‌最早的病毒—MBR病毒

• 今天心血来潮说一下MBR病毒。理解深入一点，以后出去干活儿，可以显得知识面很广的亚子。
• 先认识一下MBR。
• MBR全称：Master Boot Record，主引导记录。位于硬盘，在硬盘的0磁道0柱面1扇区，主要负责存储启动引导程序和磁盘的分区表。MBR共占用一个扇区，通常有512字节。其中，446字节用于安装启动引导程序，其后64字节描述分区表，最后的2字节是结束标记（55AA）。MBR是不属操作系统的，它在硬盘分区时由分区软件写入，并且不能用操作系统提供的磁盘操作命令来读取。
• MBR在计算机启动过程中扮演着至关重要的角色，因为它包含了启动系统所需的基本信息和指令。通常是在启动过程初始阶段读取的介质的第一个扇区。MBR 确定介质的哪个部分包含操作系统，并且随后指导系统读取对应部分的引导扇区，从而加载操作系统。
• 如果MBR损坏，系统将无法启动，可能会显示如“Invalid partition table”、“Error loading operating system”、“Missing operating system”等错误信息。

所以，基于MBR的特点，我们要聊的MBR病毒，与其他病毒有着显著的不同。

想象一下，你的电脑是一个精密的大脑，里面存储着你所有的知识和经历。而MBR，即“主引导记录”，就像是大脑的“启动键”，是电脑开机时首先读取的信息，它告诉电脑如何从硬盘上找到操作系统并启动它。

MBR病毒，就是专门劫持这个“启动键”的恶徒。

与其他病毒相比，MBR病毒有着独特的作案手法。大多数病毒，如常见的木马、蠕虫或勒索软件，它们通常是在操作系统启动后，通过各种方式侵入系统，然后执行恶意代码，比如窃取信息、破坏数据或加密文件等。这些病毒就像是潜入你家的小偷，它们在你开门后进入，然后在你家里搞破坏。但MBR病毒不同，它更像是一个狡猾的劫匪，它直接在“启动键”上下功夫。由于MBR 非常小(通常只有 512 字节)，因此它装不下实现病毒传播和破坏功能所需的全部代码。为避开空间的限制，MBR 病毒将主要的代码保存在存储介质的其他部分。系统读取受感染的 MBR 时，病毒会引导系统读取并执行存储在其他地方的代码，从而将病毒载入内存。

这样，当电脑尝试读取MBR以启动操作系统时，它实际上读取的是病毒设置的信息。结果，电脑可能无法正常启动，或者启动后进入的是一个由病毒控制的界面，就像是你的大脑被控制了，无法按照你的意愿行动。

MBR病毒的这种作案手法，使得它比其他病毒更加难以防范和清除。因为，即使你安装了杀毒软件，但如果杀毒软件在操作系统启动之后才运行，那么它就无法检测到MBR病毒的存在。这就像是你家的安全系统，如果它在你开门之后才启动，那么它就无法阻止已经潜入的小偷。

那么，我们该如何应对这个“启动键劫匪”呢？

首先，预防是关键。我们应该定期更新操作系统、安装可靠的安全软件，并避免从未知或不可信的来源下载软件或文件。这些措施能够大大降低MBR病毒侵入的风险。

其次，我们要时刻保持警惕。如果电脑出现启动异常、运行缓慢或频繁重启等奇怪现象，那就像是你的身体在发出警告信号一样，告诉你可能有问题了。这时候，我们应该立即断开网络连接，避免病毒进一步传播，并尽快寻求专业的技术支持。

最后，如果电脑不幸被MBR病毒“劫持”了，那么我们需要专业的“救援”来恢复MBR的正常功能。这可能需要使用特殊的工具或方法来清除病毒，比如关闭电脑并插入Windows安装光盘或连接启动U盘，然后从该驱动器启动电脑，并恢复MBR的原始信息。

THE END

原文始发于微信公众号（透明魔方）：‌最早的病毒—MBR病毒