MBRFilter – бесплатное программное обеспечение с открытым исходным кодом для устройств Windows. Предназначено для защиты главной загрузочной записи от изменений и манипуляций вредоносными программами.
Главная загрузочная запись MBR (англ. master boot record) - это первый сектор жесткого диска, содержащий код и данные, необходимые для последующей загрузки операционной системы. Данный первый сектор MBR имеет размер 512 байт и содержит небольшой фрагмент исполняемого кода, таблицу разделов (partition table) и специальную сигнатуру.
Загрузочный код помогает загрузить операционную систему, в то время как данные таблицы разделов помогают распознать файловую систему, хранящуюся на диске. Если запись MBR повреждена, то операционная система не сможет загрузиться.
Некоторые вредоносные программы, типа буткиты, скрывают свой код в MBR, так что он может загрузиться еще до загрузки операционной системы и может взять под свой контроль важные аспекты операционной системы для дальнейшего заражения файлов в корыстных целях. Буткит используется для получения максимальных привилегий в операционных системах. Может получить права администратора (суперпользователя) и выполнять любые вредоносные действия.
Основная цель программы MBRFilter заключается в предотвращении попыток вредоносного программного обеспечения заразить главную загрузочную запись. Бесплатно загрузить MBRFilter можно со страницы GitHub. Вы можете загрузить архив 32-битный или 64-разрядной версии, в зависимости от используемой версии операционной системы Windows. После этого вы должны извлечь содержимое архива файлов, щелкнуть правой кнопкой мыши на и выбрать “Установить” из контекстного меню. Дело сделано, остается только перезагрузить компьютер.
ОС Windows должна снова загрузиться и вы можете использовать систему, как и раньше. Единственное, что нужно знать — будут запрещены записи в секторе 0 на всех дисках.
Как удалить MBRFilter. С помощью комбинации клавиш Win+R открываем окно “Выполнить” и вводим команду “regedit”. В редакторе реестра переходим в раздел “Правка”, далее “Найти” и в поисковом окне набираем “MBRFilter”.
Нажимаем правой кнопкой мыши по параметру UpperFilters и выбираем пункт “Изменить”. Затем удаляем нижнюю строку “MBRFilter” и кликаем “OK”. Для завершения процедуры следует перезагрузить компьютер.
Примечание. Перед установкой MBRFilter рекомендуется сделать резервную копию системы.
На одном компьютере, посыпались резонные вопросы, что будет если вторая система надоест и наступит желание её удалить. Скорее всего, слетит загрузчик (если выражаться языком автолюбителей, то это как стартер в машине) и вы увидите чёрный экран. Многие могут подумать «ну вот всё, в очередной раз поломался компьютер». На самом деле система установлена и полностью работоспособна, но стартануть не может.
Также это может произойти если на компьютер устанавливать системы в хаотическом порядке и не придерживаться правильного порядка установки: (С:) Windows XP, (D:) Windows 7, (E:) Windows 8.1 (F:) Windows 10.
Одним словом «загрузчик» может «полететь» по разным и более экзотическим причинам, но не стоит этого бояться.
- Главная загрузочная запись (MBR) — это первый сектор на жёстком диске, в котором находится таблица разделов и маленькая программа загрузчик, считывающая в данной таблице данные с какого раздела жёсткого диска производит загрузку система и в дальнейшем информация передаётся в раздел с установленной операционной системой, для её загрузки (как-то так 🙂).
Сегодня разговор будет о Windows 7 (хотя действия по восстановлению «загрузчика» в других системам те же самые). Для этого понадобиться или установочный диск с операционной системой, надеюсь вы его ещё не выбросили или флешка (если у вас нет ни того ни другого, читаем статью ниже). Включаем компьютер. отвечающую за вход в boot menu и выставляем приоритет загрузки с привода или с USB-накопителя. Представим что мы загружаемся с оптического диска. Во время загрузки появляется надпись.
1. Нажимаем любую клавишу для загрузки с CD или DVD. Доходим до окна «Установка Windows» и нажимаем кнопку «Восстановление системы».
Вероятно проблемы сразу будут обнаружены. Нажимаем кнопку «Исправить и перезапустить».
2. Если не помогло и система по-прежнему не загружается, снова доходим до окна «Параметры восстановления системы» и нажимаем кнопку «Далее».
Выбираем пункт «Командная строка».
Вводим первую команду bootrec /fixmbr
- Утилита записывает совместимую с Windows 7 главную загрузочную запись (MBR) в системный раздел. Эта опция решит проблемы связанные с повреждением главной загрузочной записи, или если есть желание удалит из неё нестандартный код. Существующая таблица разделов в этом случае не переписывается.
Вторая команда bootrec /fixboot
- Утилита записывает в системный раздел новый загрузочный сектор, совместимый с Windows 7.
Выходим, написав exit и делаем перезагрузку компьютера.
3. В принципе эти действия должны «вылечить» компьютер. Но есть ещё команды, если тёмные тучи продолжают сгущаться над головой. Вводим команду bootrec /ScanOs , сканируется винчестер на наличие операционных систем и если таковые будут найдены, то выйдет соответствующее предупреждение. Затем команда bootrec /RebuildBcd , данная утилита предложит внести найденные Windows в меню загрузки, соглашаемся и вводим Y и жмём Enter . Windows успешно добавлена в меню загрузки.
4. Кроме описанных способов можно воспользоваться командой bootsect /NT60 SYS , основной загрузочный код, также будет обновлён. Далее Если и дальше ничего не помогает (хотя с трудом вериться) восстанавливаем среду загрузки с помощью утилиты BCDBoot.exe, её используют для создания системного раздела или восстановления среды загрузки, расположенной в системном разделе. Командная строка выглядит таким образом: bcdboot c:\windows Если у вас система установлена на другом разделе нужно исправить в команде путь, например, на bcdboot e:\windows
Таким образом, нами успешно восстановлен «загрузчик» в Windows 7 и нет необходимости тащить компьютер в мастерскую. Как быть если нет установочного диска или флешки. Заранее скачайте хотя бы вот эту . Залейте её на диск или USB-накопитель. Кстати говоря помните у нас был уже пост о том . Когда случиться увидеть чёрный экран вспоминаем об этой программе, там много чего интересного, в том числе и интерпретатор командной строки cmd.exe.
На этом, пожалуй, хватит, хотя невозможность запуска операционной системы Windows 7 из-за повреждённого или отсутствующего загрузчика можно решить при помощи таких программ, как Hiren’s Boot CD, Paragon Hard Disk Manager, MBRFix и многих других полезных вещиц 🙂 .
Помогите жертве капиталистического катаклизма. Делитесь постом в соц. сетях:
Создание волшебной флешки для восстановления Windo... // Недавно наблюдал такую картину. Пришла к нам в гости подружка жены с мужем. У мужа за пазухой ноутбук. Просьба за одно...
15.5. Восстановление главной загрузочной записи ( MBR )
Сектор диска, в котором хранится его таблица разбиения, или главная загрузочная запись ( MBR - Master Boot Record ) , является самой важной зоной накопителя. В этом секторе емкостью 512 байт содержатся описания логических разделов (не более четырех) , а также инструкция по запуску операционной системы. Если MBR окажется поврежденной, система не сможет даже опознать жесткий диск не говоря уже о том, чтобы загрузиться с него. К сожалению, потерянную главную загрузочную запись восстановить чрезвычайно трудно (с возможностью доступа ко всем хранящимся на жестком диске данным) . Однако существует несколько программ, позволяющих в некоторых случаях реконструировать эту важную область диска. К ним относятся пакет Norton Utilities для Windows , программы MIRROR ( DOS 5.0) и UNFORMAT ( DOS 6.2 x ) для дисков с файловыми системами FAT 16, а также программа FDISK - последнее средство восстановления поврежденной главной загрузочной записи.
15.5.1. Программы MIRROR и UNFORMAT
Застраховаться от неприятных последствий всегда проще, чем потом их преодолевать - эта прописная истина справедлива и для процесса восстановления данных. Если в системе установлена операционная система DOS версии 5.0 или более поздней, то для сохранения резервной копии и последующего восстановления главной загрузочной записи можете воспользоваться двумя программами: MIRROR . EXE и UNFORMAT . COM . Пока жесткий диск еще не вышел из строя, введите следующую команду: MIRROR / PARTN
Программа MIRROR входила только в состав DOS 5.0, а в последующих версиях ОС от нее по непонятным причинам отказались. Однако ее можно позаимствовать со старых дистрибутивов или поискать в архивах Интернет.
После запуска программа MIRROR запросит имя дисковода. Вставьте загрузочную дискету в дисковод А: или В: и дайте указание программе создать копию таблицы разбиения жесткого диска на этой дискете. Проделывая такую операцию регулярно (скажем, раз в полгода) , вы всегда будете иметь в запасе “спасательную” дискету на случай возникновения неприятностей с жестким, диском. Если его MBR окажется поврежденной, то загрузите компьютер с упомянутой дискеты (на нее, помимо таблицы разбиения, должен быть скопирован еще и файл UNFORMAT . COM ) и введите команду
UNFORMAT / PARTN Программа UNFORMAT попросит указать местонахождение и имя файла с резервной копией MBR (обычно он называется RARTNSAV . FIL ) . Введите буквенное обозначение накопителя (А: или В:) , в котором находится дискета с этим файлом, и работа программы продолжится. Если у вас нет сомнений в достоверности сохраненных данных о разбиении диска, то подтвердите свое желание их восстановить, а затем перезагрузите компьютер с жесткого диска. Если на нем была повреждена только главная загрузочная запись, то компьютер должен работать нормально.
Нет необходимости регулярно копировать главную загрузочную запись. Она изменяется только при переформатировании диска, поэтому достаточно создать ее резервную копию один раз непосредственно после этой процедуры.
15.5.1.1. Использование программы FDISK с ключом / MBR
Вы, по видимому, читали и слышали, что программу FDISK нельзя использовать для восстановления данных, поскольку она вносит такие изменения в структуру диска, после которых ранее хранившаяся на нем информация становится недоступной. Это правда - но не вся. В этой программе предусмотрена недокументированная функция, позволяющая восстановить загрузочный код в начале MBR , не затрагивая саму таблицу разбиения. Если главную загрузочную запись не удается реконструировать никакими другими средствами, то можно воспользоваться командой FDISK / MBR и попытаться восстановить хотя бы ее часть. Запущенная с ключом / MBR , программа FDIS К работает автоматически. На экран не будет выведено даже ее меню - программа просто восстановит код в начале MBR и вернет управление операционной системе DOS . Учитывая потенциальную опасность программы FDISK , использовать эту недокументированную возможность можно лишь в качестве последнего средства восстановления главной загрузочной записи. В результате выполнения команды FDISK / MBR ваши данные, по идее, не должны потеряться, но всякое бывает! Поэтому, прежде чем идти на крайние меры, создайте резервную копию максимально возможного количества данных с жесткого диска.
Пользуйтесь только той версией программы FDISK , которая соответствует вашей операционной системе. Например, если в компьютере установлена ОС Windows 98, то запустите на исполнение файл FDISK . EXE , записанный на стартовом диске Windows 98.
15.5.2. Программа RESCUE PROFESSIONAL
Что же делать в тех случаях, когда вам необходимо добраться доданных, хранящихся на жестком диске, но сведения о его разбиении потеряны и не поддаются восстановлению, или на экран выводится сообщение наподобие Track 0 bad , disk unusable (нулевая дорожка повреждена, диск использовать невозможно) ! Rescue Professional компании AllMicro является автономным (самозагружающимся) средством для восстановления данных, причем его программная часть разработана таким образом, что взаимодействует непосредственно с аппаратными средствами компьютера и позволяет восстанавливать как отдельные файлы, так и целые директории. В отличие от описанных ранее процедур восстановления данных, при выполнении которых предпринимаются попытки в той или иной степени восстановить работоспособность накопителей, Rescue Professional не корректирует поврежденные таблицы разбиения или загрузочные записи DOS . Единственная цель этой программы - обеспечить управление накопителем (если, конечно, он исправен) и восстановить максимально возможное количество файлов из тех, что ей удастся обнаружить на диске.
15.5.3. Восстановление данных после случайного переформатирования диска
В процессе высокоуровневого форматирования, выполняемого с помощью программы FORMAT , перезаписывается загрузочный сектор и корневой каталог диска. Кроме того, при форматировании проверяется надежность записи и считывания данных во всех кластерах, и сведения о поврежденных ячейках размещения данных заносятся в FAT . По идее, форматирование является разрушающим процессом, т.е. записанные на диске данные после его выполнения становятся недоступными. Однако сами они никуда не исчезают. Это означает, что даже после случайного форматирования раздела диска, хранившиеся на нем данные еще можно спасти. В операционной системе Windows нет собственных средств для восстановления данных на случайно переформатированном диске, но существуют другие программы, позволяющие сохранить копии данных из системных областей дисков и при необходимости использовать их для восстановления испорченных разделов. Если вы работаете в среде DOS 6.2 x , то можете воспользоваться для этих целей программой UNFORMAT (позаимствованной из пакета PC Tools фирмы Central Point ) . Например, для восстановления прежнего состояния диска С:, введите команду unformat с: Учтите одно важное обстоятельство: программу UNFORMAT нужно запускать сразу после форматирования, пока таблица размещения файлов еще пуста. Это является необходимым условием успешного выполнения программы UNFORMAT . Появление на диске новых файлов может нарушить ее работу и не позволить ей восстановить прежние данные.
15.5.3.1. Программа EasyRecovery
Если жесткий диск выходит из строя, то его обычно отправляют в специализированную мастерскую. Там накопитель приводят в такое состояние, чтобы с него можно бы было считать данные. Если же аппаратная часть накопителя в порядке, то можно воспользоваться программой EasyRecovery фирмы Ontrack для спасения данных, добраться до которых иными способами не удается. Эта программа предназначена для восстановления информации самими пользователями и позволяет реконструировать файловые структуры дисков (в том числе и в разделах, размеры которых превышают 8,4Гбайт) . EasyRecovery не пытается исправить повреждения на самом диске и ничего на него не записывает. Таблица размещения файлов восстанавливается в памяти компьютера, после чего данные пересылаются в другой накопитель (например, на второй жесткий диск) . В этом разделе рассматриваются основные возможности программы EasyRecovery и приводятся некоторые практические рекомендации по ее применению.
В большинстве случаев процесс восстановления данных происходит без вашего участия. Вам нужно выбрать файлы, а уж восстановятся они или нет - зависит не от вас. Тем не менее, существует несколько правил, при соблюдении которых можно добиться наилучших результатов.
· Залогом успешного восстановления данных является регулярное создание резервных копий ваших рабочих данных. Даже если вам придется переустановить операционную систему и все приложения, то при наличии такой копии вы сможете быстро восстановить ситуацию и продолжить работу. Если у вас такой копии не окажется, и вы не можете восстановить данные на диске, то вся проделанная вами работа пойдет насмарку.
· Прежде чем бросаться восстанавливать данные, проверьте, правильно ли установлены в BIOS параметры накопителя. Изменение параметров геометрической модели жесткого диска обычно приводит к тому, что он (или его часть) становится недоступным. В некоторых случаях “восстановление данных” может свестись лишь к настройке параметров BIOS .
· Не пользуйтесь сразу несколькими программами восстановления данных. Например, не стоит запускать CHKDSK перед использованием программы EasyRecovery . Более мощные средства восстановления данных могут неправильно интерпретировать результаты работы таких простых программ, как CHKDSK ..
· Заранее подготовьте резервный накопитель, на который будут записываться восстановленные данные (другой накопитель на жестком диске, сетевой диск, накопитель типа Jaz или Zip ) . На нем должно быть достаточно свободного места для размещения восстановленных файлов (при использовании дисководов типа Jaz или Zip запаситесь достаточным количеством сменных носителей) .
· Выделите достаточный объем оперативной памяти для временного хранения восстановленных данных (там они будут находиться до момента их переноса в резервный накопитель) . Если в качестве оперативной памяти используется часть пространства жесткого диска (файл подкачки) , то убедитесь в том, что на нем имеется достаточно свободного места - и никогда не размещайте файл подкачки на восстанавливаемом (т.е. не вполне надежном) диске.
· Программы восстановления данных могут работать достаточно долго. Будьте готовы к тому, что частью своего рабочего времени вам придется пожертвовать (вряд ли вам удастся поработать на компьютере, пока будет идти восстановление файлов) .
· Перед тем как воспользоваться программой восстановления данных, убедитесь в том, что она совместима с файловой системой интересующего вас раздела жесткого диска ( FAT 16, FAT 32 или NTFS ) и способна обрабатывать тома соответствующего размера. Если программа не подходит по одному из параметров, то попытка ее использования может окончательно похоронить все надежды на восстановление потерянных данных - в результате работы такой программы они будут уничтожены окончательно. Убедитесь в том, что программа восстановления данных обновлена до последней версии (или, по крайней мере, в ней исправлены ошибки) .
· Во избежание неприятных последствий подключите компьютер - по крайней мере, на время восстановления данных - к источнику бесперебойн ого питания.
