吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 7076|回复: 12
收起左侧

[调试逆向] MBR分析学习

  [复制链接]
DoubleClickk 发表于 2019-11-17 13:58
本帖最后由 DoubleClickk 于 2019-11-17 17:18 编辑

Winhex导出MBR,IDA分析主引导代码
        通常,我们将包含MBR引导代码的扇区称为主引导扇区。因这一扇区中,引导代码占有绝大部分的空间,故而将习惯将该扇区称为MBR扇区(简称MBR)。由于这一扇区承担有不同于磁盘上其他普通存储空间的特殊管理职能,作为管理整个磁盘空间的一个特殊空间,它不属于磁盘上的任何分区,因而分区空间内的格式化命令不能清除主引导记录的任何信息。[url=]source.rar[/url]
分析环境及工具:Win xp虚拟机、Winhex、IDA Pro
1.搭建分析环境
1.png
2.使用Winhex->Tools->Open Disk->C:HD0->OK
2.png
3.具体分析MBR内容
捕获.PNG
(1)MBR位于整个硬盘的0磁道0柱面1扇区;(2)在512字节的主引导扇区中,MBR占用了其中的446个字节,DPT使用64字节,“55AA”为结束标志。file:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/01/clip_image006.pngfile:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/01/clip_image007.pngfile:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/01/clip_image008.pngfile:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/01/clip_image009.pngfile:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/01/clip_image010.pngfile:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/01/clip_image011.pngfile:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/01/clip_image012.pngfile:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/01/clip_image013.pngfile:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/01/clip_image014.pngfile:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/01/clip_image015.pngfile:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/01/clip_image016.pngfile:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/01/clip_image017.pngfile:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/01/clip_image018.pngfile:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/01/clip_image019.pngfile:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/01/clip_image020.png3.具体分MBR内容:
(1)红色边框内为主引导程序代码,
(2)蓝色边框内为硬盘分区表DPT:
(80)引导标志。值为80H表示活动分区(00为非活动分区)
(01 01 00)表示这个分区的起始扇区为(0柱面,1磁头,1扇区)
(07)这个分区的文件系统为NTFS
(FE F8 FF )=(1111 1110 1111 1000 1111 1111)
  磁头号:254,扇区号:62 柱面:255。该分区结束扇区为(255柱面,254磁头,62扇区)
(38 00 00 00)表示该分区前面已有54个系统隐藏扇区
(88 BD 7F 02 )表明该分区有41926024个扇区。
所以该扇区:41926024*512/1024/1024/1024=19.99188613891602GB
4.png
(3)紫色边框内为结束标志。
4.主引导代码导出
5.png
5.导入IDA Pro分析:
6.png
MBR与GPT:
GUID磁碟分割表(GUID PartitionTable)的缩写,含义“全局唯一标识磁盘分区表”,是一个实体硬盘的分区表的结构布局的标准。
GTP磁盘的第一个数据块中同样有一个与MBR(主引导记录)类似的标记,叫做PMBRPMBR的作用是,当使用不支持GPT的分区工具时,整个硬盘将显示为一个受保护的分区,以防止分区表及硬盘数据遭到破坏。
UEFI并不从PMBR中获取GPT磁盘的分区信息,它有自己的分区表,即GPT分区表。
GPT的分区方案之所以比MBR更先进,是因为在GPT分区表头中可自定义分区数量的最大值,也就是说GPT分区表的大小不是固定的。
Windows中,微软设定GPT磁盘最大分区数量为128个。
GPT分区方案中逻辑块地址(LBA)采用64位二进制数表示,可以表示2^64个逻辑块地址。
GPT分区方案在硬盘的末端有一个备份分区表,保证了分区信息不容易丢失。

3.png

source.rar

9.41 KB, 下载次数: 21, 下载积分: 吾爱币 -1 CB

免费评分

参与人数 5吾爱币 +11 热心值 +5 收起 理由
Wc4399 + 1 + 1 谢谢@Thanks!
willJ + 9 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
blindcat + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
庞晓晓 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
lookerJ + 1 用心讨论,共获提升!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

tianruo1987 发表于 2019-11-18 16:22
学习了,且收藏。
桃鲤溪 发表于 2019-11-18 16:25
leevi 发表于 2019-11-18 19:16
hmlhao 发表于 2019-11-18 19:17
学到很多!!!
2Burhero 发表于 2019-11-18 21:18
学而布卷
2019ghua 发表于 2019-11-18 21:59
看不懂,好想看懂。
苍穹之光 发表于 2019-11-19 00:09
学习学习
SRXHLB 发表于 2019-11-19 17:49
学习了,很不错
 楼主| DoubleClickk 发表于 2019-11-28 15:24
OneShell 发表于 2019-11-25 16:28
IDA的图片不清晰啊?

这里应该有一个资源的链接
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 19:15

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表