修复MBR扇区的一些记录

简述

在打开电源到开始操作,计算机的启动过程我一直没明白,今天看了 阮一峰:计算机的启动过程 收益颇多记录下来,重点还是MBR的一些知识点。

启动过程.png

什么是MBR

如上图表述一般启动完BIOS后,BIOS按照“启动顺序”,把控制权交给第一位的存储设备。

然后计算机读取该设备的第一个扇区,也就是最前面的512个字节,如果512个字节的最后两个字节是0x550xAA,表明这个设备可以启动;如果不是,表明不能启动,跳转到“启动顺序的下一个设备”。

这最前面的512个字节。就叫“主引导记录”(Master boot record,缩写为MBR)

用一句话来描述:MBR就是引导系统启动的一个扇区,如果它被破坏将导致无法开机。

MBR的结构

“主引导扇区”(MBR)共有512个字节,放不下太多东西,主要是负责告诉计算机到哪一个位置去找操作系统。

主引导记录结构:

image.png

(1) 第1-446字节:调用操作系统的机器码。  
(2) 第447-510字节:分区表(Partition table)。  
(3) 第511-512字节:主引导记录签名(0x55和0xAA)。

绿色部分为机器码,并且开头的0x33是固定的;黄色部分为分区表,蓝色部分为主引导记录签名,并且是固定的(0x55和0xAA)。

分区表结构

分区表的长度只有64个字节,里面又分成四项,每项16个字节。所以,一个硬盘最多只能分四个一级分区,又叫做”主分区”。每个主分区的16个字节,由6个部分组成:

(1) 第1个字节:如果为0x80,就表示该主分区是激活分区,控制权要转交给这个分区。四个主分区里面只能有一个是激活的。
(2) 第2-4个字节:主分区第一个扇区的物理位置(柱面、磁头、扇区号等等)。  
(3) 第5个字节:主分区类型。  
(4) 第6-8个字节:主分区最后一个扇区的物理位置。  
(5) 第9-12字节:该主分区第一个扇区的逻辑地址。  
(6) 第13-16字节:主分区的扇区总数。

最后的四个字节(”主分区的扇区总数”),决定了这个主分区的长度。也就是说,一个主分区的扇区总数最多不超过2的32次方。

如果每个扇区为512个字节,就意味着单个分区最大不超过2TB。再考虑到扇区的逻辑地址也是32位,所以单个硬盘可利用的空间最大也不超过2TB。如果想使用更大的硬盘,只有2个方法:一是提高每个扇区的字节数,二是增加扇区总数。

MBR扇区有哪些用

通过上述表述我们已经简单了解了什么是MBR和MBR的结构,我们现在来了解一下,MBR扇区具体有哪些用处。

我们通过一个案例来看一下:现在有一个病毒能够攻击MBR扇区,假如MBR扇区会怎么样呢?

image.png

运行病毒成功,电脑重启,此时我们发现电脑已经没有办法正常启动了。

image.png

我们通过PE系统进入看一下病毒破坏了什么。
image.png

我们发现病毒已经将MBR扇区数据全部清除,同时将我们的磁盘分区也不见了,这是因为MBR中存储了我们的分区表。

image.png

从以上案例可以得出:

MBR扇区引导系统启动

MBR扇区存储磁盘分区表

MBR扇区记录主引导区域签名,如果最后两个字节不是55AA,表明设备不能启动。

修复MBR扇区

修复MBR扇区有很多种办法,但其本质离不开写入MBR扇区记录,将主引导签名写入扇区开头的33写入,在这里我举例两个修复办法。

一、使用第三方工具DiskGenius修复(PE环境)

推荐U启通
image.png

我们可以使用该工具直接修复丢失分区和引导记录,并且操作简单,不需要太多专业知识,强烈推荐这个方法。

二、使用winhex工具修复MBR扇区

使用winhex工具修复可以达到最好的效果,但是需要一定的专业知识,并且还要备份winhex工具和MBR扇区数据,该方法仅推荐实验使用

image.png

MBR攻击

MBR攻击在如今的互联网中已经比较普遍了,大多是以病毒和木马的形式存在。

并且MBR攻击是一种较为高明的攻击方式,因为MBR启动顺序高于系统,所以会导致杀毒软件优先级低。这就会导致MBR扇区被感染或者被攻击了,杀毒软件没有办法解决或者发现。

比如最典型的鬼影病毒暗影木马,即使通过重装系统也无法杀除。只不过现在大多数杀软能在病毒启动的时候拦截,不然一旦感染后果相当严重。

一些知识的记录

在通过MBR扇区的引导后,计算机的控制权就会交给硬盘的分区了,但是又分三种情况。

一、卷引导记录

四个主分区里面,只有一个是激活的。计算机会读取激活分区的第一个扇区,叫做”卷引导记录”(Volume boot record,缩写为VBR),然后加载操作系统。

“卷引导记录”的主要作用是,告诉计算机,操作系统在这个分区里的位置。然后,计算机就会加载操作系统了。

二、扩展分区和逻辑分区

随着硬盘越来越大,四个主分区已经不够了,需要更多的分区。但是,分区表只有四项,因此规定有且仅有一个区可以被定义成”扩展分区”(Extended partition)。

然后扩展分区里面又有逻辑分区,这个时候通过一个叫”扩展引导记录”(Extended boot record,缩写为EBR)。

计算机接着读取第二个逻辑分区的第一个扇区,再从里面的分区表中找到第三个逻辑分区的位置,以此类推,直到某个逻辑分区的分区表只包含它自身为止(即只有一个分区项)。因此,扩展分区可以包含无数个逻辑分区。

应用较少。

** 三、启动管理器 **

在这种情况下,计算机读取”主引导记录”前面446字节的机器码之后,不再把控制权转交给某一个分区,而是运行事先安装的”启动管理器”(boot loader),由用户选择启动哪一个操作系统。

这个界面大家应该很熟悉
image.png

第四阶段:操作系统

操作系统的启动涉及到本人的知识盲区,以后会单独写一篇文章,大家可以参考
阮一峰:Linux 的启动流程


参考:

阮一峰:计算机的启动过程

那些凌驾于操作系统之上的木马-MBR木马

详谈MBR篡改技术

三宝



  • Copyright: Copyright is owned by the author. For commercial reprints, please contact the author for authorization. For non-commercial reprints, please indicate the source.

请我喝杯咖啡吧~

支付宝