主引导记录(MBR)分析

最新推荐文章于 2021-05-05 03:20:32 发布
最新推荐文章于 2021-05-05 03:20:32 发布
阅读量2.6k 收藏 1
点赞数
分类专栏: 学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/enlangs/article/details/17280617
版权

 

主引导记录Master Boot Record,缩写:MBR),又叫做主引导扇区,是计算机开机后访问硬盘时所必须要读取的首个扇区,它在硬盘上的三维地址为(柱面,磁头,扇区)=(0,0,1)。详情:http://zh.wikipedia.org/wiki/%E4%B8%BB%E5%BC%95%E5%AF%BC%E8%AE%B0%E5%BD%95

 

首先使用shell如何查看MBR信息:

1 #使用dd导出MBR到mbr.bin文件
2 dd if=/dev/sda of=mbr.bin bs=512 count=1 
3 #使用dd导出MBR并且使用xxd显示
4 dd if=/dev/sda bs=512 count=1 | xxd
5 #使用dd导出MBR并且使用xxd显示分区信息
6 dd if=/dev/sda bs=512 count=1 | xxd -s 446

虚拟机上的使用实例:

 1 #取得sda中的MBR中的分区信息,得出2个分区,第一个分区为活动分区(可以引导系统)
 2 #第一个分区信息存储在mbr的0x01be偏移
 3 #最后一个分区结束在mbr的0x01fe偏移
 4 #至于16个字节的具体含义,就参见下文
 5 [root@localhost ~]# dd if=/dev/sda bs=512 count=1 |xxd -s 446 -c 16 -g 1   # dd if=/dev/sda bs=512 count=1 |xxd -s 0x01be -c 16 -g 1
 6 00001be: 80 20 21 00 83 dd 1e 3f 00 08 00 00 00 a0 0f 00  . !....?........
 7 00001ce: 00 dd 1f 3f 8e fe ff ff 00 a8 0f 00 00 58 b0 03  ...?.........X..
 8 00001de: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
 9 00001ee: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
10 1+0 records in
11 1+0 records out
12 512 bytes (512 B) copied, 0.000361566 s, 1.4 MB/s
13 00001fe: 55 aa                                            U.

 上面只能表示4个主分区,不能表示扩展分区。扩展分区和主分区的具体存储如下图:

以下内容从维基百科上摘录,整个MBR分为下面三部分。

启动代码

主引导记录最开头是第一阶段引导代码。其中的硬盘引导程序的主要作用是检查分区表是否正确并且在系统硬件完成自检以后将控制权交给硬盘上的引导程序(如GNU GRUB)。MBR是由分区程序(如Fdisk)所产生的,它不依赖任何操作系统,而且硬盘引导程序也是可以改变的,从而能够实现多系统引导

硬盘分区表

      硬盘分区表占据主引导扇区的64个字节(偏移01BEH--偏移01FDH),可以对四个分区的信息进行描述,其中每个分区的信息占据16个字节。具体每个字节的定义可以参见硬盘分区结构信息。下面是一个例子:

如果某一分区在硬盘分区表的信息如下

80 01 01 00 0B FE BF FC 3F 00 00 00 7E 86 BB 00

则我们可以看到,最前面的"80"是一个分区的激活标志,表示系统可引导;"01 01 00"表示分区开始的磁头号为01,开始的扇区号为01,开始的柱面号为00;"0B"表示分区的系统类型是FAT32,其他比较常用的有04(FAT16)、07(NTFS);"FE BF FC"表示分区结束的磁头号为254,分区结束的扇区号为63、分区结束的柱面号为764;"3F 00 00 00"表示首扇区的相对扇区号为63;"7E 86 BB 00"表示总扇区数为12287662。

对于现代大于8.4G的硬盘,CHS已经无法表示, BIOS使用LBA模式,对于超出的部分,CHS值通常设为 FEFFFF, 并加以忽略,直接使用08-0f的4字节相对值,再进行内部转换.

硬盘分区结构信息
偏移长度(字节)意义
00H1分区状态:00-->非活动分区;80--> 活动分区;
其它数值没有意义
01H1分区起始磁头号(HEAD),用到全部8位
02H2分区起始扇区号(SECTOR),占据02H的位0-5;
该分区的起始磁柱号(CYLINDER),占据
02H的位6-7和03H的全部8位
04H1文件系统标志位
05H1分区结束磁头号(HEAD),用到全部8位
06H2分区结束扇区号(SECTOR),占据06H的位0-5;
该分区的起始磁柱号(CYLINDER),占据
06H的位6-7和07H的全部8位
08H4分区起始相对扇区号
0CH4分区总的扇区数

      结束标志字

结束标志字55,AA(偏移1FEH-偏移1FFH)是主引导扇区的最后两个字节,是检验主引导记录是否有效的标志。

未完成!!!

 

 

ishouyong
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
引导记录(MBR)信息分析与获取
倒计时
10-12 7186
前段时间在安装黑苹果时,发现一个问题,电脑在启动时,会找激活分区,如果没有找到,那就启动不起来。 那能否写个小程序读取一下MBR信息,把激活分区换成其它,搞点恶作剧呢,于是就有了这篇读取MBR信息的文章,但是没写入,不敢尝试。 通过动手学习,对硬盘MBR信息有了更好的了解。 1、我的硬盘引导记录信息及分析 80 01 01 00 07 FE FF FF 3F 00 00 00 0D F0
引导记录(MBR)的反汇编分析.doc
04-02
引导记录(MBR)的反汇编分析,自己用DEBUG跟踪,把一些汇编代码做了注释
Python实现Linux命令xxd -i功能
09-15
要介绍了Python实现Linux命令xxd -i功能的相关资料,需要的朋友可以参考下
df命令能够实现linux系统磁盘管理中,Linux系统下常用的磁盘管理命令——du / df / fdisk / mount / xxd...
weixin_39844267的博客
05-05 259
之前使用虚拟机体验Linux操作系统的使用,一般使用默认的磁盘分区设置,也很少涉及磁盘管理操作,且总有删除重装作为后盾。在安装Ubuntu双系统后,在使用过程中遇到了磁盘分区不合理导致的/boot分区空间不足、磁盘空间需要进行管理等问题,而使用简单粗暴的重装操作则失去了性价比,转而需要通过Linux系统自带的强大的磁盘和文件系统的管理功能来进行实际操作,这里记录平常使用过程中常用的相关的磁盘和文件...
详细图文演示——排除启动类故障以及Linux操作系统引导、运行级别和优化启动等相关知识
想成功,靠自己
01-29 798
排除启动类故障详细图文演示以及Linux操作系统引导、运行级别和优化启动等相关知识一、Linux操作系统引导过程1、开机自检2、MBR 引导3、GRUB菜单4、加载Linux内核5、init进程初始化6、init进程与Systemd1、init进程2、Systemd1、Systemd单元类型2、运行级别所对应的Systemd目标二、排除启动类故障1、修复MBR扇区故障1、故障原因2、故障现象3、解决思路4、模拟故障示例1、创建新硬盘,并格式化2、备份MBR (扇区磁盘到其他磁盘)3、模拟破坏MBR引导区4、
【BIOS】MBR引导程序类型及详解
热门推荐
xinlan3618的博客
12-21 2万+
一、前言在了解MBR引导之前,先需要了解读取MBR之前,机器都干什么了。直接总结其他博的文章罗列在此,以便查阅:首先我们要了解整个启动过程的轮廓,可以读下边这篇文章计算机的启动过程(详细) 读完这篇文章,我们可以深入研究一下BIOS在将控制权交给MBR之前的一系列动作,可以读下边文章BIOS启动过程分析了解BIOS之后,可以看看MBR的具体结构。引导记录MBR的结构和作用总结一下:二、MBR的...
病毒木马查杀实战第023篇:MBR病毒之引导区的解析
Gleam的专栏
04-18 9565
前言        引导型病毒指寄生在磁盘引导区或引导区的计算机病毒。这种病毒利用系统引导时,不对引导区的内容正确与否进行判别的缺点,在引导系统的过程中入侵系统,驻留内存,监视系统运行,伺机传染和破坏。按照引导型病毒在硬盘上的寄生位置又可细分为引导记录病毒和分区引导记录病毒。我们未来的几次课,会专门从各个角度来分析这种病毒的特点,阐述病毒原理,提出应对方法。而本次课程的内容要来讨论一下引
Windows启动过程(MBR引导过程分析)
weixin_34247155的博客
06-12 1255
catalogue 1. 电脑启动过程 2. MBR分析(master boot record) - 位于整个硬盘的 0 扇区 3. DBR(DOS boot record) - 位于柱面0,磁头1,扇区1,即逻辑扇区0(逻辑扇区的第一个扇区) 4. MBR病毒   1. 电脑启动过程 1. 按下开机电源,电源向板和其他设备供电,此时电压不稳,板控制芯片会向CPU发送...
硬盘引导MBR解析器
05-27
硬盘引导区解析器,读取硬盘引导记录MBR的数据并进行简单的分析。 包含分区表、分区、拓展分区,以下不看垃圾CSDN越改越垃圾,需要免费找我
磁盘引导记录的详细解析文档(XP系统和Win7)
05-07
解析XP系统及WIN7系统安装后的MBR构成,U盘和光盘的MBR比较特殊,U盘MBR损坏后同样可以使用其它U盘的MBR进行修复(代码段)
MBR 写入程序(用来将你的MBR.bin写入到硬盘的第一个扇区)
01-06
有需要的可以下载这个MBR 写入程序,也是参考的(自己动手写操作系统)的作者的那个读软驱的程序,所以你必须把MBR.bin 和这个程序都放入到虚拟操作系统的软驱里才能加载
win98硬盘引导代码反汇编分析.rar_BIOS_bios 反汇编_mbr_rom bios_硬盘引导
09-19
WIN98SE硬盘引导记录代码反汇编分析硬盘引导记录MBR(Master Boot Record)是指硬盘之0面0道1扇区之内容,PC及其兼容机之ROM BIOS约定在上电及POST自检成功后,将其从硬盘读出,放置在内存0:7C00处,然后转去该...
FAT32文件系统MBR及DBR数据恢复
04-29
MBR及DBR的数据恢复,是指当硬盘上含有引导记录和系统引导记录的扇区上的数据遭到病毒破坏或错作失误而造成系统无法启动时,通过分析、修改扇区数据或用已备数据覆盖原扇区的方法达到恢复已损扇区中数据的目的
kuzzle病毒分析
02-06
kuzzle病毒件简介及分析:“Kuzzle”通过篡改电脑系统中的引导记录MBR)和卷引导记录(VBR),在不修复引导区情况下,用户即使重装系统也无法根除。
错误:60, 'SSL certificate problem: unable to get local issuer certificate'
池塘
08-15 4138
pycurl.error: (60, ‘SSL certificate problem: unable to get local issuer certificate’) 分别使用openssl查看子网站可以发现: root@d61-2:/code# openssl s_client -showcerts -servername x.y.com -connect x.y.com:443 CON...
PostMan 小技巧之-直接使用 chrome 的访问
池塘
12-07 3282
使用 postman 回放 chrome 的访问。
angular5项目笔记汇总
池塘
11-14 2635
angular5项目笔记。
mbr二进制静态分析 ida
最新发布
07-27
MBR(Master Boot Record,引导记录)是磁盘的第一个扇区,是启动操作系统的关键组成部分。IDA(Interactive Disassembler,交互式反汇编器)是一款二进制静态分析工具,用于逆向工程和恶意软件分析。 使用IDA...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值