保護MBR

MBR 是硬碟的主引導記錄，它獨立於作業系統之外，它包括引導程式、分區表、結束標誌(0x55AA)。

電腦開啟後，首先是啟動BIOS程式，BIOS自檢完畢後，找到硬碟上的主引導記錄MBR，它被bios將引導程式載入在0x7C00的起始位置，MBR讀取DPT(分區表)，從中找出活動的主分區，然後讀取活動主分區的PBR(分區引導記錄，也叫dbr)，PBR再搜尋分區內的啟動管理器檔案 BOOTMGR，在BOOTMGR被找到後，控制權就交給了BOOTMGR。BOOTMGR讀取bootbcd檔案。然後重定位 osload 程式，這個就是核心的啟動程式，它載入核心設備（BOOT 型）的驅動，比如:ftdisk.sys、atapi.sys、disk.sys 等等，載入後再載入 ntoskrnl.exe,控制權在交給 ntoskrnl.exe 程式，載入一些其他設備驅動、服務等等，最後進去系統。

鬼影 2 就是替換fips.sys驅動，並且替換bios的擴展in113，來接管對MBR的讀寫。所以MBR是極其重要，在vista以後的系統，微軟也意識到MBR的重要性，所以對MBR採取了保護措施，不能隨便改寫，winxp下的MBR經常被病毒、木馬利用。

通過對磁碟類驅動的IRP_MJ_WRITE的分發例程進行OBJECT HOOK,對寫入的扇區偏移來進行判定，如果是第一分區（mbr在第一分區的0柱面 0磁軌0扇區）的磁碟設備，並且偏移扇區為0，也就是從0扇區裡的位置開始寫入的操作全部攔截，從而保護mbr不被修改。我的方法過於簡單，可以將未被修改的 MBR512 個位元組的內容進行 HASH。然後對要寫入的 512個位元組也進行 HASH,如果 hash 值不同，則 MBR 證明已被修改過，則攔截該寫入操作。