【电子取证技术】计算MBR扇区中的分区表记录信息及手工定位主分区,逻辑分区的位置

已于 2024-01-24 22:22:58 修改
阅读量458 收藏 4
点赞数
分类专栏: 电子数据取证实验 文章标签: 运维 linux 大数据
于 2023-03-27 22:57:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuwuhe99/article/details/129803640
版权

案例文件:01-MBR基本磁盘(1主分区1扩展分区).vhd

主引导记录(MBR)

在这里插入图片描述

在这里插入图片描述

分区类型及描述

在这里插入图片描述

计算MBR扇区中的分区表项信息中的分区表记录信息

在这里插入图片描述
在这里插入图片描述

手工定位分区位置

在这里插入图片描述
在这里插入图片描述
文件系统:跳转到起始扇区
在这里插入图片描述

手工分析扩展分区的相关信息
在这里插入图片描述

MBR扇区中的分区表项2指向的是扩展分区中第一个逻辑分区的EBR扇区位置。在这里插入图片描述

手工分析逻辑分区1至4的相关信息

逻辑分区1

EBR1的位置:4196352
起始扇区=EBR1+2048(偏移扇区数)
在这里插入图片描述

在这里插入图片描述

逻辑分区2

EBR2的位置:EBR1的位置+偏移扇区数=4196352+4196352=8392704
//偏移扇区:总是相对于EBR
起始扇区=EBR2+偏移扇区数=8392704+2048
在这里插入图片描述

逻辑分区3

EBR3的位置:EBR1的位置+偏移扇区数8392704=4196352+=12589056
先跳转到12589056扇区
起始扇区=EBR2+偏移扇区数=12589056+2048=12591104
总扇区数是模板管理器里的1的最后一个
在这里插入图片描述

5777opup
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MBR分区分析
MainEntry的博客
03-03 1920
每次总想写点东西,但又懒得打字。先写一下MBR分区的分析,等有空再写一下构建方法(也就是分区软件的原理)以及GPT分区的分析与构建,我就不写MBR的定义什么的百科上都有的东西了,来读这篇文章,MBR分区是什么都不清楚的就出门左转吧。。。MBR分区分为两种,一种有扩展分区,一种没有。 没有扩展分区的比较简单,最多就支持4个分区,硬盘的第零扇(也可以叫第一扇,你开心就好),该扇
Extended Boot Record (EBR)
A Flying Bird
08-06 1338
Ref扩展分区逻辑分区的概念: https://en.wikipedia.org/wiki/Extended_boot_recordOverview MBR有4个partition record entry,为了支持多于4个分区,就需要用到扩展分区的概念。此时, MBR的一个partition record entry定义extended partition。(最多只能有一个这种entry)
IMBR分区大小计算
dongyoubin的博客
05-14 424
IMBR分区大小计算 { "IMBR": [ { "addr_lo": "0x00010000", "len_lo": "0x00008000", "attr": "0x00000022", "name": "env" }, { "addr_lo": "...
MBR分区详解
gkxg001的博客
09-27 3万+
1.MBR分区 MBR(Main Boot Record 引导记录)位于整个硬盘的0磁道0柱面1扇。在512字节的引导扇MBR只占用了其的446个字节,另外的64个字节交给了 DPT(Disk Partition Table硬盘分区),最后两个字节“55,AA”是分区的结束标志。这个整体构成了硬盘的引导扇。 2.硬盘分区DPT详解 分区由4项组成,每项16个字节(B...
MBR数据计算硬盘大小解疑
ss2200ss的博客
03-19 788
下图为某硬盘MBR的部分数据,从该图可知,该硬盘的大小应为_______GB。(按照1K=1000,1个扇500字节算)
硬盘基本知识
true_casey的专栏
05-28 1424
硬盘的DOS管理结构 1.磁道,扇,柱面和磁头数 硬盘最基本的组成部分是由坚硬金属材料制成的涂以磁性介质的盘片,不同容量硬盘的盘片数不等。每个盘片有两面,都可记录信息。盘片被分成许多扇形的 域,每个域叫一个扇,每个扇可存储128×2的N次方(N=0.1.2.3)字节信息。在DOS每扇是128×2的2次方=512字节,盘片 面上以盘片心为圆心,不同半径的同心圆称
数据恢复与电子取证习题二.doc
最新发布
07-30
MBR由两部分组成,分别是引导记录分区。 十六、FAT16文件系统的最大容量 FAT16文件系统的最大容量取决于簇的大小和分区的大小。 十七、虚拟MBR 虚拟MBR是指在实际MBR损坏时,通过恢复或重建MBR来实现的...
取证技术期末复习整理.docx
06-22
本文档要整理了取证技术的相关知识点,涵盖电子数据取证电子数据的真实性和完整性、取证标准体系、证流程、存储单位、字符集、操作系统文件分配单位、MBR 引导记录分区、FAT32 文件系统结构、文件签名和未...
电子数据取证工作试题与答案.pdf
07-28
MBR包含的信息有卷引导记录分区、55AA的签名标识。 7. 调查取证的做法包括在嫌疑人硬盘上安装取证软件进行取证,但是不能在嫌疑人硬盘上安装取证软件,需要使用只读锁。现场嫌疑人电脑处于开机状态,...
NTFS文件解析系统的简单分析,手工定位文件
08-22
例如,通过对MBR和MFT的理解,我们可以更有效地查找和理解NTFS分区的文件信息MBR是硬盘的第一个扇,包含引导加载器和分区。在MBR,我们可以找到关于分区的基本参数,如扇大小、簇大小、隐藏扇数量等...
文件系统.pdf
07-16
MBR包含了磁盘引导程序和分区信息,而DBR(Boot Sector)是分区的起点,包含了OEM代码、BPB(BIOS Parameter Block)以及其他关键信息MBR的恢复涉及到引导程序和分区的修复。引导程序通常为446字节,且不同...
磁盘的分区计算
萍水间人的小天地
03-08 908
磁盘的具体构造无需多言 直接上题 首先上面那张图是有问题的。 因为字段长度为6位的时候, 字段的位移式不可能为1的 然后就是这张图 只要按照上面那张图对应的偏移去看就行了 注意的是, C盘这个分区的前面是有63分分区的, 十六进制数就是 3F 但是MBR只用了最前面的一个分区, 后面的全部都是0填充 关于扇转化为GB的计算 一个扇512个B 拿...
MBR、EBR与DBR详解
热门推荐
Nero Zhang的博客
02-06 4万+
demo:https://github.com/Hilaver/NtfsResolution/ 先看一张硬盘图片(一个盘面): MBR 引导记录MBR,Main Boot Record)是位于磁盘最前边的一段引导(Loader)代码。它负责磁盘操作系统(DOS)对磁盘进行读写时分区合法性的判别、分区引导信息定位,它由磁盘操作系统(DOS)在对硬盘进行初始化时产生的。...
linux 总共扇mbr lvm,Linux磁盘管理及LVM讲解(week2_day2)--技术流ken
weixin_39872872的博客
05-25 228
磁盘分区符认识MBR概述:全称为Master Boot Record,即硬盘的引导记录。硬盘的0柱面、0磁头、1扇称为引导扇(也叫引导记录MBR)。它由三个部分组成,引导程序、硬盘分区DPT(Disk Partition table)和分区有效标志(55AA)。在总共512字节的引导扇引导程序(boot loader)占446个字节,第二部分是Partition table...
【Linux】MBR磁盘分区只能有四个分区?转载
ada_ayah的专栏
04-17 627
转载:https://blog.csdn.net/White_Idiot/article/details/80088115 看《鸟哥...
MBR分区结构
yangyang031213的博客
01-11 9310
MBR分区结构 引导记录(Master Boot Record,缩写:MBR)是开机后必须要读取的首个扇,在硬盘的(0柱面,0磁头,1扇)。该扇开头的446字节内容特指为“引导记录”(MBR),其后是4个16字节的“磁盘分区”(DPT),以及2字节的结束标志(55AA)。 在我电脑上使用WinHex查看扇如下: 引导程序代码是自检后启动操作系统的,改变它可以实现多系统。
系统扇
qq_28147679的博客
06-03 1020
系统结构 DBR,引导记录; DPT,分区; DBR,分区引导扇 引导扇 MBR Main Boot Record,引导扇,硬盘引导记录, 注意,MBR只存在磁盘的0扇,磁盘分区后,分区的起始是结构DBR 对于SD卡,在安装FATFS文件系统之后,0扇就是MBR,但是分区的起始扇却是DBR MBR由三部分构成,引导程序代码,占446字节;硬盘分区 DPT,占64字节;引导扇结束标志,占两个字节 其MBR占据446个字节的空间,偏移量 0x0000 ~ 0x01BD
引导记录(MBR)信息分析与获取
倒计时
10-12 7246
前段时间在安装黑苹果时,发现一个问题,电脑在启动时,会找激活分区,如果没有找到,那就启动不起来。 那能否写个小程序读取一下MBR信息,把激活分区换成其它,搞点恶作剧呢,于是就有了这篇读取MBR信息的文章,但是没写入,不敢尝试。 通过动手学习,对硬盘MBR信息有了更好的了解。 1、我的硬盘引导记录信息及分析 80 01 01 00 07 FE FF FF 3F 00 00 00 0D F0
c程序分区起始扇号_MBR分区和GPT分区到底有什么别,一看都明白了
weixin_34502341的博客
12-27 1007
大家好,我是波仔,欢迎和大家一起分享与探讨,让我们一起学习吧!现如今的电脑由于磁盘容量越来越大,传统的NBR引导记录分区已经不能满足大容量磁盘的需求了,传统的MBR分区只能识别磁盘前面2.2TB左右的空间,对于后面的多余空间,只能浪费掉,而对于单盘4TB的磁盘只能利用一半的容量,因此就有了GPT全局唯一标识分区。除此以外MBR分区只能支持4个分区或3个分区加1个扩展分区,包含随意数目...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值