数据恢复 - MBR磁盘分析
恢复MBR磁盘的分区
MBR磁盘的分区形式:主分区、扩展分区、非DOS分区。
前三个主分区,后面的是扩展分区
- 主分区为深蓝色
- 扩展分区是绿色
结构
MBR位置:位于磁盘的第一个扇区,0号扇区
由4部分组成:
- 引导程序 440字节
- Windows磁盘签名 4字节 - 系统自动生成
分区表 64字节 - 结束标志(
55 AA)往上数4行- 16个字节为一个分区表项
- 字节偏移
X 216进制 表示分区类型
- 结束标识 2字节 -
55 AA
分区表项
- 字节偏移
*216进制 表示分区类型
*6 - *9偏移为起始扇区*A - *D偏移为分区大小- 分区n+1的起始扇区 = 分区n的起始扇区 + 分区n的分区大小
主扩展分区
EBR 和 分区MBR 分析一致
表项分析
- 表项1是第一个分区的表项
- 分析 与 分区表项 一致
- 但是起始扇区和 分区表项 不一样,这里的起始扇区是相对的大小
Tip:
- NTFS 分区:起始标志
EB 52 90 - 相对跳转 是相对 EBR 偏移 起始扇区的大小
- 偏移进制均为10进制
- 主要是跳转
