Fdisk/mbr的正确使用
一般,感染主引导扇区的病毒按存储形式可以分为转移型、覆盖型两种。
单纯感染覆盖型病毒的硬盘在执行Fdisk/mbr后,以标准主引导记录填写硬盘第一物理扇区位移0000-01BDH,即予以清除,确属高效;而感染转移型病毒的硬盘第一物理扇区,通常已无分区表信息及检验标志,全为病毒代码,执行Fdisk/mbr后,硬盘启动的源头被mbr所覆盖,现纵有mbr也不可能读到被转移的分区表及检验标志,硬盘将立即丧失启动能力。
正是由于mbr参数存在较大的副作用,微软公司才未正式公布此参数,如何才能安全地使用此参数呢?必须区分开以上提到的两种病毒。
可用Norton直接查看硬盘第一物理扇区,若出现硬盘分区信息表,则可认为是覆盖式病毒。当然,未染毒的硬盘也会出现分区表。
#2 ①覆盖型病毒的判定
由硬盘主引导记录映象表,在1BE、1CE、1DE、1EE四处,若有一项为80H,其它项为00H,即可认为是覆盖型病毒;在000、001、002处是FA 33 C0,在080、081处或1FE、1FF处是55 AA,在082-0DE间是规则的英文信息,及在170-1BD间全是00H的,此五处中若有三处是上述内容,则认为是覆盖型病毒。
#2 ②转移型病毒的判定
若根据①中内容不能判断为覆盖型病毒,则可认为是转移型病毒。
如何有效地使用Fdisk/mbr参数呢?若为覆盖型病毒,可直接用此参数予以清除;若为转移型,则不能先使用此参数。应在硬盘0磁道0磁头的第2-17扇区(系统的隐含扇区,是引导型病毒的主要栖息地),查找扇区最后2个字节为55AA的扇区,即可认为是原主引导记录,将偏移量1BE-1FFR 信息用手工方法写回原相应位置,最后再使用此参数予以清除。
对于复合型病毒感染,可用杀毒软件清查,若无效或无相应功能,应查阅硬盘第一物理扇区表检验标志是否存在后再定对策。