MBR分析学习
本帖最后由 DoubleClickk 于 2019-11-17 17:18 编辑Winhex导出MBR,IDA分析主引导代码
通常,我们将包含MBR引导代码的扇区称为主引导扇区。因这一扇区中,引导代码占有绝大部分的空间,故而将习惯将该扇区称为MBR扇区(简称MBR)。由于这一扇区承担有不同于磁盘上其他普通存储空间的特殊管理职能,作为管理整个磁盘空间的一个特殊空间,它不属于磁盘上的任何分区,因而分区空间内的格式化命令不能清除主引导记录的任何信息。source.rar
分析环境及工具:Win xp虚拟机、Winhex、IDA Pro
1.搭建分析环境
2.使用Winhex->Tools->Open Disk->C:HD0->OK
3.具体分析MBR内容
(1)MBR位于整个硬盘的0磁道0柱面1扇区;(2)在512字节的主引导扇区中,MBR占用了其中的446个字节,DPT使用64字节,“55AA”为结束标志。file:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/01/clip_image006.pngfile:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/01/clip_image007.pngfile:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/01/clip_image008.pngfile:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/01/clip_image009.pngfile:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/01/clip_image010.pngfile:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/01/clip_image011.pngfile:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/01/clip_image012.pngfile:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/01/clip_image013.pngfile:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/01/clip_image014.pngfile:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/01/clip_image015.pngfile:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/01/clip_image016.pngfile:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/01/clip_image017.pngfile:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/01/clip_image018.pngfile:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/01/clip_image019.pngfile:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/01/clip_image020.png3.具体分析MBR内容:
(1)红色边框内为主引导程序代码,
(2)蓝色边框内为硬盘分区表DPT:
(80)引导标志。值为80H表示活动分区(00为非活动分区)
(01 01 00)表示这个分区的起始扇区为(0柱面,1磁头,1扇区)
(07)这个分区的文件系统为NTFS
(FE F8 FF )=(1111 1110 1111 1000 1111 1111)
磁头号:254,扇区号:62 柱面:255。该分区结束扇区为(255柱面,254磁头,62扇区)
(38 00 00 00)表示该分区前面已有54个系统隐藏扇区
(88 BD 7F 02 )表明该分区有41926024个扇区。
所以该扇区:41926024*512/1024/1024/1024=19.99188613891602GB
(3)紫色边框内为结束标志。
4.将主引导代码导出:
5.导入IDA Pro分析:
MBR与GPT:
GUID磁碟分割表(GUID PartitionTable)的缩写,含义“全局唯一标识磁盘分区表”,是一个实体硬盘的分区表的结构布局的标准。
在GTP磁盘的第一个数据块中同样有一个与MBR(主引导记录)类似的标记,叫做PMBR。PMBR的作用是,当使用不支持GPT的分区工具时,整个硬盘将显示为一个受保护的分区,以防止分区表及硬盘数据遭到破坏。
UEFI并不从PMBR中获取GPT磁盘的分区信息,它有自己的分区表,即GPT分区表。
GPT的分区方案之所以比MBR更先进,是因为在GPT分区表头中可自定义分区数量的最大值,也就是说GPT分区表的大小不是固定的。
在Windows中,微软设定GPT磁盘最大分区数量为128个。
GPT分区方案中逻辑块地址(LBA)采用64位二进制数表示,可以表示2^64个逻辑块地址。
GPT分区方案在硬盘的末端有一个备份分区表,保证了分区信息不容易丢失。
学习了,且收藏。 学习了,收藏 学习了!!! 学到很多!!! 学而布卷 看不懂,好想看懂。 学习学习 学习了,很不错 OneShell 发表于 2019-11-25 16:28
IDA的图片不清晰啊?
这里应该有一个资源的链接
页:
[1]
2