引導扇區在每個分割槽裡都存在,但是我們常說的*主引導扇區*是硬碟的第一物理扇區。它由兩個部分組成:即主引導記錄MBR和硬碟分割槽表DPT。
在總共512位元組的主引導分割槽裡其中MBR佔446個位元組(偏移0-- 偏移1BDH),DPT佔64個位元組(偏移1BEH--偏移1FDH),最後兩個位元組“55,AA”(偏移1FEH偏移1FFH)是分割槽的結束標誌。大致的
主引導記錄中包含了硬碟的一系列引數和一段載入程式。載入程式主要
是用來在系統硬體自檢完後引導具有啟用標誌的分割槽上的作業系統。它執行到最後的是一條JMP指令跳到作業系統的載入程式去。這裡往往是引導型病毒的注入點,也是各種多系統載入程式的注入點。但是由於載入程式本身完成的功能比較簡單,所以我們可以完全地判斷該載入程式的合法性(看JMP指令的合法性),因而也易於修復。象命令fdisk/mbr可以修復MBR和KV300這類軟體可以查殺任意型別的引導型病毒,就是這個原因。
往下來是硬碟的分割槽表,由4個16位元組的分割槽資訊表組成。每個資訊表的
結構如下:
偏移 長度 所表達的意義
0 位元組 分割槽狀態: 如0-->非活動分割槽
80--> 活動分割槽
1 位元組 該分割槽起始頭(HEAD)
2 字 該分割槽起始扇區和起始柱面
4 位元組 該分割槽型別:如82--> Linux Native分割槽
83--> Linux Swap 分割槽
5 位元組 該分割槽終止頭(HEAD)
6 字 該分割槽終止扇區和終止柱面
8 雙字 該分割槽起始絕對分割槽
C 雙字 該分割槽扇區數
最後的兩個標誌“55 AA”是分割槽表的結束標誌,如果這兩個標誌被修改
(有些病毒就會修改這兩個標誌),則系統引導時將報告找不到有效的分割槽表。
引導扇區在每個分割槽裡都存在,但是我們常說的*主引導扇區*是硬碟的第一物理扇區。它由兩個部分組成:即主引導記錄MBR和硬碟分割槽表DPT。
在總共512位元組的主引導分割槽裡其中MBR佔446個位元組(偏移0-- 偏移1BDH),DPT佔64個位元組(偏移1BEH--偏移1FDH),最後兩個位元組“55,AA”(偏移1FEH偏移1FFH)是分割槽的結束標誌。大致的
主引導記錄中包含了硬碟的一系列引數和一段載入程式。載入程式主要
是用來在系統硬體自檢完後引導具有啟用標誌的分割槽上的作業系統。它執行到最後的是一條JMP指令跳到作業系統的載入程式去。這裡往往是引導型病毒的注入點,也是各種多系統載入程式的注入點。但是由於載入程式本身完成的功能比較簡單,所以我們可以完全地判斷該載入程式的合法性(看JMP指令的合法性),因而也易於修復。象命令fdisk/mbr可以修復MBR和KV300這類軟體可以查殺任意型別的引導型病毒,就是這個原因。
往下來是硬碟的分割槽表,由4個16位元組的分割槽資訊表組成。每個資訊表的
結構如下:
偏移 長度 所表達的意義
0 位元組 分割槽狀態: 如0-->非活動分割槽
80--> 活動分割槽
1 位元組 該分割槽起始頭(HEAD)
2 字 該分割槽起始扇區和起始柱面
4 位元組 該分割槽型別:如82--> Linux Native分割槽
83--> Linux Swap 分割槽
5 位元組 該分割槽終止頭(HEAD)
6 字 該分割槽終止扇區和終止柱面
8 雙字 該分割槽起始絕對分割槽
C 雙字 該分割槽扇區數
最後的兩個標誌“55 AA”是分割槽表的結束標誌,如果這兩個標誌被修改
(有些病毒就會修改這兩個標誌),則系統引導時將報告找不到有效的分割槽表。