BY mj:
Unhooker 3.8.341.552新增了一个Main Boot Record Verification (Check MBR for mismatchs at program start(SCSI Level))功能
功能实现是在sybex38.sys中sub_10E7A,使用该函数读出磁盘数据后,和正常方式读取的磁盘扇区做对比,来检查MBR Rootkit(或其他BOOTKIT)
该函数的实现是直接向DISK发送SCSI_REQUEST_BLOCK(IRP_MJ_SCSI),用以读写磁盘扇区
和机器狗II代的代码非常相似:D
不过还是无法检测tophet的隐藏的
SCSI_REQUEST_BLOCK这个思路