● 去除任何病毒都无须低级格式化(1) - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: Mill (我会忘记), 信区: Virus
标  题: 去除任何病毒都无须低级格式化(1)
发信站: BBS 荔园晨风站 (Sun Oct 25 15:51:15 1998), 站内信件

发信人: cynicism (文月), 信区: Virus
标  题: 去除任何病毒都无须低级格式化(1)转信
发信站: 龙门客栈 (Fri May 15 14:49:51 1998), 转信

发信人: bluesea (蓝海), 信区: virus
标  题: 去除任何病毒都无需低级格式化 (1)
发信站: 广州蓝天站 (Fri Jan 30 15:27:25 1998), 转信

发信人: bluesea (蓝海), 信区: Virus
标  题: 去除任何病毒都无需低级格式化
发信站: BBS 水木清华站 (Tue Oct  7 23:54:46 1997)

去除任何病毒都无需低级格式化

    与引导型病毒有关的扇区经常被认为是下面三个部分：

    (1) 硬盘物理第一扇区，即 0柱面、0头、1扇区是开机之后存放的数据和
程序是被最先访问和执行的。这个扇区成为“硬盘主引导扇区”，上面包括两
个独立的部分，第一部分是开机后硬盘上所有可执行代码中最先执行的部分，
在该扇区的前半部分，称为“主引导记录”，Master Boot Record，简称 MBR；

    (2) 第二部分不是程序，而是非执行的数据，记录硬盘分区的信息，即我
们常说的“硬盘分区表”，即Partition Table，从偏移量 1BEh开始，到1FDh
结束。

    (3) 硬盘活动分区(除Compaq计算机外，大多是第一个分区)的第一个扇区
一般位于 0柱面、1头、1扇区，这个扇区称为“活动分区的引导记录”，是开
一般位于 0柱面、1头、1扇区，这个扇区称为“活动分区的引导记录”，是开
机后继 MBR 后运行的第二段代码的运行所在。其他分区也具有一个引导记录，
但是其中的代码不会被执行。“引导记录”即 BOOT。

    用无病毒的MS-DOS引导软盘启动计算机后，运行下面的程序分管不同的工
作：
    (A) “FDISK /MBR”用于重写一个无毒的 MBR；
    (B) “FDISK” 用于读取或重写 Partition Table；
    (C) “FORMAT C: /S” 或 “SYS C:”  会重写一个无毒的“活动分区的
引导记录”。对于可以更改活动分区的情况，需要另外特殊对待。

    我们知道病毒是程序，根据上述情况，程序可能存在的场所是(1)和(3)，
病毒也只可能存在于(1)和(3)，而(A)和(C)可以还原(1)和(3)，所以，引导型
病毒的清除不需要(A)和(C)以外的步骤，包括无需低级格式化。处于(1)和(3)
以外的任何其他场所的非文件程序数据，都不会被干净的(1)、(3)所调用。任
何“残余”的程序片断，都是没有活动能力的数据。

    几点补充：

    1，对硬盘分区、FAT或其他数据重新编码(或土称“加密”)的病毒，需要
按照病毒的算法先行解码，否则进行上述步骤后，可能会导致硬盘数据丢失，
这也是某些反病毒软件在清除引导型病毒时要备份一个带病毒的分区的原因；

    2，对于特殊分区，“活动分区的引导记录” 的位置可能不是位于第一个
分区，比如 Compaq 有一个保留分区，代替了 ROM-BIOS Setup，而成了Hard
Disk Setup，但是无论如何，在 FDISK 删除了所有分区后，再按照任何方法
重建分区，都一定不会使原来的病毒代码起作用；

    3，硬盘分区表数据特殊时(如经过KV300炸弹袭击过的硬盘)，需要用修改
后的MS-DOS或低版本 DOS才能够引导，但仍这不意味着需要任何低级格式化的
操作；所谓在“死机”过程中，“病毒窃取系统控制权”的说法，完全是瞎掰；

    4，对于“文件＋引导型”的病毒，其中引导型的部分，上述讨论仍适用；

    5，引导型病毒，不属于“MS-DOS文件型病毒”、“Windows(PE/NE) 文件
型病毒”、“宏病毒”的范畴；

    6，清除引导型以外的病毒也更没有任何理由进行低级格式化；

    7，对于非 MS-DOS FDISK 管理的系统，本文的基本命题仍然成立；

    8，低级格式化确实能够清除任何病毒，没有任何病毒在低级格式化后能
够生存，但这仍这不意味着清除病毒需要任何低级格式化的操作，不过如果认
为保留数据不如重新安装更方便的话，也可以这样做。

--
扫除一切害人虫，全无敌...

※ 修改:·bluesea 於 Oct 14 23:34:46 修改本文·[FROM:   202.96.51.140]
※ 来源:·BBS 水木清华站 bbs.net.tsinghua.edu.cn·[FROM: 203.207.119.239]

--
※ 来源:．广州蓝天站 bbs．[FROM: 202.99.63.6]
--
欢迎访问http://wenyue.yeah.net
提供最新软件下载，常用网络资源，序列号联结列表，免费杀毒等服务
欢迎到病毒区灌水

m;33m※ 来源:．龙门客栈 bbs.szonline.net．[FROM: ppp147.hk.ha.cn]m
--
m;36m※ 转寄:．龙门客栈 bbs.szonline.net．[FROM: 202.96.191.124]m

--
                         ┏━━━━━━━━━━━━━┯┓
                         ┃ 弃我去者,昨日之日不可留, ╚┫
                         ┃ 乱我心者,今日之日多烦忧.   ┃
                         ┗━━━━━━━━━━━━━━┛
取下天上的月亮后，我拿给你
Email: s7110109@szu.edu.cn  Macrobird

※ 来源:．BBS 荔园晨风站 bbs.szu.edu.cn．[FROM: 192.168.0.167]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店