126C:04700000000000000000-00000000000000 126c04800000008BFC1E578B-F5CB0000000000 126C:04900000000000000000-00000000000000 126c:04A00000000000000000-00000000000000 126C04B00000000000000000-00000000000080 126c04c001000 B FE BF FO3F00-00007E86BB0000 ?.~ 126c:04D081FD BD 86-BB A9750000 126C:04E00000000000000000-00000000000000 126C04F00000000000000000-00000000000055 ③反汇编主引导区内容:判定MBR的代码区是否正常,对于数据区的基本情况,我们可以通过直观观 察得出,但对于存在引导型病毒,或者引导区出现异常代码的情况,我们可能需要分析MBR中代码区的 指令。这一般要对己经读入内存的引导区进行反汇编。 反汇编用指令U 续前例 u30015D:反汇编主引导扇区代码区内容 126c030033c0 XOR AX AX 126c03028ED0 MOV SS.AX 126c:04565 DB 65 ④写内存单元,在我们的前例中,主分区类型是0B是FAT32的,假定这个类型实际是NTFS的,我们 该如何修改呢?由于主分区类型的偏移是4c3H,我们可以用E命令写到内存单元中,从附表中查得NTFs 的类型为07。因此e4c37再比如说,假定我们想把无效的分区表清零,那么,我们应当用另一个命 令F,这个命令可以用填充一个内存地址范围。清零分区表的操作就是-f4be 0,以下两个操作也 比较常见 重置80标记,-e4be80 重置55AA标记,-f4ff4fe55aa 不要忘记了,此时仅仅是改动了内存中的数据,并未写到硬盘上。因此需要用int13中断把改写的结果, 写回硬盘。 续前例, -a100 126c0100 mov ax301:写操作一个扇区 100:执行 其实,我们相当于修改了刚才输入的读主引导扇区程序,使程序变为。00 ................ 126C:0470 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ 126C:0480 00 00 00 8B FC 1E 57 8B-F5 CB 00 00 00 00 00 00 ......W......... 126C:0490 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ 126C:04A0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ 126C:04B0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 80 01 ................ 126C:04C0 01 00 0B FE BF FC 3F 00-00 00 7E 86 BB 00 00 00 ......?...~..... 126C:04D0 81 FD 0F FE FF FF BD 86-BB 00 E0 A9 75 00 00 00 ............u... 126C:04E0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ 126C:04F0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 55 AA ..............U. ③ 反汇编主引导区内容：判定 MBR 的代码区是否正常，对于数据区的基本情况，我们可以通过直观观 察得出，但对于存在引导型病毒，或者引导区出现异常代码的情况，我们可能需要分析 MBR 中代码区的 指令。这一般要对已经读入内存的引导区进行反汇编。 反汇编用指令 U 续前例： -u300 l15D ；反汇编主引导扇区代码区内容 126C:0300 33C0 XOR AX,AX 126C:0302 8ED0 MOV SS,AX ………… 126C:045C 65 DB 65 126C:045D 6D DB 6D ④ 写内存单元，在我们的前例中，主分区类型是 0B 是 FAT32 的，假定这个类型实际是 NTFS 的，我们 该如何修改呢？由于主分区类型的偏移是 4C3H，我们可以用 E 命令写到内存单元中，从附表中查得 NTFS 的类型为 07。因此 -e4c3 7 再比如说，假定我们想把无效的分区表清零，那么，我们应当用另一个命 令 F，这个命令可以用填充一个内存地址范围。清零分区表的操作就是 -f4be 4ff 00，以下两个操作也 比较常见。 重置 80 标记，-e4be 80 重置 55AA 标记，-f4ff 4fe 55 aa 不要忘记了，此时仅仅是改动了内存中的数据，并未写到硬盘上。因此需要用 int 13 中断把改写的结果， 写回硬盘。 续前例， -a100 126C:0100 mov ax,301 ； 写操作一个扇区 -g=100 ；执行 其实，我们相当于修改了刚才输入的读主引导扇区程序，使程序变为