Trong kiến trúc IBM-PC, MTKĐ được ROM-BIOS nạp vào địa chỉ (0000:$7C00) nên các địa chỉ tham chiếu trong MTKĐđều được xác định tuyệt đối. Để phát hiện các hành vi của boot virus trong bộ nhớ ở chế độ thực, một máy ảo (virtual machine) [13] được sử dụng với các đặc tính kỹ thuật cơ bản như sau:
• Bộ chỉ thị: bộ chỉ thị của máy ảo tương thích với bộ chỉ thị của máy PC dùng họ vi xử lý 80x86/Pentium trong chếđộ thực (không gồm các chỉ thị ở mức hệ điều hành, vốn chưa sử dụng trong quá trình khởi động máy).
• Bộ xử lý lệnh: tương thích với cơ chế lấy/phân tích lệnh của bộ vi xử lý Intel 80x86/Pentium trong chếđộ thực. Các chỉ thị của bộ xử lý lệnh được chia làm hai nhóm: các lệnh tuần tự và các lệnh nhảy. Khi gặp lệnh nhảy, một hàm lượng giá đặc biệt sẽđược triệu gọi để lựa chọn hướng xử lý tiếp theo.
• Bộ nhớ làm việc: bao gồm bộ nhớ cho trình và bộ nhớ dữ liệu.
• Bộ nhớ cho trình là không gian trạng thái của môtơ suy diễn trên máy thực. Để bảo vệ máy thực, một hàm ánh xạ chuyển đổi địa chỉ tương đối trên máy ảo thành địa chỉ luận lý tương ứng trên máy thật. Bộ nhớ cho trình cũng chứa các biến bộ nhớ “thanh ghi” và “cờ hiệu” giống như cách tổ chức của CPU.
• Bộ nhớ dữ liệu được tổ chức dưới dạng ngăn xếp. Dữ liệu của các chương trình con (địa chỉ lệnh đang thực hiện, địa chỉ trỏ đến lệnh sẽ thực thi, địa chỉ trở về…) sẽđược xếp chồng vào ngăn xếp của máy ảo theo nguyên tắc LIFO.
Không gian trạng thái được tổ chức dưới dạng cây nhị phân [14] như sau: - Nút gốc đặc tả sự kiện kích hoạt điểm vào lệnh đầu tiên
- Nhánh đặc tả tình huống thực hiện các lệnh tuần tự
- Nút con đặc tả các biến cố rẽ hướng thực hiện của các lệnh nhảy
- Nút lá đặc tảđiểm dừng (khi kết thúc chẩn đoán hoặc phát hiện boot virus) Đối với các lệnh lặp, xử lý chu trình như một lệnh đơn tuần tự với cây nhị phân cục bộ trong lòng chu trình (Hình 3.5).