[原创]知其所以然之探究MBR勒索Part1-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]知其所以然之探究MBR勒索Part1

发表于: 2020-6-27 17:27 3679

[原创]知其所以然之探究MBR勒索Part1

jishuzhain 活跃值

2020-6-27 17:27

3679

然后查阅资料发现MBR即主引导记录（Master Boot Record，缩写：MBR），又叫做主引导扇区，是计算机开机后访问硬盘时所必须要读取的首个扇区，位于整个硬盘的 0 柱面 0 磁道 1 扇区，共占用了 63 个扇区，但实际只使用了 1个扇区（512 字节）。在总共 512 字节的主引导记录中，MBR 又可分为三部分：第一部分：引导代码，占用了 446 个字节；第二部分：分区表，占用了 64 字节（一个分区表占用16个字节，所以最多有4个主分区）；第三部分：55AA，结束标志，占用了两个字节。

采用010 Editor模板对其解析，如下。

启动代码为16位汇编指令，作用很明显是进行引导。

引导代码的作用就是让硬盘具备可以引导的功能，如果引导代码丢失，分区表还在，那么这个硬盘所有分区数据都还在，只是这个硬盘自己不能够用来启动进入系统了。如果要恢复引导代码，可以采用一些常见的命令。另外，也可以用工具软件，比如DISKGEN、WINHEX等。

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

最后于 2020-6-27 17:29 被jishuzhain编辑，原因：

#病毒木马

收藏・4

免费・3

支持

最新回复 (3)
shuyangzjg 雪币： 7082 活跃值： (2978) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 215 粉丝 2 关注私信	shuyangzjg 2 楼谢谢分享, 期待part2 2020-6-28 10:59 0
jishuzhain 雪币： 17428 活跃值： (5009) 能力值： ( LV9，RANK：450 ) 在线值：发帖 52 回帖 137 粉丝 68 关注私信	jishuzhain 7 3 楼 shuyangzjg 谢谢分享, 期待part2 嗯嗯，有空就会继续开始。 2020-6-28 17:11 0
kanxue 雪币： 47147 活跃值： (20445) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 4 楼 jishuzhain 嗯嗯，有空就会继续开始。[em_13] 文章有些短，建议1和2合起来比较好。 2020-6-30 16:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

jishuzhain

发帖

137

回帖

450

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
shuyangzjg 雪币： 7082 活跃值： (2978) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 215 粉丝 2 关注私信	shuyangzjg 2 楼谢谢分享, 期待part2 2020-6-28 10:59 0
jishuzhain 雪币： 17428 活跃值： (5009) 能力值： ( LV9，RANK：450 ) 在线值：发帖 52 回帖 137 粉丝 68 关注私信	jishuzhain 7 3 楼 shuyangzjg 谢谢分享, 期待part2 嗯嗯，有空就会继续开始。 2020-6-28 17:11 0
kanxue 雪币： 47147 活跃值： (20445) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 4 楼 jishuzhain 嗯嗯，有空就会继续开始。[em_13] 文章有些短，建议1和2合起来比较好。 2020-6-30 16:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复