神奇的MBR.pdfVIP

神奇的MBR By 听风独奏 神奇MBR 序 作为 WE ARE SO YOUNG ！成员必须要懂得分享.所以写了篇对于高手们再简单不过的关 于MBR 的文章,如果对MBR 不太了解的可能看时会有些陌生,所以我尽可能的讲细节展现出 来.文章的技术参考多来源于互联网.所以在概念部分肯定会有一定的撞车.不过分析部分完 全是我的原创,当然说的不对也请大家指出.后面附录有对本文需要的工具的基本操作有说明. 不太了解的请先查看下. 附件中包含系统正常的 MBR 和被感染的 MBR 的样本文件为 back_mbr 和vrius_MBR ,我已经用ida 进行了注释也都分别在附件中.下面我们就一起进入学 习MBR 的旅程吧… 系统引导过程: 说到 MBR 不得不先说系统的引导过程,加电后 BIOS 将 MBR 加载到内存,并将控制权交给 MBR 引导代码.MBR 搜索活动分区,并将控制权交给系统活动分区引导记录DBR,DBR 负责 操作系统的自举操作.加载操作系统的系统文件进而启动OS,如果是Dos 或是win9x 则加载 IO.sys,如果是xp,2000,2003 则加载系统盘下的Ntldr 文件,如果是vista,win7 版本则由Bootmgr 启动,这里注意的是MBR 是由分区软件写入的,不属于任何一个操作系统.不随操作系统不同 而不同.具有公共的引导性,它优先操作系统加载内存,然后将控制权交给活动分区的操作系 统,而 DBR 是分区格式化时由操作系统写入,负责加载操作系统,对系统进行引导,随系统的 不同而不同. MBR 的作用 MBR （Master Boot Record ）主引导记录,位于0 柱面0 磁道 1 扇区,大小512 字节.包含446 字节的引导代码,64 字节的硬盘分区表,2 个字节的结束符号固定为55AA. MBR 的主要作用是检查分区状态,寻找获动分区,并将控制权交给活动分区引导记录DBR,再 由分区引导程序加载操作系统. MBR 的结构 MBR 分为三块,引导代码,硬盘分区表,结束符 (附件:用winhex 打开back_mbr 文件) 引导代码: ~000001BDh (红色部分) 硬盘分区表: 000001BEh~000001FDh (蓝色部分) 结束符: 000001FEh~000001FFh (绿色部分) 神奇的MBR By 听风独奏 引导代码: 从硬盘分区表中读取活动分区中在硬盘的位置.加载到内存中,并将控制权移交给获得分区的 的DBR. 扩展阅读: 1． DBR 位于0 柱面,1 磁道,1 扇区,它主要的任务是读取加载操作系统的文件,例如 xp 系统 C:\ 根下的 ntldr 文件,加载操作系统.并将控制权移交给操作系统.如果有空 我以后再写篇分析DBR 的文章. 2 ． 活动分区是计算机启动分区，操作系统的启动文件都装在这个分区 硬盘分区表: 该表有四个表项,每项 16 个字节,分别定义了该磁盘上主分区的所在位置, 由于只有四项,所以 最多只有四个分区,扩展分区至多只能有一个,所以硬盘最多有四个主分区,或是三个主分区 和一个扩展分区 下面是从分区表项含义 偏移字节 含义 0 活动分区标志,80H 代表活动,00H 代表非活动 1 磁道