亦谈 FDISK/MBR 的使用
一、转移式 病毒将主引导信息全部转移至设定的扇区,如新世纪病毒等。
二、嵌入式 病毒将自身巧妙地嵌入主引导记录(Master Boot Record,MBR),并不触动分区表及主引导扇区检验标志‘55AA'。近些年出现的以此类型为主,包括大多数GenP病毒--MacAfee Viruscan智能广谱检测系统查出的未知(待收录)病毒。
它们或专一侵犯主引导扇区,或与DOS引导扇区并害,更有兼及文件的复合型。
MS DOS V3.20-6.21 FDISK.COM(EXE)均隐含可以运行的开关/MBR,其功能为无条件写MBR,即不论检验标志‘55AA'是否完整。
就单纯感染嵌入式主引导型病毒的硬盘而言,执行FDISK/MBR,以标准的主引导记录填写硬盘第一物理扇区位移OOOO-O1BDH,即予清除,确属高效。
感染转移式主引导型病毒硬盘的第一物理扇区,通常已无分区表及检验标志,全为病毒代码,执行FDISK/MBR之后,原‘病态'启动机转的源头被MBR覆盖,现纵有MBR,也不可能读到被转移缺一行的情况下,贸然行事,难免承受相当风险。安全之计是:首先使用手头的病毒检测清除软件,尤其属复合型病毒感染,若清除无效或无相应的功能,宜查阅‘病盘'第一物理扇区分区表检验标志是否“健在”后定对策。
NORTON 5.0及高版本的DISKEDIT.EXE可直接读取硬盘主引导扇区,即第一物理扇区,当重点查阅位移01BE-01FDH四项分区信息,在DOS3.30-6.21环境中,若第一项基本区C盘(及第二扩展区)信息正常,同时位移01FE-01FFH为‘55AA',运行FDISK/MBR,均获成功。
凡见第一物理扇区无分区信息及检验标志,需继续查阅第二物理扇区以及硬盘零磁道全部扇区,重点在第2-17物理扇区,直至找到含主引导信息的‘转移'扇区,将它回填第一物理扇区,核查无误,退出DISKEDIT,清除工作即告完成。
MS DOS 迄今未公布可以运行的开关/MBR,直到MS DOS 6.0,也仅公布/STATUS,其原因或与此可能出现的‘副作用'有关。至于十分有用而目前尚不能运行的写基本DOS分区开关/PRI及对应于扩展DOS分区的/EXT等,今后或有望。 (四川 彭乐)