手工处理MBR病毒时需要注意的问题

转自：瑞星安全卡卡论坛 作者：baohe
手工处理MBR病毒，必须知道正常的MBR是啥样。还要了解自己电脑0面0道其它扇区的特有信息。
之前所见过的N台电脑，其MBR都在0面0道1扇区。

有例外没？
为此，我特意用光盘将俺那Thinkpad T60p 恢复到了“出厂状态”（预装的WINDOWS  XP 专业版），然后查看其0面0道各扇区。
结果是：此电脑的MBR在0面0道2扇区。



用BOOTICE 检测其MBR，可能还不至于被吓着（毕竟它没报未知MBR）：


若用XueTr检测MBR，不知底细者可能会误以为这个本本中了鬼影。XueTr报未知MBR，MBR的副本在0面0道2扇区（中了“鬼影”有此症状），建议修复MBR。 

除了其特有的MBR外，Thinkpad T60p 0面0道2-8扇区与一般电脑也有不同。一般电脑，这几个扇区都是空的，但Thinkpad T60p 这几个扇区是有内容的。这些内容（包括其特有的MBR），估计与其键盘左上角的那个蓝键ThinkVantage有关。


下面几个附图是Thinkpad T60p 1-8扇区的截图（用SectorEditor 查看时，这8个扇区编号为0-7）：







使用品牌笔记本的朋友们，建议查看一下自己的0面0道数据。若不是”大路货“，建议事先备份之。免得中了改写MBR的病毒后丢失重要信息，从而带来麻烦。

看看，手工处理病毒不太会，呵呵，直接用瑞星杀得了。