June 1,2009
MBR又被蓋掉了,「兇手」是那個 賣咖啡 的 傻逼
玩 Linux 但是又在電腦裡面安裝 MS 系作業系統的朋友,對於 MBR被Windows蓋掉 這件事,或多或少都有經驗吧?
話說,自從電腦裝著我的小紅帽 這篇之後,我現在這台筆電上面, MS Windows XP 跟 Fedora Linux 10 共存了好一陣子,直到......
有一天因為 MS 的更新而重新開機的時候(平常我都用休眠),突然發現 BIOS 畫面結束後,進入 GRUB 多重開機選單之前,會出現一個左邊1/3藍色,右邊2/3灰色的長條。
然後我的 GRUB 選單就變成裝飾品,只有進入 MS Windows 那一項有作用,其他的選項都失靈!
嗯,剛才好像有看到螢幕左上角閃過兩行字?
再重開機仔細看,看到什麼 Safeboot 5.1 的字樣,上網查查......
原來,有個 賣咖啡 的 傻逼 (McAfee Safeboot) 把我的 Master Boot Record (MBR) 蓋掉了!(怒)
因為啊,這台筆電是公司配的,公司說最近會隨機挑選一些電腦,藉由軟體派送,送這個 SB 來跟我們作伴,保護我們的資料。(難道我被盯上了嗎?抖~~~抖很大)
查了一下,這個 Safeboot 軟體被 McAfee 買下來了,現在叫做 McAfee Endpoint Encryption 。強調可以把整個硬碟都加密,用 Linux Live CD/USB 開機也讀不到(好樣兒,有你的),被偷走也不用擔心資料外洩,因為這個 SB 直接把妳的整個硬碟變成磚塊加密了!
我研究了一下下,看來 這個 SB 會把 MBR 寫入它自己的東西,我又發現我的 C: 槽 根目錄底下,多了一些隱藏檔,檔名都跟這個 SB 有關,我推論這個 SB 應該是劫持掌控了MBR,並且在開機的時候去讀取那些隱藏檔。
底下是我研究出來的解法,有兩招,第一招會動到 MBR 的,我沒試。我選擇了不會動到 MBR 的第二招,要注意,第一招不是以前修復 MBR 的招數,把 MBR 用 GRUB 的工具蓋回去,不然這樣妳的 MS Windows partition 可能會進不去!!
先談第一招: 這篇 Starting SafeBoot with GRUB 大意是說,既然這個 SB 蓋掉了妳的 MBR ,妳就用 dd 先把這個 SB 的版本,備份到 /boot/safeboot.mbr ,然後編輯 /boot/grub/grub.conf ,加一段用剛才備份的 safeboot.mbr 開機進入MS Windows 的選項,再用 grub-install 這類的工具把 MBR 蓋回去。
這個第一招看起來非常好,網路上也有人說 okay ,但是,但是,我暫時不想要去動 MBR ,以免這個 SB 出狀況讓我的 MS Windows XP 開不起來,所以就用第二招:
把電腦BIOS調成光碟機開機優先於硬碟開機,下載小小的 Super Grub Disk(SGD) ,用Super Grub Disk 0.9783 版燒開機光碟,開機BIOS設定光碟機優先,進入SGD,然後選 !LINUX! (1) AUTO ,他會去找硬碟上分割區的menu.lst。也就是說,讓SGD找出 linux 分割區,再用裡面的原本 grub.conf 或是 menu.lst 來開機。
注意!這個 Super Grub Disk 會給你一個 GRUB 選單,功能齊全,但是就是少了對付這個 SB 的選項。所以,請不要選擇任何有 restore MBR 功能的選項,要 restore MBR 請參考第一招。
歐耶,終於利用 SGD 光碟,經過兩個 GRUB 選單(SGD的,硬碟上擺在 linux 分割區的),又看到了我的小紅帽順利開機。
不過,還記得嗎,因為這個 SB 把硬碟加密了,所以我的 Fedora 現在其他功能都正常,但是無法掛載 MS Windows 分割區了(淚)
從第二招再回到第一招,可以多一個比較保險的步驟,我已經想好了,就是*參考* Starting SafeBoot with GRUB,用dd倒出/boot/safeboot.mbr,編輯grub.conf,然後SGD光碟開機,試試能否從新選單進Win,如果SGD光碟開機=>抓/boot/grub/grub.conf=>選擇用/boot/safeboot.mbr=>順利讓SafeBoot啟動Win,我才敢真的用第一招,把GRUB蓋回MBR。
不過,計畫趕不上變化。
我還沒來得及試試我的安全步驟,更不用說第一招了,就遇上電腦中毒。
這下可慘了,好久沒有中毒了,對付病毒的能力已經完全退化了。
我下載了卡車司機的病毒移除工具,發現一裝上電腦,病毒就會移除這個工具的一兩個檔案,讓它無法執行,還試了 Portable ClamAV ,也是一樣。
後來我先在別台安裝在隨身碟,更新病毒碼之後,再把隨身碟切換到硬體防寫,拿過來這台。
嗯,檔案不會被刪除,可是一執行就失敗。
讓我想想我還試過什麼?
安全模式?試了兩次,都直接給 BSOD (藍色畫面)。
線上掃毒?我有開 Wireshark ,發現一上網,病毒就下載上傳忙得不亦樂乎,所以我就不敢上網了。
對了,怎麼沒想到拔下來裝到別台,或是開機進入 Linux ,再 mount 上來掃毒啊?
各位大德,妳忘了嗎?整篇文章我都在重複,公司送了個 SB 來保護我的 Windows 分割區,現在拿到別台 Windows 或是 Linux ,它們都抓不到這個被加密過的磚塊啊啊啊啊!
喔,妳說我的筆電難道沒有安裝掃毒嗎?
有耶,公司安裝的掃毒,剛好也是 賣咖啡 (McAfee)的,病毒碼也更新過了,真是!@#$%^&*()
(後來學會,來路不明的檔案還是丟一份上去 Virus Total,比對幾十種掃毒軟體,比較保險,我有把那個可疑檔案丟上 Virus Total ,有一部分的軟體可以掃出來,但是這個天殺的 賣咖啡 當時還不行)
最後只好備份資料,然後請 IT 整台重灌囉。
灌完之後我拿回來,第一件事先檢查:
歐耶,那個 傻逼 沒有出現在我的筆電了,真是太好了!
==
不過聽說早晚全公司都會裝(唉)
==
每次可可跟庭庭問我:「把拔這是你的電腦嗎?」我都會說:「這是公司借我的電腦,如果離開的話是要還人家的」。說歸說,一直沒有很深的感覺,直到這次被 McAfee SafeBoot 蓋掉MBR讓我差點進不了Linux,才深深體會到,這台筆電真的是公司財產,人家愛怎樣就怎樣 Orz...
話說,自從電腦裝著我的小紅帽 這篇之後,我現在這台筆電上面, MS Windows XP 跟 Fedora Linux 10 共存了好一陣子,直到......
有一天因為 MS 的更新而重新開機的時候(平常我都用休眠),突然發現 BIOS 畫面結束後,進入 GRUB 多重開機選單之前,會出現一個左邊1/3藍色,右邊2/3灰色的長條。
然後我的 GRUB 選單就變成裝飾品,只有進入 MS Windows 那一項有作用,其他的選項都失靈!
嗯,剛才好像有看到螢幕左上角閃過兩行字?
再重開機仔細看,看到什麼 Safeboot 5.1 的字樣,上網查查......
原來,有個 賣咖啡 的 傻逼 (McAfee Safeboot) 把我的 Master Boot Record (MBR) 蓋掉了!(怒)
因為啊,這台筆電是公司配的,公司說最近會隨機挑選一些電腦,藉由軟體派送,送這個 SB 來跟我們作伴,保護我們的資料。(難道我被盯上了嗎?抖~~~抖很大)
查了一下,這個 Safeboot 軟體被 McAfee 買下來了,現在叫做 McAfee Endpoint Encryption 。強調可以把整個硬碟都加密,用 Linux Live CD/USB 開機也讀不到(好樣兒,有你的),被偷走也不用擔心資料外洩,因為這個 SB 直接把妳的整個硬碟
我研究了一下下,看來 這個 SB 會把 MBR 寫入它自己的東西,我又發現我的 C: 槽 根目錄底下,多了一些隱藏檔,檔名都跟這個 SB 有關,我推論這個 SB 應該是
底下是我研究出來的解法,有兩招,第一招會動到 MBR 的,我沒試。我選擇了不會動到 MBR 的第二招,要注意,第一招不是以前修復 MBR 的招數,把 MBR 用 GRUB 的工具蓋回去,不然這樣妳的 MS Windows partition 可能會進不去!!
先談第一招: 這篇 Starting SafeBoot with GRUB 大意是說,既然這個 SB 蓋掉了妳的 MBR ,妳就用 dd 先把這個 SB 的版本,備份到 /boot/safeboot.mbr ,然後編輯 /boot/grub/grub.conf ,加一段用剛才備份的 safeboot.mbr 開機進入MS Windows 的選項,再用 grub-install 這類的工具把 MBR 蓋回去。
這個第一招看起來非常好,網路上也有人說 okay ,但是,但是,我暫時不想要去動 MBR ,以免這個 SB 出狀況讓我的 MS Windows XP 開不起來,所以就用第二招:
把電腦BIOS調成光碟機開機優先於硬碟開機,下載小小的 Super Grub Disk(SGD) ,用Super Grub Disk 0.9783 版燒開機光碟,開機BIOS設定光碟機優先,進入SGD,然後選 !LINUX! (1) AUTO ,他會去找硬碟上分割區的menu.lst。也就是說,讓SGD找出 linux 分割區,再用裡面的原本 grub.conf 或是 menu.lst 來開機。
注意!這個 Super Grub Disk 會給你一個 GRUB 選單,功能齊全,但是就是少了對付這個 SB 的選項。所以,請不要選擇任何有 restore MBR 功能的選項,要 restore MBR 請參考第一招。
歐耶,終於利用 SGD 光碟,經過兩個 GRUB 選單(SGD的,硬碟上擺在 linux 分割區的),又看到了我的小紅帽順利開機。
不過,還記得嗎,因為這個 SB 把硬碟加密了,所以我的 Fedora 現在其他功能都正常,但是無法掛載 MS Windows 分割區了(淚)
從第二招再回到第一招,可以多一個比較保險的步驟,我已經想好了,就是*參考* Starting SafeBoot with GRUB,用dd倒出/boot/safeboot.mbr,編輯grub.conf,然後SGD光碟開機,試試能否從新選單進Win,如果SGD光碟開機=>抓/boot/grub/grub.conf=>選擇用/boot/safeboot.mbr=>順利讓SafeBoot啟動Win,我才敢真的用第一招,把GRUB蓋回MBR。
不過,計畫趕不上變化。
我還沒來得及試試我的安全步驟,更不用說第一招了,就遇上電腦中毒。
這下可慘了,好久沒有中毒了,對付病毒的能力已經完全退化了。
我下載了卡車司機的病毒移除工具,發現一裝上電腦,病毒就會移除這個工具的一兩個檔案,讓它無法執行,還試了 Portable ClamAV ,也是一樣。
後來我先在別台安裝在隨身碟,更新病毒碼之後,再把隨身碟切換到硬體防寫,拿過來這台。
嗯,檔案不會被刪除,可是一執行就失敗。
讓我想想我還試過什麼?
安全模式?試了兩次,都直接給 BSOD (藍色畫面)。
線上掃毒?我有開 Wireshark ,發現一上網,病毒就下載上傳忙得不亦樂乎,所以我就不敢上網了。
對了,怎麼沒想到拔下來裝到別台,或是開機進入 Linux ,再 mount 上來掃毒啊?
各位大德,妳忘了嗎?整篇文章我都在重複,公司送了個 SB 來保護我的 Windows 分割區,現在拿到別台 Windows 或是 Linux ,它們都抓不到這個被加密過的
喔,妳說我的筆電難道沒有安裝掃毒嗎?
有耶,公司安裝的掃毒,剛好也是 賣咖啡 (McAfee)的,病毒碼也更新過了,真是!@#$%^&*()
(後來學會,來路不明的檔案還是丟一份上去 Virus Total,比對幾十種掃毒軟體,比較保險,我有把那個可疑檔案丟上 Virus Total ,有一部分的軟體可以掃出來,但是這個天殺的 賣咖啡 當時還不行)
最後只好備份資料,然後請 IT 整台重灌囉。
灌完之後我拿回來,第一件事先檢查:
歐耶,那個 傻逼 沒有出現在我的筆電了,真是太好了!
==
不過聽說早晚全公司都會裝(唉)
==
每次可可跟庭庭問我:「把拔這是你的電腦嗎?」我都會說:「這是公司借我的電腦,如果離開的話是要還人家的」。說歸說,一直沒有很深的感覺,直到這次被 McAfee SafeBoot 蓋掉MBR讓我差點進不了Linux,才深深體會到,這台筆電真的是公司財產,人家愛怎樣就怎樣 Orz...
引用URL
http://cgi.blog.roodo.com/trackback/9122521
![[Syndicate this site]](http://cdn.rimg.tw/images/blog/rss.gif "Syndicate RSS feed"){kind=small}
![[Syndicate this site]](http://cdn.rimg.tw/images/blog/atom.gif "Syndicate ATOM feed"){kind=small}
