Plaats reactie
1
In deze handleiding bespreken we het maken van een back-up van de MBR Master Boot Record, daarnaast staat in het kort de werking van de MBR Master Boot Record beschreven.

Waarschuwing: Het aanpassen / herstellen van de MBR is niet geheel zonder risico indien u niet weet hoe u te werk moet gaan adviseer ik u hier geen gebruik van te maken op eigen initiatief en op het forum advies te vragen.

Waarom een back-up maken van de Master Boot Record?
Een complete back-up (image of clone) van uw computer inclusief de MBR Master Boot Record is natuurlijk de beste optie, maar het is ook mogelijk om apart een back-up van de MBR te maken. Verderop in deze handleiding zullen we een aantal manieren beschrijven hoe u een back-up van de MBR Master Boot Record kunt maken.

Rootkits en Bootkits staan erom bekend dat deze de MBR Master Boot Record infecteren om zo de malware voordat het systeem is opgestart te kunnen laden, echter zijn er ook rootkits die een verborgen partitie aanmaken en de Master Partition Table / partitietabel aanpassen zodat de aangemaakte partitie als actieve partitie wordt ingesteld. Een gekend voorbeeld hiervan is de TDL4 RootKit (SST.b)

Veel fabriekssystemen zoals bijvoorbeeld Acer of HP maken gebruik van een eigen MBR die het recovery systeem aanstuurt zodat de fabrieksimage van de recovery partitie benaderd kan worden. Op dit soort systemen is het dus niet mogelijk om met behulp van de Windows DVD de standaard MBR Master Boot Record weg te schrijven, dit zal namelijk resulteren in een onwerkbaar (disc to disc) recovery systeem.

Bij een rootkit infectie die de MBR heeft geïnfecteerd kan je op dit soort systemen dus ook niet zomaar "tools" gebruiken die de standaard Windows MBR herstellen, in zulke gevallen biedt een eigen gemaakt back-up van de MBR een uitkomst. Echter blijft een complete back-up (image of clone) van uw computer natuurlijk wel de beste oplossing.

Index
Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)
2
MBR Master Boot Record - Informatie

De MBR Master Boot Record is een plaats op de hardeschijf met informatie die door de BIOS aangesproken kan worden om het boot-proces van het systeem te bepalen, daarbij wordt er ook geregeld hoe een besturingssysteem geladen moet worden. De MBR is altijd aanwezig op cylinder 0, head 0, en sector 1 (eigenlijk de sector 0) en is 512 bytes groot.

De MBR Master Boot Record bestaat standaard uit de volgende drie delen, deze drie onderdelen zijn gezamenlijk 512 bytes groot. Aan de hand van de onderstaande afbeelding en de corresponderende kleuren zullen we deze drie onderdelen benoemen.
Het eerste gedeelte is de Master Boot Code van 446 bytes groot, het tweede deel is de Master Partition Table van 64 bytes en als laatste de Bootsignature 0xAA55 van 2 bytes.
Afbeelding
De Master Boot Code zoals u kunt zien in het groene kader hierboven is verantwoordelijk voor het opsporen van de actieve partitie Master Partition Table zoals in het blauwe kader is weergegeven. Zodra de MBR Master Boot Record is gevonden wordt deze geladen in het geheugen op locatie 0000:7C00 (hex) van het systeem.
De actieve partitie zal vervolgens door de bootloader aangesproken worden zodat het besturingssysteem kan opstarten (bij Windows NT-gebaseerde machines is dit NTLDR.)

De Master Partition Table ook wel partitietabel genoemd bevat de werkelijke indeling van een hardeschijf. Doordat de Master Partition Table / partitietabel maar een beperkte ruimte heeft kunnen er maximaal vier primaire partities worden aangemaakt. Zodra je meer dan vier partities wilt aanmaken dienen dit logische stations te zijn die aangemaakt kunnen worden binnen een primaire partitie.
Aangezien een Partition Table / partitietabel maar vier primaire partities kan bevatten bestaat deze ook maar uit vier keer 16 bytes, op de onderstaande afbeelding ziet u hier een voorbeeld van.
Afbeelding
Het grijze gedeelte op deze afbeelding is de Master Partition Table / partitietabel, de rode cirkel (Byte 0) met de waarde 80 geeft aan dat het hier een actieve partitie betreft. Mocht hier bijvoorbeeld 00 staan geeft dit aan dat het een niet-actieve partitie betreft. De blauwe cirkel (Byte 4) geeft aan hoe de partitie is geformatteerd, in dit geval 07 wat betekent dat deze volgens het NTFS bestandssysteem is geformatteerd. Hier zou bijvoorbeeld ook 0B kunnen staan wat aangeeft dat deze FAT32 is of 0F wat aangeeft dat het een uitgebreide partitie betreft.

De Bootsignature met de twee laatste bytes van de MBR Master Boot Record zijn altijd altijd 55 AA (hex), dit kan gezien worden als handtekening die aangeeft dat er in deze sector een goede (en dus niet corrupte) partitie tabel staat.
Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)
3
Emsisoft MBR Master

Download Emsisoft MBR Master naar het bureaublad.
  • Dubbelklik op mbrmastr.exe om de tool te starten.
  • Let op!!! Windows Vista & 7 gebruikers dienen mbrmastr.exe als administrator uit te voeren "Rechtermuisknop uitvoeren als",
  • Klik nu op de knop "Backup MBR" en sla deze op een veilige plaats op als MBR-backup.mbr.
    Afbeelding
  • Sluit mbrmastr.exe
4
MBR Tool - Backup
Met behulp van MBR Tool kan je via een opstartbare CD / DVD een back-up maken van de MBR, je kan deze tevens via deze CD / DVD ook weer herstellen.

Download MBR Tool van DIY DataRecovery.
  • Dubbelklik op "MBRtool_Setup.exe" om het programma te installeren en volg de verdere instructies.
  • Aan het eind van de installatie staat de optie "Run the diskette or CD builder" aangevinkt, laat deze zo staan en klik op "Finish"
  • Kies in het volgende scherm create boot CD/DVD en klik op "Go"
    Afbeelding
  • Start de computer op van deze boot CD/DVD
  • In het volgende scherm dat verschijnt selecteer je optie "4. work with MBR (backup, restore, display, etc)" en druk je op Enter.
    Afbeelding
  • In het volgende scherm / menu kies je optie "1. Backup" en druk je op Enter.
    Afbeelding
  • Daarna moet je onderaan het schijfnummer ingeven achter "Enter Disk number (0 - 3)>".
  • Dit is een nummer tussen 0 en 3 en staat in de tool rechts bovenaan achter "Disks" in het groen weergegeven.
  • Geef het nummer in het groen op en druk op enter.
    Afbeelding
  • Nu wordt gevraagd om het Backup type dat je wil gebruiken: S is voor Sector en F is voor File.
  • Kies hier voor de optie F voor File, kies je voor S wordt de back-up opslagen in Sector 9.
    Afbeelding
  • Nu dient er een bestandnaam opgegeven te worden, indien u automatisch een bestandsnaam wilt toewijzen geeft u een A op en drukt u op enter.
    Afbeelding
  • Nu wordt de back-up automatisch weggeschreven naar de schijf.
    Afbeelding
MBR Tool - Restore
  • Start de computer op van deze boot CD/DVD
  • In het volgende scherm dat verschijnt selecteer je optie "4. work with MBR (backup, restore, display, etc)" en druk je op Enter.
  • In het volgende scherm / menu kies je optie "2. Restore" en druk je op Enter.
  • Daarna moet je onderaan het schijfnummer ingeven achter "Enter Disk number (0 - 3)>".
  • Dit is een nummer tussen 0 en 3 en staat in de tool rechts bovenaan achter "Disks" in het groen weergegeven.
  • Geef het nummer in het groen op en druk op enter.
  • Nu wordt er gevraagd om het Backup type dat je wil gebruiken: S voor Sector of de F voor File.
  • Aangezien de eerder gemaakte backup als File is opgeslagen kies je hier voor de optie F
  • Nu wordt de backup van de MBR gebruikt om de Master Boot Record te overschrijven.
Een complete handleiding van MBR Tool is te vinden op de onderstaande link.
http://www.diydatarecovery.nl/MBRtool_manual.htm" onclick="window.open(this.href);return false;
Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)
Plaats reactie

Maak een account aan of log in om deel te nemen aan de discussie

Je moet lid zijn om een ​​reactie te kunnen plaatsen

Maak een account aan

Geen lid? Registreer om lid te worden van onze community
Leden kunnen hun eigen onderwerpen starten en zich abonneren op onderwerpen
Het is gratis en duurt maar een minuut

Registreer

Log in

Gebruikersnaam
Wachtwoord

Terug naar “Security artikelen & handleidingen”