1.磁盤空間的總體劃分經(jīng)過格式化后的磁盤包括：主引導(dǎo)記錄區(qū)（只有硬盤有）、引導(dǎo)記錄區(qū)、文件分配表 （FAT）、目錄區(qū)和數(shù)據(jù)區(qū)。主引導(dǎo)記錄區(qū)和引導(dǎo)記錄區(qū)中存有DOS系統(tǒng)啟動時所用的信息。

　　文件分配表（FAT）是反映當(dāng)前磁盤扇區(qū)使用狀況的表。每張DOS盤含有兩個完全相同的FAT表，即FAT1和FAT2，F(xiàn)AT2是一張備份表。FAT與目錄一起對磁盤數(shù)據(jù) 區(qū)進行管理。 目錄區(qū)存放磁盤上現(xiàn)有的文件目錄及其大孝存放時間等信息。數(shù)據(jù)區(qū)存儲和文件名相對應(yīng)的文件內(nèi)容數(shù)據(jù)。

　�。�1）軟盤空間的總體劃分 當(dāng)使用DOS的外部命令FORMAT格式化一張軟盤后，不僅把磁盤劃分為若干磁道，每一磁道劃分為若干扇區(qū)，而且同時把劃分的扇區(qū)分為五大區(qū)域，它們分別是引導(dǎo)記 錄區(qū)、文件分配表1、文件分配表2、根目錄區(qū)以及數(shù)據(jù)區(qū)。

　　對于軟盤只有一個引導(dǎo)區(qū)，引導(dǎo)區(qū)在磁盤的0面0道1扇區(qū)，它的作用是在系統(tǒng)啟動時負責(zé)把系統(tǒng)兩個隱含文件IO.SYS和MSDOS.SYS裝入內(nèi)存，并提供DOS進行磁盤 讀寫所必需的磁盤I/O參數(shù)表。文件分配表（FAT表）是反映磁盤上所有文件各自占用的扇區(qū)的一個登記表，此表非 常重要，一旦被破壞，將無法查找文件的內(nèi)容。即使對DOS內(nèi)部精通的人，要修復(fù)FAT表損壞的磁盤文件，亦非易事，開銷很大。為此系統(tǒng)在劃分磁盤區(qū)域時，保留了兩份完全相同 的文件分配表。根目錄區(qū)是記載磁盤上所有文件的一張目錄登記表。主要記載每個文件的文件名、擴 展名、文件屬性、文件長度、文件建立日期、建立時間以及其他一些重要信息。

　�。�2）硬盤空間的總體劃分 對于不同類型、不同介質(zhì)的磁盤，DOS劃分磁盤的格式是不同的。對于硬盤來說，由于其存儲空間比較大，為了允許多個操作系統(tǒng)分享硬盤空間，并希望能從磁盤啟動 系統(tǒng)，DOS在格式化硬盤時，把硬盤劃分為主引導(dǎo)記錄區(qū)和多個系統(tǒng)分區(qū)。

　　對于硬盤空間的分配由兩個部分組成：第一部分就是整個硬盤的第一扇區(qū)，這一扇區(qū) 稱之為硬盤的主引導(dǎo)程序扇區(qū)，它由兩部分內(nèi)容組成，一是主引導(dǎo)程序，二是分區(qū)信息表。主引導(dǎo)程序是硬盤啟動時首先執(zhí)行的程序，由它裝入執(zhí)行活動分區(qū)（活動分區(qū)）引導(dǎo)程序，從而進一步引導(dǎo)系統(tǒng)。分區(qū)信息表登記各個分區(qū)引導(dǎo)指示符、操作系統(tǒng)指示符以及該分區(qū)占用硬盤空間的位置及其長度；第二部分是各個系統(tǒng)分區(qū)。各個系統(tǒng)分區(qū)是提供給各操作 系統(tǒng)使用的區(qū)域，每一區(qū)域只能存放一種操作系統(tǒng)，在該區(qū)域中的系統(tǒng)具有自己的引導(dǎo)記錄、文件分配表區(qū)、文件目錄區(qū)以及數(shù)據(jù)區(qū)。 若整個硬盤歸DOS使用，硬盤上信息由5部分即第1扇區(qū)的主引導(dǎo)程序和分區(qū)信息表、分區(qū)引導(dǎo)程序、文件分配表區(qū)、文件根目錄區(qū)、文件數(shù)據(jù)區(qū)。

　　硬盤主引導(dǎo)扇區(qū)很特殊，它不在DOS的管轄范圍內(nèi)。所以用DOS的非常駐命令 FORMAT、FDISK、DEBUG都不能觸及它。當(dāng)該扇區(qū)損壞時，硬盤不能啟動。用FORMAT、FDISK都不能修復(fù)它。DEBUG的L命令和W命令都不能用于主引導(dǎo)扇區(qū)。只有 在DEBUG下借用INT 13H或低級格式化方能修復(fù)。

　　系統(tǒng)型病毒是指專門傳染操作系統(tǒng)的啟動扇區(qū)，主要指傳染硬盤主引導(dǎo)扇區(qū)和DOS引導(dǎo)扇區(qū)的病毒。系統(tǒng)型病毒在磁盤上的存儲結(jié)構(gòu)是這樣的，病毒程序被劃分為兩部分， 第一部分存放在磁盤引導(dǎo)扇區(qū)中，第二部分則存放在磁盤其他的扇區(qū)中。病毒程序在感染一個磁盤時，首先根據(jù)FAT表在磁盤上找到一個空白簇（如果病毒程序的第二部分占用 若干個簇，則需要找到一個連續(xù)的空白簇），然后將病毒程序的第二部分以及磁盤原引導(dǎo)扇區(qū)的內(nèi)容寫入該空白簇，接著將病毒程序的第一部分寫入磁盤引導(dǎo)扇區(qū)。

　　但是，由于磁盤不同，病毒程序第二部分所占用的空白簇的位置就不同，而病毒程序在侵入系統(tǒng)時，又必須將其全部程序裝入內(nèi)存，在系統(tǒng)啟動時道德裝入的是磁盤引導(dǎo)扇區(qū) 中的病毒程序，該段程序在執(zhí)行時要將其第二部分裝入內(nèi)存，這樣第一部分必須知道其第二部分所在簇的簇號或邏輯扇區(qū)號。為此，在病毒程序感染一個磁盤時，不僅要將其第一 部分寫入磁盤引導(dǎo)扇區(qū)，而且必須將病毒程序第二部分所在簇的簇號（或該簇第一扇區(qū)的邏輯扇區(qū)號）記錄在磁盤的偏移地址01F9處，存放其第二部分所在簇第一扇區(qū)的邏輯扇 區(qū)號。

　　另外，由于DOS分配磁盤空間時，必須將分配的每一簇與一個文件相聯(lián)系，但是，系 統(tǒng)型病毒程序第二部分所占用的簇沒有對應(yīng)的文件名，它們是以直接磁盤讀寫的方式被存取的，這樣它們所占用的簇就有可能被DOS分配給新建立的磁盤文件，從而被覆蓋。為 了避免這樣的情況發(fā)生，病毒程序在將其第二部分寫入空白簇后，立即將這些簇在FAT中登記項的內(nèi)容，強制地標(biāo)記為壞簇（FF7H），經(jīng)過這樣處理后，DOS就不會將這些簇分 配給其他新建立的文件。

　　3.文件型病毒的磁盤存儲結(jié)構(gòu)文件型病毒是指專門感染系統(tǒng)中的可執(zhí)行文件，即擴展名為.COM、.EXE的文件。

　　對于文件型的病毒來說，病毒程序附著在被感染文件的首部、尾部、中部或“空閑”部位，病毒程序沒有獨立占用磁盤上的空白簇。也就是說，病毒程序所占用的磁盤空間依賴于 其宿主程序所占用的磁盤空間。但是，病毒入侵后一定會使宿主程序占用的磁盤空間 增加。

　　絕大多數(shù)文件型病毒屬于所謂外殼病毒，什么是文件外殼呢？簡單地說是計算機軟件 的一種層次結(jié)構(gòu)。比方說計算機軟件公司編制了一種教育軟件，經(jīng)過設(shè)計調(diào)試，軟件本身的功能已經(jīng)很完善，可以作為獨立的磁盤文件提供給用戶。但為了提高產(chǎn)品的商品化程 序，公司決定為軟件加一個漂亮的封面，為此設(shè)計人員可以在已經(jīng)完成的軟件基礎(chǔ)上附加一段顯示封面的程序。通常我們稱軟件本身為內(nèi)核，而附加的顯示封面程序稱為外殼，加載運行關(guān)系。

　　盡管在結(jié)構(gòu)上外殼接在內(nèi)核后面，但運行的順序仍然是先顯示封面再跳轉(zhuǎn)去執(zhí)行內(nèi)核。可執(zhí)行文件的外殼一般具有相對獨立的功能和結(jié)構(gòu)，去掉外殼將不會影響內(nèi)核部分的運行。 如果我們用“病毒外殼”去替換圖中的“封面外殼”，那么就已經(jīng)說明了文件型病毒的 基本機理。計算機病毒一般不傳染數(shù)據(jù)文件，這是由于數(shù)據(jù)文件是不能執(zhí)行的，如果病毒傳染了 數(shù)據(jù)文件以后，病毒自身得不到執(zhí)行權(quán)，也就不能進行進一步的傳播，所以計算機病毒不可能存在于數(shù)據(jù)文件中，但可能修改和破壞數(shù)據(jù)文件。