初学MBR(主引导记录)的知识~~~

一个好的安全工具，对抗MBR病毒也是必不可少的，慢慢的也开始学习了，
刚入门，有什么不正确的地方还望各位大牛指教～～～


硬盘的0柱面、0磁头、1扇区称为主引导扇区,
是计算机开机后访问硬盘时所必须要读取的首个扇区，
它在硬盘上的三维地址为（柱面，磁头，扇区）＝（0，0，1）

MBR的组成：
一个扇区的硬盘主引导记录MBR由如表1-1所示的4个部分组成。
·主引导程序（偏移地址0000H--0088H），它负责从活动分区中装载，并运行系统引导程序。
·出错信息数据区，偏移地址0089H--00E1H为出错信息，00E2H--01BDH全为0字节。
·分区表（DPT,Disk Partition Table）含4个分区项，偏移地址01BEH--01FDH,
每个分区表项长16个字节，共64字节为分区项1、分区项2、分区项3、分区项4。
·结束标志字，偏移地址01FE--01FF的2个字节值为结束标志55AA,如果该标志错误系统就不能启动。

0000-0088	Master Boot Record 主引导程序	主引导 程序
0089-01BD	出错信息数据区	数据区
01BE-01CD	分区项1（16字节）	分区表
01CE-01DD	分区项2（16字节）
01DE-01ED	分区项3（16字节）
01EE-01FD	分区项4（16字节）
01FE	55	结束标志
01FF	AA

MBR中的分区信息结构:

存贮字节位	内容及含义
第1字节	引导标志。若值为80H表示活动分区，若值为00H表示非活动分区。
第2、3、4字节	本分区的起始磁头号、扇区号、柱面号。其中：     磁头号——第2字节；     扇区号——第3字节的低6位；     柱面号——为第3字节高2位+第4字节8位。
第5字节	分区类型符。     00H——表示该分区未用（即没有指定）；     06H——FAT16基本分区；     0BH——FAT32基本分区；     05H——扩展分区；     07H——NTFS分区；     0FH——（LBA模式）扩展分区（83H为Linux分区等）。
第6、7、8字节	本分区的结束磁头号、扇区号、柱面号。其中：     磁头号——第6字节；     扇区号——第7字节的低6位；     柱面号——第7字节的高2位+第8字节。
第9、10、11、12字节	本分区之前已用了的扇区数。
第13、14、15、16字节	本分区的总扇区数。

举个例子来说


如果某一分区在硬盘分区表的信息如下
80 01 01 00 07 FE FF FF 3F 00 00 00 80 9D 84 1E

则我们可以看到，最前面的
"80"是一个分区的激活标志，表示系统可引导；
"01 01 00"表示分区开始的磁头号为01，开始的扇区号为01，开始的柱面号为00；
"07"表示分区的系统类型是NTFS, 其他比较常用的有04（FAT16）、0B（FAT32）；
"FE FF FF"表示分区结束的磁头号为254，分区结束的扇区号为63、分区结束的柱面号为1023；
"3F 00 00 00"表示首扇区的相对扇区号为63；
"80 9D 84 1E"表示总扇区数为512007552。

暂时先学这么多，有时间再继续分析了～～～ 阅读全文
类别：默认分类 查看评论