去年7月左右，一个著名安全媒体发布了一篇关于U盘拷贝者MBR勒索木马的分析报告，传播和影响较大。出于技术的探索欲以及内心的责任感，我们也分析了该木马样本。在原分析的基础上，我们纠正了一些关于勒索解密机制的错误。更有趣的是，我们发现该样本暴露了不少情报线索。进而通过层层深挖，可以对犯罪嫌疑人进行有效溯源。目前犯罪嫌疑人已经被江西九江警方缉拿归案

Linux启动过程：　　　　!(https://oscimg.oschina.net/oscnet/f835d9b34160d6cc96c2dc85dd2bdcaa550.png)　　　　图片来自：https://www.cnblogs.com/codecc/p/boot.html　　简单来讲：加载BIOS–读取MBR–Boo

1）开机自检，加载BIOS信息    CPU的相关信息、设备启动顺序信息、硬盘信息、内存信息、时钟信息等2）MBR引导    硬盘的0柱面0磁道1扇区被称为MBR（MasterBootReord）主引导记录，大小为512字节，里面存放预启动信息、分区表信息及分区标志等；分为两部分：第

前一阵，我想把deepin15.10系统装在我的U盘上，首先你的用2个U盘，一个是安装盘，一个U盘是当你想安装到的硬盘，如果一个U盘的话写入时没用的，他也不能自己把自己分区，执行安装了。硬盘模式，我用的是MBR，貌似GPT也可以，还更好用！我还没来得及实践。安装成功了也没什么问题，HDMI显示器我的不显示，解决方法是$xrandrli

<bochs:100000000000e\WGUI\Simclientsize(0,0)!stretchedsize(640,480)!<bochs:2b0x7c00<bochs:3c00000003740i\BIOS\$Revision:1.166$$Date:2006/08/1117

/etc/inittab文件详解Linux系统的启动过程为：加电自检根据BIOS中的设置从指定的设备启动找到设备MBR中的bootloader引导启动系统启动kernel启动init进程我们看到，Linux系统启动的最后是启动init进程，而init进程是怎么工作的呢？init进程就是根据/etc/inittab

备份MBR扇区数据ddif/dev/sda of/data/abc.bakbs512count1损坏扇区文件将/dev/zreo中的数据拷贝至sda的MBR扇区中，以达到模拟破坏MBR扇区的效果。ddif/dev/zeroof/dev/sdabs512count1重启使用光盘引导模式进入救援模式输入“1” 回车 ，到了shell后再回车创