From news.csie.nctu.edu.tw!tsaiwn Sun Nov  6 15:44:12 1994
Path: news.csie.nctu.edu.tw!tsaiwn
From: tsaiwn@csie.nctu.edu.tw (Wen-Nung Tsai)
Newsgroups: tw.bbs.comp.virus
Subject: Re: FOR HELP !! due to infected by INVADER virus
Date: 27 Oct 1994 17:27:21 GMT
Organization: Dep. Computer Sci. & Information Eng., Chiao Tung Univ., Taiwan, R.O.C
Lines: 65
Message-ID: <38ontp$9an@news.csie.nctu.edu.tw>
References: <33Q8WY$Ibn@vlsi1.iie.ncku.edu.tw>
NNTP-Posting-Host: tsaiwn@ccsun21.csie.nctu.edu.tw
X-Newsreader: TIN [version 1.2 PL2]

問題學弟 (htk.bbs@vlsi1.iie.ncku.edu.tw) 提到:
: ==> yehdavid.bbs@bbs.ee.nthu. (david) 提到:
(...deleted)
:      3. type FDISK /MBR for making a new partition table
最近這版常有人如此說, 但這是錯誤的!
FDISK/MBR 並不會動你的partition table! Not even a bit !
它只會蓋掉你的Pre-Boot 程式!
在硬碟最最最開始的磁區叫MBR (Master Boot Record), 這是MicroSoft的
正式稱呼! 有些人叫它Pre-Boot 磁區或Pre-Load 磁區.
MBR (512 bytes) can be divided into 3 parts:
    (1) 前面446 bytes 為開機程式(即Pre-Boot程式), 實際只用約200bytes
    (2) 接著的64bytes就是partition table, 每16bytes代表一個logical HD
    (3) 最後2 bytes 一定是 55  AA  (十六進位)
FDISK/MBR 就是把前面446 bytes 換成乾淨的Pre-Boot 程式!
它絕不會動後面的66bytes!!!
因此有兩種情形不能用這招:
   (1) 你裝了DOS 以外的系統或裝了Multi-Boot之類的東東
   (2) 中了改變你partition table 的病毒; 此時用乾淨的A: 開機反而看
       不到C:, 只有用C 或有同樣毒的A:開才看的到!
The following small program can read the MBR: (Under DEBUG)
DEBUG
a100
mov ax,0201
mov bx,0300
mov cx,1
mov dx,80
int 13
int 3
         (Hit ENTER only here)
g=100
d4be     (show the partition tables)
d300     (the pre-boot program,  U300  to see the instructions)
如果把AX 的0201改為0301表示要把memory中的512 bytes (300h-4ffh in this
example)寫入硬碟的MBR. 這動作很危險,最好要有懂一點組語的人在身旁壯膽!
順便回答下一篇MIRROR 的問題:
MIRROR (在 DOS 5.0 中也有) 有很多用途, 其中MIRROR/PARTN 可用來製出萬能
解毒劑:
     (1) FORMAT/s A:  造一片可開機的A片(不是那種A..:-)
     (2) Copy UNFORMAT.COM (或.EXE?忘了)到該片
     (3) 在C:碟下此命令:   MIRROR/PARTN
         此將造出一個好像叫MIRROR.FIL 的檔案, 它會問你要放那裡, 回答A:
         此檔會包括
                   a. MBR
                   b. BOOT sector
                   c. the two DOS files (通常是 IO.SYS, MSDOS.SYS )
         它不包括FAT, 因FAT存起來以後也沒用的!
 當你中了開機形病毒時(或只是懷疑), 用此片開機, 然後下此命令:
       UNFORMAT/PARTN
 這樣它就會把MBR+BOOT+IO.SYS+MSDOS.SYS 恢復原狀!
!!! 注意該A片只能用在該機器! 你可不能拿去別台機器用! (除非你確定它們是
    有相同的partition. 
!!! 很好用吧? 是的, 可是只要硬碟有一些小問題, MIRROR/PARTN 就不做事:-(((
這可能是DOS6.0 以後卻把MIRROR 拿掉的原因?
So, I always save the MBR via the small program mentioned above.
And the BOOT+IO.SYS+MSDOS.SYS can be cleaned by "SYS C:" command if
you start the machine with a clean diskette.
Sorry, 打字太慢, 打不下去了, 叫那個專寫毒的Dark 什麼的教你們吧...
(...deleted)

--
--------------------------------------------
 Wen-Nung Tsai					蔡文能
 INTERNET:    tsaiwn@csunix.csie.nctu.edu.tw	Dep. of CSIE
 BITNET:      tsaiwn@twnctu01.bitnet		National Chiao Tung University
						HsinChu, Taiwan, R.O.C.