来源:Unit 3: Unix/Linux File System 3.1 Unix/Linux File System Booting Process

使用工具:EnCase Forensic

学习查看删除的内容和其他不可访问的数据之前,需要粗暴的了解一下系统的引导程序,以及系统所使用的文件系统。

启动电源->开机自检(BIOS)->BIOS加载执行mas引导记录(MBR)->MBR位于硬盘扇区0,包含初始引导代码和磁盘分区-> MBR签名的Hex 55AA将程序引导到了操作系统。

看图,感受一下55AA的签名。MBR签名(中译过来叫签名,这里可以改改,叫标志)总是设置为Hex 55AA,这标志着MBR的结束。

【干货】已Window7 系统为例,谈谈boot引导程序-------附带看看数据隐藏-LMLPHP

与MBR技术(只支持4个主分区)对应的还有微软引入的EFI引导框架(支持128个主分区),这里以MBR为例子,一通百通。

MBR引导代码有446字节, 64字节分区表信息,2个字节MBR签名,共512字节。

右键,填写446字节定位。

【干货】已Window7 系统为例,谈谈boot引导程序-------附带看看数据隐藏-LMLPHP

这是64字节分区表信息。解码看一看

【干货】已Window7 系统为例,谈谈boot引导程序-------附带看看数据隐藏-LMLPHP

这是MBR引导记录中显示的分区信息。80,这意味主分区(俗称系统盘c盘)着可引导。00是另一个分区,逻辑分区。学技术是有什么学什么,不要钻牛角尖浪费时间(那我把00改成80不就可以双系统了吗,不要搞科研的思维,不是不可以,但是要明确咱们都是小白,后面大把的技术可以学,何必在这里浪费时间,想想后面惊人的教程都是需要投入时间的,以后科研不迟。)

【干货】已Window7 系统为例,谈谈boot引导程序-------附带看看数据隐藏-LMLPHP

【干货】已Window7 系统为例,谈谈boot引导程序-------附带看看数据隐藏-LMLPHP

单击这里也是一样  每个正方形代表一个扇区,512字节

【干货】已Window7 系统为例,谈谈boot引导程序-------附带看看数据隐藏-LMLPHP

这是硬盘第一个磁柱,磁面的第一个扇区。也就是有boot引导记录的地方。

【干货】已Window7 系统为例,谈谈boot引导程序-------附带看看数据隐藏-LMLPHP

第一个扇区把程序引导到存放操作系统的地方,往下面翻。你可以看到第一个活动分区,是红色部分,这叫卷引导。蓝色的部分都是已分配使用的扇区。

【干货】已Window7 系统为例,谈谈boot引导程序-------附带看看数据隐藏-LMLPHP

其中灰色的部分,都没有分配,它包含一些历史数据,但目前没有使用。获取可以得到意外的收获。

【干货】已Window7 系统为例,谈谈boot引导程序-------附带看看数据隐藏-LMLPHP

虽然第一扇区大部分都是不可读的,但也可以读一些东西,如图中的英文部分。这是错误信息,如果无法加载,则会显示此消息

【干货】已Window7 系统为例,谈谈boot引导程序-------附带看看数据隐藏-LMLPHP

05-16 06:51