GUID 分区表 (GPT) 磁盘的第一个扇区,其结构类似于主启动记录 (MBR) 磁盘的第一个扇区席字致纪距,用来防止基于 x86 的磁盘实用程序破坏 GPT 分区。保护 MBR 包含一个分区,该分区将保留磁盘上由 GPT 分区使用整个空间。
- 中文名称 保护MBR
- 领域 计算机
- 作用 防止基于的磁盘实用程序破坏GPT
- 含义 硬盘的主引导记录
含义
来自MBR 是硬盘的主引导记录360百科,它独立于操作系统之外,它包括引导程序、分区表、结束标志(0x55AA)。
工作原理
电脑画便出我氧开启后,首先是启动BIOS程序,BIOS自检完毕明严燃行型预席后,找到硬盘上的主引导系棉层室定李质田千能记录MBR,它被bios将引导程序加载在0x7C00的起始位置,MBR读取DPT(分区表),从中找出活动的主考血养夫还祖再满械分区,然后读取活动主分区的PBR(分区引导记录,也叫dbr),PBR再搜寻分区内的启动管理器文件 BOOTMG费师输重阿R,在BOOTMGR被找到后,控制权就交给了BOOTMGR。BOOTMGR读取bootbcd文件。然后重定位 osl季七鸡oad 程序,这个就是核心的启动程序,它加载核心设备(BOOT 型)的驱动,比如:ftdisk.sys、atapi.sys、disk.sys 等等,加载后再加载 ntosk担局情还送散水燃巴远rnl.exe,控制权在交给 ntoskrnl.exe 程序,加载一些其他设备驱动、服务等等,最后进去入判苏系统。
鬼影2的影响
鬼影 2 就是替换fips.s台抗热祖商答ys驱动,并且替换bios的扩展in113,来接管对MBR的读写。所以MBR是极其重要,在vis露副ta以后的系统,微软也意识到MBR的重要性,所以对MBR采取了保护措施,不能随便改写,winxp下的M来自BR经常被病毒、木马360百科利用。
感染的预防
通过对磁盘类驱动的IRP_MJ_WRITE的分发例程进行OBJECT HOOK,对写入的扇区偏移来进行判定,如果是第一分区(mbr后亚算脚复夜在第一分区的0柱面 0磁道0扇区)的磁盘设备,并且偏移扇区为0,也就是从0扇区里的位置开始写入的操作全部拦截,从而保护mbr不被修改。我的方法过于简单,可以将未被修改的 MBR512 个字节的内容进行 固办次司高燃评美养HASH。然后对要写入的 一器松视兵径卷编质评酒512个字节也进行 HASH,如果 hash 值不同,则 MBR 证明已被修改过评略县载买团侵义露界周,则拦截该写入操作。
