MBR
来源:互联网 发布:瑞士军刀能过安检知乎 编辑:程序博客网 时间:2024/05/01 00:33
第一硬盘的{0,0,1}以外的任何一个扇区启动,所以{0,0,1}被称为主引导记
录即:MBR(Main Boot Record)。 修改 MBR 的病毒或程序把原 MBR 移动到
其他扇区后,这个程序就不能再称为 MBR 了,充其量称为“原MBR”,而占
据{0,0,1}的新引导程序才能称为当前的 MBR。修改 BIOS Setup 中的参数,
可以改变硬盘逻辑盘的结构,但是无论怎么修改{0,0,1}都还是{0,0,1}。
有一部分比较麻烦的MBR病毒(如前面Wwashington提到的),当强行使用
fdisk /mbr后,计算机将不能启动,是因为计算机正常的引导和文件结构是
经过病毒(除了病毒情况外还包括一些管理工具 System Commander、Norton
DiskLock)编码/加密的,解码成正常的结构需要从病毒程序现行引导。
所以说:
(1) 去除任何病毒都不需要低级格式化硬盘,这是真命题;
(2) fdisk /mbr + sys c: 可以在恢复数据的前提下去除任何引导型病
毒,这是假命题。
上述结论的依据是一般情况下,PC都无法从物理第一硬盘的{0,0,1} 以
外的任何一个扇区启动。我想我和Wwashington 要表达的意思是一致的,仅
仅是由于对一些基本事件是从不同的角度去理解的,因此在宏观的表述上有
不同的侧重点。
所以在这里也提醒一下, 试图用 fdisk /mbr + sys c: 清除病毒的时
候,务必备份 MBR,即 {0,0,1}。KV300、病毒克星VRV在这些方面的处理是
不完善的,KV300这里不再多提了,VRV 号称可以备份 MBR, 但是由于程序
的缺陷,备份不总正常,据从原VRV的技术支持那里了解,使用VRV后“丢失
硬盘”的不在少数,都无奈把责任推给了稀里糊涂的用户。在这里,我们也
不建议使用这个软件。
Fdisk的MBR参数
Fdisk的mbr参数介绍(转载)
Fdisk是我们在硬盘分区时最常用的命令,但有的读者可能还不知道,Fdisk命令还
有一个未公开参数/MBR,如果在DOS提示符下使用Fdisk /?不会发现此参数,但是
这个参数却有很重要的作用,MBR是主引导记录(Master Boot Record)的缩写。那
么,Fdisk /MBR是如何工作的呢?下面和各位读者共同学习一下。
先来看看主引导扇区,硬盘的零柱面零磁道的第一个扇区,被称为主引导扇区(当然是512个字节喽),主引导扇区由主引导记录(MBR)、硬盘分区表(DPT ,Disk
Partition Table)和结束标志三部分组成,各部分的大小和偏移量可参考下表,主
引导记录中包含了硬盘的一系列参数和一段引导程序,引导程序主要是用来在系
统硬件自检完后引导具有激活标志的分区上的操作系统。它执行到最后的是一条
JMP指令跳到操作系统的引导程序去,所以这里往往是一些引导型病毒和一些多系
统引导程序的切入点。此部分还包括启动出错时的提示信息Invalid partition
table、 Error loading operating system、Missing operating system和一些
保留信息。硬盘分区表的64个字节记录了分区的大小、类型,哪个是活动分区等
等(具体结构请参考相关资料)。主引导扇区最后的两个标志“55AA”是主引导扇
区的结束标志,有些病毒就会修改这两个标志,结果系统引导时将报告找不到有
使用Fdisk /MBR时,会把前446个字节(如果你在Linux下用dd
if=/boot/boot.NNNN of=/dev/hda bs=446 count=1命令恢复过MBR就知道为什么
这个数字是446了)清零后重新“安装”引导程序,但并不会破坏硬盘分区表。安
装一些安全保护软件或者新的操作系统往往引导程序会被更改,一部分引导扇区
病毒也可能占领这块地盘,达到获得系统的控制权的目的。在上述情况下,如果
由于操作不慎或其它原因,系统无法正常启动时可以使用没被病毒感染的启动盘
启动系统,然后使用Fdisk /MBR,各位注意,使用时一定要对症下药,下面讲述一
1.我的一个同学曾经用过一个叫超级保镖的软件,有开机密码的功能,可是密
码被他忘记了(做茧自缚),他从软盘启动,并且把软件删除了,可是在开机的时
候还是要求他输入密码。根据他说的,提示输入密码的时机是硬件自检完成以后
,Windows刚启动的时候,我推测是主引导扇区被修改了,建议他用Windows 98的
2.同事的电脑被引导区病毒感染,金山毒霸检测到以后,他用金山毒霸做的启
动盘启动杀毒,可是重新启动以后还是检测到有此病毒,我不知道他做的软盘本
身是否“干净”,我拿买品牌机时附送的Windows 98启动盘,让他重新启动后,
3.为了体验Windows 2000,本人把公司的另一个小硬盘跳线变成Slave后连到我
的电脑的IDE1上,把Windows 2000安装到小硬盘里,可以进行Windows 98和
Windows 2000双启动,后来硬盘被拿走,再次启动系统时,发现启动不起来了,
我拿Windows 98的启动盘启动后,使用Fdisk /MBR命令,还是不行,呵呵,拿出
4.随着Linux的流行,很多朋友都想在一个电脑上实现双启动(甚至多启动),
安装Linux,可能会把Lilo安装在主引导扇区,如果想卸载Linux,而且用Linux的
分区命令把Linux的分区删除;以后如果想恢复到原来的系统,用此命令把lilo清
最后必须提醒大家的是,Fdisk一般不会影响硬盘的分区结构和数据,但有些
病毒正是利用Fdisk /MBR的原理,修改计算机正常的引导和文件结构,如果你再
强行使用Fdisk /MBR可能使系统变得更糟,甚至也可能把硬盘中所有的数据清除
。所以最好不要随便使用此命令,只在受病毒或一些磁盘管理工具的影响使系统
无法正常启动时才使用此命令,如果你想试验一下呢,你应该先备份好你的所有
数据,并且用Debug命令保存你的主引导记录。想一想,微软为何不公开此命令参
数呢?因为它是一个危险的命令!MBR组成
MBR(Main Boot Record),中文意为主引导记录。
硬盘的0磁道的第一个扇区称为MBR,它的大小是512字节,而这个区域可以分为两个部分。第一部分为pre-boot区(预启动区),占446字节;第二部分是Partitiontable区(分区表),占66个字节,该区相当于一个小程序,作用是判断哪个分区被标记为活动分区,然后去读取那个分区的启动区,并运行该区中的代码。
他是不属于任何一个操作系统,也不能用操作系统提供的磁盘操作命令来读取它。但我们可以用ROM-BIOS中提供的INT13H的2号功能来读出该扇区的内容,也可用软件工具Norton8.0中的DISKEDIT.EXE来读取。
一个扇区的硬盘主引导记录MBR由如图6-15所示的4个部分组成。
·主引导程序(偏移地址0000H--0088H),它负责从活动分区中装载,并运行系统引导程序。
·出错信息数据区,偏移地址0089H--00E1H为出错信息,00E2H--01BDH全为0字节。
·分区表(DPT,Disk Partition Table)含4个分区项,偏移地址01BEH--01FDH,每个分区表项长16个字节,共64字节为分区项1、分区项2、分区项3、分区项4。
·结束标志字,偏移地址01FE--01FF的2个字节值为结束标志55AA,如果该标志错误系统就不能启动。
- MBR
- MBR
- MBR
- MBR
- MBR
- MBR
- MBR
- mbr
- FDISK /MBR
- MBR记录
- MBR简介
- MBR是什么
- 修复MBR
- MBR 修复
- 硬盘MBR
- 修复MBR
- 关于MBR
- 详解MBR
- asp.net实现简单Tab页
- ini配置文件读写
- 【MM】采购退货的处理办法
- 主动示弱可赢得人心
- 解决Windows 程序界面闪烁问题的一些经验
- MBR
- 2个SQL语句的区别(续)
- 从bootm看u-boot引导内核的过程
- 累了看一下啊 笑话
- Inside Class Loaders: Debugging
- Oracle开发专题之:分析函数总结
- Hello
- Smarty 下前后台集成
- SQL 标量函数----->数学函数