启动记录是磁盘或卷的第一个风扇区域,含启动操作系统启动过程所需的可执行代码。 如将 Bootya 等威胁覆盖到恶意代码,可以感染启动记录。 恶意软件将在计算机启动时立即获得控制权。 启动记录停留在文件系统外,但操作系统可以访问。
MBR是在BIOS硬件初始化后首次加载的磁盘部分。它是指导加载程序的位置。具有启动驱动器原始访问权限的对手可以覆盖该区域,从而将启动期间的执行从正常启动加载程序转移到对手代码。想象一下,如果病毒隐藏了恶意代码MBR在系统加载之前,可以达到绕过杀软的效果。
机械磁盘在物理结构上由磁盘、电机、磁头、定位系统等部件组成。通常,一个磁盘由几个磁盘组成。为了方便定位和统一管理,这些磁盘被编号。盘子两侧各有磁头(Heads),每个盘子分为几个同心圆磁道,每个盘子的半径为固定值R的同心圆形成柱面(Cylinders),从外到内的编号为0、1和2……每个盘子上的每个磁道分为几个扇区,一个扇区的容量通常为512byte,并按一定规则编号为1、2、3……形成Cylinders×Heads×Sector这三个参数可以定位一个扇区。从这里可以看出,扇区是磁盘的最小存储单元,磁盘的读写只能以扇区为单位。
由于后续实验需要了解磁盘数据的具体含义,这里有一个简要的介绍。硬盘上的数据大致可以分为五部分:MBR区、DBR区、FAT区、DIR区和DATA区。
- MBR区&#x