谈一谈知其所以然之探究MBR勒索Part12023/3/31 13:39:16

刘冠华

学习的时候给自己提出问题，比如MBR是什么DWM绘制的具体问题可以到我们网站了解一下，也有业内领域专业的客服为您解答问题，为成功合作打下一个良好的开端！

然后查阅资料发现MBR即主引导记录（MBR，缩写：MBR），又叫做主引导扇区，是计算机开机后访问硬盘时所必须要读取的首个扇区，位于整个硬盘的0柱面0磁道1扇区，共占用了63个扇区，但际只使用了1个扇区（5字节）。在总共5字节的主引导记录中，MBR又可分为部分：首部分：引导代码，占用了446个字节；第二部分：分区表，占用了64字节（一个分区表占用个字节，所以比较多有4个主分区）；第部分：55AA，结束标志，占用了两个字节。








真系统下的MBR结构分布情况
采用0E模板对其解析，如下。








启动代码为位汇编指令，作用很明显是进行引导。











动手验
破坏引导代码
引导代码的作用就是让硬盘具备可以引导的功能，如果引导代码丢失，分区表还在，那么这个硬盘所有分区数据都还在，只是这个硬盘自己不能够用来启动进入系统了。如果要恢复引导代码，可以采用一些常见的命令。另外，也可以用工具软件，比如DISKGEN、WINHEX等。














对启动代码部分直接进行覆写，然后保存后直接重启会法进行引导。




















破坏分区表
同理分区表如果丢失，后果就是整个硬盘一个分区没有，就好像刚买来一个新硬盘没有分过区一样，是很多病喜欢破坏的区域。EBR也叫做扩展MBR（EMBR）。因为主引导记录MBR比较多只能描述4个分区项，如果想要在一个硬盘多于4个区，就要采用扩展MBR的办法。重建分区表是指能通过已丢失或已删除分区的引导扇区等数据恢复这些分区，并重新建立分区表，目前较常使用的工具为DG。





MBR的内容是在硬盘分区时由分区软件写入该扇区的，MBR不属于任何一个操作系统，不随操作系统的不同而不同，即使不同，MBR也不会夹带操作系统的性质，具有公共引导的特性。





参考