算機(jī)病毒不可能存在于數(shù)據(jù)文件中，但可能修改和破壞數(shù)據(jù)文件。