鬼影病毒分析报告---挺详细的，转金山论坛，铁军

afeitpf

求教，MBR是什么？
暮雨 发表于 2010-3-18 23:24

硬盘的主引导记录，
不准确地说，一般情况下（通过操作系统的磁盘操作），这一块区域对你和杀软都是隐形的

抄一下百度百科，注意红字：

MBR，全称为Master Boot Record，即硬盘的主引导记录。
　　引导扇区是每个分区（Partition）的第一扇区，而主引导扇区是硬盘的第一扇区。它由三个部分组成，主引导记录MBR、硬盘分区表DPT和硬盘有效标志。在总共512字节的主引导扇区里MBR占446个字节，第二部分是Partition table区（分区表），即DPT，占64个字节，硬盘中分区有多少以及每一分区的大小都记在其中。第三部分是magic number，占2个字节，固定为55AA。
　　MBR是不属于任何一个操作系统，也不能用操作系统提供的磁盘操作命令来读取它，但可以通过命令来修改和重写，如在minix3里面，可以用命令：installboot -m /dev/c0d0 /usr/mdec/masterboot来把masterboot这个小程序写到mbr里面，masterboot通常用汇编语言来编写。我们也可以用ROM-BIOS中提供的INT13H的2号功能来读出该扇区的内容，也可用软件工具Norton8.0中的DISKEDIT.EXE来读取。

暮雨

硬盘的主引导记录
抄一下百度百科，注意红字
MBR，全称为Master Boot Record，即硬盘的主引导记录。
...
afeitpf 发表于 2010-3-18 23:29

    不会低格，如果重新分区格式化，能杀死这个病毒不？

lovesp2

我也不会低格,有没有人随便教一下

afeitpf

不会低格，如果重新分区格式化，能杀死这个病毒不？
暮雨 发表于 2010-3-18 23:31

“重新分区其实就是重写MBR”
这个我搞错了
重新分区时一般不会重写MBR
所以是没用的
但可以使用dos下的fdisk /mbr命令重写MBR
或者其他分区、硬盘工具
应该是可以清除这个病毒启动代码的

虽然据说这个病毒会把病毒执行主体写到硬盘未格式化区域
但搞定启动代码后，这执行主体也没用了

这里PS一下，基本上每块硬盘都会存在不等量的未格式化区域
比方我的台式机160G硬盘上，除了已格式化147G容量
其实还有接近150G的未格式化容量
笔记本320G硬盘上，除了已格式化的近300G容量，
也还存有近280G的未格式化容量
大家可以用EVEREST这个东东查看一下
其实这也是硬盘有坏道送给厂家就可以修好的缘故
他们其实只不过是用工具把有坏道的区域屏蔽启来
然后在未格式化区域里又格式化一块给你而已

kangxi

低格是对硬盘最原始的一种格式化，一般都是出厂家出场前给你做好的，每一次低格都是对硬盘一次比较严重的寿命损伤，没事别低格，除非是出现坏道什么之类的才要尝试，一般要借助低格工具

暮雨

重新分区其实就是重写MBR
应该是可以清除这个病毒启动代码的

虽然据说这个病毒会把病毒执行主体写到 ...
afeitpf 发表于 2010-3-18 23:48

谢谢，打这么多辛苦了~！

whe

回复 3# 镜湖 [


我看这些病毒都是他们自己出的     好毒卖几个

ybzx211

我对LS的幼稚言论感到相当无语……

yjwfdc

分区不会重写mbr,所以分区对这个毒不起作用,也不需要重分区,
低格可以清除这个毒,但也不需要低格.
只需要重写mbr就可以了,比如dos命令fdisk /mbr
或者其它很多分区软件都有重写mbr这个功能.

可以说,这个毒一点都不难杀.
记得以前很多杀毒软件扫描时都会扫引导区的,难道现在的杀毒软件不扫描引导区了吗?

afeitpf

分区不会重写mbr,所以分区对这个毒不起作用,也不需要重分区,
低格可以清除这个毒,但也不需要低格.
只需要 ...
yjwfdc 发表于 2010-3-19 01:49

嗯，你是对的
只有当主引导记录不存在时
分区时才会更新MBR

前面的我编辑一下，免得误导别人