【幹貨】已Window7 系統為例,談談boot引導程序-------附帶看看數據隱藏
來源:Unit 3: Unix/Linux File System 3.1 Unix/Linux File System Booting Process
使用工具:EnCase Forensic
學習查看刪除的內容和其他不可訪問的數據之前,需要粗暴的了解一下系統的引導程序,以及系統所使用的文件系統。
啟動電源->開機自檢(BIOS)->BIOS加載執行mas引導記錄(MBR)->MBR位於硬盤扇區0,包含初始引導代碼和磁盤分區-> MBR簽名的Hex 55AA將程序引導到了操作系統。
看圖,感受一下55AA的簽名。MBR簽名(中譯過來叫簽名,這裏可以改改,叫標誌)總是設置為Hex 55AA,這標誌著MBR的結束。
與MBR技術(只支持4個主分區)對應的還有微軟引入的EFI引導框架(支持128個主分區),這裏以MBR為例子,一通百通。
MBR引導代碼有446字節, 64字節分區表信息,2個字節MBR簽名,共512字節。
右鍵,填寫446字節定位。
這是64字節分區表信息。解碼看一看
這是MBR引導記錄中顯示的分區信息。80,這意味主分區(俗稱系統盤c盤)著可引導。00是另一個分區,邏輯分區。學技術是有什麽學什麽,不要鉆牛角尖浪費時間(那我把00改成80不就可以雙系統了嗎,不要搞科研的思維,不是不可以,但是要明確咱們都是小白,後面大把的技術可以學,何必在這裏浪費時間,想想後面驚人的教程都是需要投入時間的,以後科研不遲。)
單擊這裏也是一樣 每個正方形代表一個扇區,512字節
這是硬盤第一個磁柱,磁面的第一個扇區。也就是有boot引導記錄的地方。
第一個扇區把程序引導到存放操作系統的地方,往下面翻。你可以看到第一個活動分區,是紅色部分,這叫卷引導。藍色的部分都是已分配使用的扇區。
其中灰色的部分,都沒有分配,它包含一些歷史數據,但目前沒有使用。獲取可以得到意外的收獲。
雖然第一扇區大部分都是不可讀的,但也可以讀一些東西,如圖中的英文部分。這是錯誤信息,如果無法加載,則會顯示此消息
【幹貨】已Window7 系統為例,談談boot引導程序-------附帶看看數據隱藏