來源：Unit 3: Unix/Linux File System 3.1 Unix/Linux File System Booting Process

使用工具：EnCase Forensic

學習檢視刪除的內容和其他不可訪問的資料之前，需要粗暴的瞭解一下系統的載入程式，以及系統所使用的檔案系統。

啟動電源->開機自檢（BIOS）->BIOS載入執行mas引導記錄（MBR）->MBR位於硬碟扇區0，包含初始引導程式碼和磁碟分割槽-> MBR簽名的Hex 55AA將程式引導到了作業系統。

看圖，感受一下55AA的簽名。MBR簽名（中譯過來叫簽名，這裡可以改改，叫標誌）總是設定為Hex 55AA，這標誌著MBR的結束。

與MBR技術（只支援4個主分割槽）對應的還有微軟引入的EFI引導框架（支援128個主分割槽），這裡以MBR為例子，一通百通。

MBR引導程式碼有446位元組， 64位元組分割槽表資訊，2個位元組MBR簽名，共512位元組。

右鍵，填寫446位元組定位。

這是64位元組分割槽表資訊。解碼看一看

這是MBR引導記錄中顯示的分割槽資訊。80，這意味主分割槽（俗稱系統盤c盤）著可引導。00是另一個分割槽，邏輯分割槽。學技術是有什麼學什麼，不要鑽牛角尖浪費時間（那我把00改成80不就可以雙系統了嗎，不要搞科研的思維，不是不可以，但是要明確咱們都是小白，後面大把的技術可以學，何必在這裡浪費時間，想想後面驚人的教程都是需要投入時間的，以後科研不遲。）

單擊這裡也是一樣  每個正方形代表一個扇區，512位元組

這是硬碟第一個磁柱，磁面的第一個扇區。也就是有boot引導記錄的地方。

第一個扇區把程式引導到存放作業系統的地方，往下面翻。你可以看到第一個活動分割槽，是紅色部分，這叫卷引導。藍色的部分都是已分配使用的扇區。

其中灰色的部分，都沒有分配，它包含一些歷史資料，但目前沒有使用。獲取可以得到意外的收穫。

雖然第一扇區大部分都是不可讀的，但也可以讀一些東西，如圖中的英文部分。這是錯誤資訊，如果無法載入，則會顯示此訊息