Hardware 版 (精华区)
发信人: feiniaoml (少白石), 信区: Hardware
标 题: Fdisk的MBR参数
发信站: 哈工大紫丁香 (Sat Nov 23 08:44:21 2002) , 转信
Fdisk是我们在硬盘分区时最常用的命令,但有的读者可能还不知道,Fdisk命令还有一个
示公开参数/MBR,如果在DOS提示符下使用Fdisk/?不会发现此参数,但是这个参数却有很
重要的作用,MBR是主引导记录(Master Boot Record)的缩写。那么,Fdisk/MBR是如何工
作的呢下面和名位读者共同学习一下。
先来看看主引导扇区,硬盘的零柱面零磁道的第一个扇 区,被抵消为主引导扇区,(当然
是512个字节喽),主引导扇区由主引导记录(MBR),硬盘分区表(DPT,Disk Partitino
Table)和结束标志三部分组成各部分的大小和偏移量可参考下表,主引导记录中包含了
硬盘的一系列参数和一段引导程序,引导程序主要是用来在系统硬件自检完后引导具有激
活标志的分区上的操作系统。它执行到最后的是一条JMP指令跳到操作系统的引导程序去,
所以这里往往是一些引导型病毒和一些多系统引导程序的切入点。此部分还需要包括启动
出错时的提示信用卡息Invalid partitino table、Error loading operating system、M
issing operating system和一些保留信息。硬盘分区表的64个字节记录了分区的大小、类
型,哪能个是活动分区等等(具体结构请参考相关资历料)。主引导扇区最后的两个标志
“55AA”是主引导扇 区的结束标志,有些病毒就会修改这两面三刀个标志,结果系统引导
时将报告找不到有效的分区表。主引导扇 区的数据可以用一些工具或者自己写一段汇编来
查看。
使用Fdisk/MBR时,会把前446个字节 (如果你在Linux下用dd if=/boot/boot.NNNN of=/
dev/hdabs=446 count=1 命令恢复过MBR就知道为什么这个数字是446了)清零后重新“安
装”引导程序,但并不会破坏硬盘分区表。安装一些安全保护软件或者新的操作系统往往
引导程序会被更改,一部分引导扇区病毒也可能占领这块地盘,达到获得系统的控制权的
目的。在上述情况下,如果由于操作不慎或其它原因,系统无法正常启动时可以使用没被
病毒感染日以内反冲力特例以内棵反冲力天下需要,Fdisk/MBR,各位注意,使用时一定要
导症下药,下面讲述一下我经历的几个例子;
1、我的一个同学曾经用过一个叫超级保镖的软件,有开机密码的功能,可是密码被他忘了
(做茧自缚),他从软盘启动,并且把软件删除了,可是在开机的时候还是要求他输入密
码。根据他说的,提示输入密码的时机是硬件自检完成以后,Windows98刚启动的时候,我
推测是主引导扇区被修改了,建议他用Windows98的启动盘重新启动后使用此命令,结果把
开机密码去掉了。
2、同事的电脑被引导区病毒感染,金山毒霸检测到以后,他用金山毒霸做的启动盘启动杀
毒,可是生新启动以后还是检测到有此病毒,我不知道他做的软盘本身是否“干净”,我
拿买品牌机时附送的Windows98启动盘,让重新启动后,用Fdisk/MBR,再次重新启动计算机
,发现病毒已经被清除。
3、为了体验Windows2000,本人把公司的另一个小硬盘跳线变成Slsve后连到我 的电脑的I
DE1上,Windows 2000安装到小硬盘里,可以进行Windows 98和Windows 2000双启动,后来
硬盘被拿走,再次启动系统时,发现启动不起来了,我拿来Windows 98的启动盘生使用Fd
isk/MBR命令,还是不行,呵呵,拿来出我 撮后一招,SYS C:,再次启动,成功。
4、随着Linux的流行,很多朋友都有想在一个电脑上实现双启动(甚至多启动),安装Li
nux,可能会把Lilo安装在主引导扇区,如果想卸载Linux,而且用Linux的分区命令把Linux
的分区删除;以后如果想恢复到原来系统上的数据。
最后必须提醒大家的是,Fdisk一般不会影响硬盘的分区结构和数据,但有些病毒正是利用
Fdisk/MBR的原理,修改计算机正常的引导和文件结构,如果欠再强行使用Fdisk/MBR可能
使系统变得更糟,甚至也可能把硬盘中所有的数据清除。所以最好不要随便使用此命令,
只在受病毒或一些磁盘管理工具的影响使系统无法正常启动时才使用此命令,如果你想试
验一下呢,你应该先备份好你的所有数据,并且用Debug命令保存你的主引导记录。微软为
何不公开此命令参数呢?
因为它是一个危险的命令!
--
※ 来源:.哈工大紫丁香 http://bbs.hit.edu.cn [FROM: 210.46.78.55]
Powered by KBS BBS 2.0 (http://dev.kcn.cn)
页面执行时间:3.437毫秒