自2010年鬼影病毒问世以来，可谓是开创了一类新型恶意软件编写的 先河。经过两年多的发展，鬼影病毒“繁衍”了一代又一代，形成了特性鲜明的鬼影家族系列。之所以称之为鬼影病毒，主要是因为该病毒寄生在磁盘主引导记录 (MBR)当中，即使格式化硬盘，甚至重装系统，也无法将其完全清除，犹如“鬼影”一般附身于计算机中“阴魂不散”，令人十分恼火。

　 　鬼影病毒是近年来较为罕见的技术型病毒，病毒作者具有高超的编程技巧。该病毒一旦进入电脑，就像恶魔一样，隐藏在系统之外，并早于操作系统内核先加载， 所以哪怕是重做了系统，只要MBR没重写，病毒就仍然存在。鬼影病毒目前已发展到第六代，已出现多个变种，且每个变种的行为都不尽相同，但它们都有一个共 性，就是修改MBR。

　　MBR，全称为Master Boot Record，即硬盘的主引导记录。位于硬盘的0柱面0磁道1扇区，不属于任何一个操作系统，是计算机通电开机、主板自检完成后，访问硬盘时必须读取的首 个扇区。主引导扇区中记录着硬盘本身的相关信息以及硬盘各个分区的大小和位置信息，是数据信息的重要入口。如果它受到破坏，硬盘上的基本数据结构信息将会 丢失，需要用繁琐的方式试探性的重建数据结构信息后，才可能重新访问原先的数据。

　　主引导扇区的读取流程如下：

　　1. BIOS加电自检;

　　2. 读取MBR，当BIOS检查到硬件正常并与CMOS中的设置相符后，按照CMOS中对启动设备的设置顺序检测可用的启动设备;

　　3. 检查MBR的结束标志位是否等于55AAH，若不等于则转去尝试其他启动设备，如果没有启动设备满足要求，则显示"NO ROM BASIC"，然后死机;

　　4. 当检测到有启动设备满足要求后，BIOS将控制权交给相应启动设备;

　　5. 根据启动设备的MBR中的引导代码启动引导程序。

　 　通过上述流程可以看出，MBR对于操作系统来说是多么重要，一旦被破坏或被病毒恶意修改，对于系统来说都是致命的。因鬼影病毒而兴起的MBR- Rootkit技术颠覆了传统病毒的感染特点以及用户处理病毒问题的思维定势，也算是具有划时代的意义。本文介绍的是鬼影家族的第三代产品，具有一定代表 性。