还原精灵的工作原理 :它修改了引导区,引导区又被称为 MBR,它位于硬盘的 0 头 0 柱 1扇区,在扩展 int 13 中没有头、柱、扇区这个概念,它只有逻辑扇区,在扩展的 int 13 中MBR 位于是 0 扇区,如果 BIOS中设置的是硬盘启动的话, 系统会首先载入这个扇区到内存,然后运行这个代码, 还原精灵就是用的是自己的引导代码, 这个方法与引导型病毒一样, 病毒的目的是破坏, 而它的目的是保护, 就如武器在坏人手里有破坏力一样, 这个代码接管了INT13 中断,每当我们向硬盘写入数据时,其实还是写入到硬盘中,可是没有真正修改硬盘中的 FAT。由于 INT13 被接管,当还原精灵发现