如何编写本地化的NTFS引导扇区？

鲜为人知的事实：NTFS引导扇区使用不同的语言。他们可以说“ BOOTMGR is missing”和“ Press Ctrl+Alt+Del to restart”，但也可以用其他语言说同样的话。这取决于创建和格式化分区时使用的Windows系统的区域设置。

由于周围有恶意软件，我不得不重写系统驱动器的NTFS引导扇区，该扇区隐藏了一个rootkit。我是使用bootsect.exe安装DVD上的工具完成此操作的，这与我最初用于安装Windows的意大利语安装DVD相同；那里的it-IT文件夹中也有一个不错的bootsect.exe.mui文件。但是该工具说英语，而我的NTFS引导扇区现在也说英语（当然，以前也没有）。

我知道这纯粹是装饰性的事情，但我想知道：如何创建本地化的NTFS引导扇区（当然，无需在本地化的系统中重新格式化分区）？

不同的消息来自不同的地方。但是，如果您替换启动文件，例如bootmgr，BCD（来自具有完全相同的启动配置的系统），bootsect.dat，boot.sdi或所拥有的文件的任意组合，我想您会在其中找到消息。您选择的语言。

在我的Vista上，即使我使用的是波兰语系统，引导扇区也是英语的。我是从原始Microsoft磁盘安装的。也许您的引导程序是被OEM入侵的引导程序。

引导扇区很小（只有512字节），因此您可以将其反汇编（使用从NDISASM到IDA的任何内容），修复消息，然后重新组装（NASM可以）。

这需要一些编程技巧，也许还需要阅读一些x86汇编器教科书，但是如果您付出了足够的努力，那么肯定可以这样做。

1）将包含NTFS分区的驱动器插入运行linux的计算机中，使用磁盘/十六进制编辑器或dd命令；或2）引导进入CD / DVD上的某些Linux，然后同上；或3）在Windows系统上执行相同的操作，但是要编辑的NTFS卷必须在Windows Vista及更高版本中卸载。您有4个消息字符串，以ascii编码，具有以字节1F8h至1FBh给出的起始偏移量（相对于Volume Boot Record中的偏移量100h）。从偏移量180h到偏移量1F7h的区域似乎可用于这些消息。分区末尾有一个卷启动记录副本。

您可以尝试执行此操作（如果Windows安装位于C：分区中）

bcdboot c:\Windows /l it-it

或者，使用bcdedit

bcdedit /set {bootmgr} locale it-IT
bcdedit /set locale it-IT

或者，使用bcdedit取决于您的配置（通过键入bcdedit知道您的配置）

bcdedit /set {default} it-IT
bcdedit /set {current} it-IT 

您可以在此处找到有关“ bcdboot”命令的文档：

http://technet.microsoft.com/zh-cn/library/cc731245%28WS.10%29.aspx

和“ bcdedit”在这里：

http://technet.microsoft.com/fr-fr/library/cc709667%28WS.10%29.aspx

告诉我们哪一种适合您，如果可行。