您的位置:360文档中心› NTFS主引导扇区程序剖析

NTFS主引导扇区程序剖析

合集下载

主引导扇区的理解

主引导扇区的理解

主引导扇区的理解什么是主引导扇区? master boot record它是硬盘上的第⼀个扇区,由硬盘⼚商就预留了。

⼀个扇区的⼤⼩通常是512个字节。

主引导扇区,不依赖于具体的操作系统,也就是说主引导扇区可以启动任何⼀种操作系统。

它的作⽤是什么?⾥⾯存储了什么信息?⾥⾯存储的是硬盘的基本信息,包括硬盘分成⼏个区,每个区的⼤⼩,每个区从什么位置开始,从什么位置结束。

⾥⾯的数据是怎么写⼊进去的,通过⼯具。

任何操作系统平台上的⼯具都可以写⼊进去。

疑问:⼀块新的硬盘,第⼀个扇区的内容是不是由⼚商就写好数据进去了?包括的内容:1、主引导程序代码,占446字节、2、磁盘签名3、硬盘分区表DPT,占64字节。

64个字节刚好可以描述4个分区。

64+446=500个字节。

疑问,既然⾥⾯64个字节,最多只能分4个逻辑分区。

那么为什么不把容量扩⼤些呢?MBR功能1.扫描分区表查找活动分区; 2.寻找活动分区的起始扇区知识点:每个分区都会有⼀个启动扇区,英⽂简称DBR。

⼀个扇区也叫做磁盘块,所以也称为启动块。

⽽只有活动分区的引导扇区才会被mbr 中的引导程序装⼊内存中去。

3.将活动分区的引导扇区读到内存(活动分区的启动块内容读到内存中,以便交给cpu运⾏⾥⾯的代码) 4.执⾏引导扇区的运⾏代码。

⼀般活动分区⾥⾯的引导扇区代码完成的功能是,装载操作系统到内存中去。

如果主引导代码未完成这些功能,系统显⽰下列错误信息Invalid partition table Error loading operating system Missing operating system如果提⽰:ntldr is missing要弄清楚是,NTLDR是是⼀个隐藏的,只读的系统⽂件,位置在系统盘的根⽬录,⽤来装载操作系统。

当此⽂件丢失时,系统会出现不能导⼊。

硬盘主引导扇区、分区表和分区引导扇区(MBR、DPT、DBR、BPB)详解(一)

硬盘主引导扇区、分区表和分区引导扇区(MBR、DPT、DBR、BPB)详解(一)

硬盘主引导扇区、分区表和分区引导扇区(MBR、DPT、DBR、BPB)详解!硬盘的主引导扇区,分区表,分区引导扇区(MBR、DPT、DBR、BPB)是电脑BIOS自检完成后,操作系统开始引导系统前整个电脑运作过程中需要检查的重要参数,硬盘的主引导扇区,分区表,分区引导扇区(MBR、DPT、DBR、BPB)参数错误可能导致系统无法启动或存储的数据丢失,这片文章我们介绍一下硬盘的主引导扇区,分区表,分区引导扇区(MBR、DPT、DBR、BPB)的详细信息。

硬盘的0柱面、0磁头、1扇区称为主引导扇区(也叫主引导记录MBR),该记录占用512个字节,它用于硬盘启动时将系统控制权转给用户指定的、在分区表中登记了某个操作系统分区。

MBR的内容是在硬盘分区时由分区软件(如FDISK)写入该扇区的,MBR不属于任何一个操作系统,不随操作系统的不同而不同,即使不同,MBR也不会夹带操作系统的性质,具有公共引导的特性。

但安装某些多重引导功能的软件或LINUX的LILO 时有可能改写它;它先于所有的操作系统被调入内存并发挥作用,然后才将控制权交给活动主分区内的操作系统(下图)。

MBR由三部分构成:1.主引导程序代码,占446字节2.硬盘分区表DPT,占64字节3.主引导扇区结束标志AA55H一、硬盘的主引导程序代码是从偏移0000H开始到偏移01BDH结束的446字节;主引导程序代码包括一小段执行代码。

启动PC 机时,系统首先对硬件设备进行测试,成功后进入自举程序INT 19H;然后读系统磁盘0柱面、0磁头、1扇区的主引导扇区MBR的内容到内存指定单元0:7C00 首地址开始的区域,并执行MBR程序段。

主引导代码实现下列功能:1.扫描分区表查找活动分区;2.寻找活动分区的起始扇区;3.将活动分区的引导扇区读到内存;4.执行引导扇区的运行代码。

如果主引导代码未完成这些功能,系统显示下列错误信息:Invalid partition tableError loading operating systemMissing operating system二、硬盘分区表DPT是从偏移01BEH开始到偏移01FDH结束的64字节(下图);硬盘分区表分为四小部分,每一小部分表示一个分区的信息,占16字节。

NTFS分区导扇区程序剖析

NTFS分区导扇区程序剖析
xI Ⅱ a ^ ・ a^
0 0 :C 0 E 2 9 E 5 6 5 0 2 0 2 0 0 8 0 0 0 07 0 B 5 04 44 32 — 02 00 20 00

R. NTF s
n O V S,ax S
0 0 :Cl 0 o 0 o 0 8 o o 3 o F o l B C o 07 O o 0 oo o F o o 一 F o F o 7 l 4 0 … …. … …. 9 . ? 0 0 :C 0 0 0 0 0 8 0 8 0 3 B 3 1 0 0 0 0 o 0 7 2 0 0 0 0 0 0 0 0 — A 8 80 0 0 0 0
维普资讯
大 学 时 代 ・ 0 6年 0 B2 0 4
N 分 区导扇 区程序 剖析 F T S
颜世公 ( 佳木 斯大学 孙 维连 李晶 140 ) 50 7 黑龙 江 佳木斯
摘 要 : N F 件 系统 其 安全 性 、 靠 性远 胜 于 常用 的 F T文 件 系 统 。通 过 对 N F T S文 可 A T S分 区引 导 扇 区的 引 导 过 程进 行
mo z d , l v xe x e 00 : E 6 800 10 007 566 100 0 C add, F n l3 确定每道扇区数 扇区及标志进栈 m lx u d 每柱扇 区数(F F 1 3 *F 00 : E 0E 400 0 07 B83 100 C 展IT1 H有效标志 N 3
0 0 : D 6 B 6 0 0 0 07 46 3 0 2 0 C
0 o :C8 3 5 o 07 37 o
0 o 7 5 B FF 0 0:C8 9 FF Oo 7 88 O 0:C8 AFl
iI 3 nl i C A n 78 b

全面了解NTFS文件系统结构

全面了解NTFS文件系统结构

解读NTFSNTFS是一个比FAT复杂的多的文件系统,我们一起努力来把它完整的解读出来NTFS的引导扇区也是完成引导和定义分区参数,和FAT分区不同,FAT分区的B OOT记录正常,就显示分区没有错误,即使文件不正确,而NTFS分区的BOOT不是分区的充分条件,它要求必须MFT中的系统记录如$MFT等正常该分区才能正常访问。

其BPB参数如下表所示。

字节偏移长度常用值意义0x0B 字 0x0002 每扇区字节数0x0D 字节 0x08 每簇扇区数0x0E 字 0x0000 保留扇区0x10 3字节 0x000000 总为00x13 字 0x0000 NTFS未使用,为00x15 字节 0xF8 介质描述0x16 字 0x0000 总为00x18 字 0x3F00 每磁盘扇区数0x1A 字 0xFF00 磁头数0x1C 双字 0x3F000000 隐含扇区0x20 双字 0x00000000 NTFS未使用,为00x28 8字节 0x4AF57F0000000000 扇区总数0x30 8字节 0x0 $MFT的逻辑簇号0x38 8字节 0x54FF0000 $MFTMirr的逻辑簇号0x40 双字 0xF6000000 每MFT记录簇数0x44 双字 0x01000000 每索引簇数0x48 8字节 0x14A51B74C91B741C 卷标0x50 双字 0x00000000 检验和MFT中的文件记录大小一般是固定的,不管簇的大小是多少,均为1KB。

文件记录在MFT文件记录数组中物理上是连续的,且从0开始编号,所以,NTFS是预定义文件系统。

MFT仅供系统本身组织、架构文件系统使用,这在NTFS中称为元数据(metadata,是存储在卷上支持文件系统格式管理的数据。

它不能被应用程序访问,只能为系统提供服务)。

其中最基本的前16个记录是操作系统使用的非常重要的元数据文件。

这些元数据文件的名字都以“$”开始,所以是隐藏文件,在Windows 2000/XP中不能使用dir命令(甚至加上/ah参数)像普通文件一样列出。

硬盘主引导记录(MBR)及其结构详解

硬盘主引导记录(MBR)及其结构详解

硬盘主引导记录(MBR)及其结构详解hbrqlpf 于 2008-10-01 21:14:00 发布14569 收藏 5 文章标签:扩展磁盘代码分析任务活动basic硬盘的0柱面、0磁头、1扇区称为主引导扇区,FDISK程序写到该扇区的内容称为主引导记录(MBR)。

该记录占用512个字节,它用于硬盘启动时将系统控制权交给用户指定的,并在分区表中登记了的某个操作系统区。

1.MBR的读取硬盘的引导记录(MBR)是不属于任何一个操作系统,也不能用操作系统提供的磁盘操作命令来读取它。

但我们可以用ROM-BIOS中提供的INT13H的2号功能来读出该扇区的内容,也可用软件工具Norton8.0中的DISKEDIT.EXE来读取。

用INT13H的读磁盘扇区功能的调用参数如下:入口参数:AH=2 (指定功能号)AL=要读取的扇区数DL=磁盘号(0、1-软盘;80、81-硬盘)DH=磁头号CL高2位+CH=柱面号CL低6位=扇区号CS:BX=存放读取数据的内存缓冲地址出口参数:CS:BX=读取数据存放地址错误信息:如果出错CF=1 AH=错误代码用DEBUG读取位于硬盘0柱面、0磁头、1扇区的操作如下:A>DEBUG-A 100XXXX:XXXX MOV AX,0201 (用功能号2读1个扇区)XXXX:XXXX MOV BX,1000 (把读出的数据放入缓冲区的地址为CS:1000)XXXX:XXXX MOV CX,0001 (读0柱面,1扇区)XXXX:XXXX MOV DX,0080 (指定第一物理盘的0磁头)XXXX:XXXX INT 13XXXX:XXXX INT 3XXXX:XXXX (按回车键)-G=100 (执行以上程序段)-D 1000 11FF (显示512字节的MBR内容)2.MBR的组成一个扇区的硬盘主引导记录MBR由4个部分组成。

主引导程序(偏移地址0000H--0088H),它负责从活动分区中装载,并运行系统引导程序。

硬盘主引导扇区软故障浅析

硬盘主引导扇区软故障浅析
关键词: 主引 导扇区 引 导记录 分区 表 硬故障 软故障 中图分类号:TP3o3 文献 标识码: A 硬盘主引导扇区的完好是硬盘正常工作 的前提。 硬盘故障多 种多样, 但大体可分为软 故障和硬故障两大类。硬故障表现为机械的, 电子的, 存贮介质等方面. 而软故障表现为软 件, 数据等方面。本文从硬盘数据结构, 引导 过程出发, 分析由硬盘主引导扇区损坏引起的
盘就行 了。 2 ( )如果分区表遭到破坏, 故障现象比较复
一 AXMBR。 N 指定调人的文件
一 30 】 0 , l ( 0 :300 装人内存缓冲区
一A I OO
MOV MOV MOV MOV
BX , 30佣 ES , BX CX , 犯1 侧 DX , 加80
1 硬盘主引导扇区的结构及作用
硬盘基本上由两部分组成:硬盘的第一物 理扇区, 即零柱面零磁头一扇区, 叫做主引导 扇区, 这是第一部分。 剩余的全部属于第二部 分, 供各类操作系统占用。整个磁盘空间最 多可供4 个操作系统共享。每个操作系统各 占一个分区。每个分区又具有自己的引导记 录( BOOT ) , 文件分配表( F AT ) , 文件目 录 (ROOT 以及数据区(DATA)。 ) 在这4 个系统 分区中, 只能有一个是激活的, 用来引导计算 机装人该分区的操作系统。主引 导扇区由三 部分组成:主引导程序, 分区信息表, 分区合法 标志。 ( 1 主引导程序。长度为240 字节, ) 位于 偏移量为OOH— OEFH 的区域, 其后的20 6 个字节未用。当用硬盘引导系统时, 系统板上 的ROM B OS 程序就 I 会把硬盘中 的主引 导扇 区的内容读到内存0 00: 7 00 处, 0 0 并把控制权 交给主引导程序。主引导程序查看分区表中 各分区的活动标志, 把标志为S H 的活动分区 D 引导记录(BOOT)读人内存砚 刃;7( 0, X 洲 X 将主引 j 导程序覆盖, 并将控制权交给分区引一导程 序, 再把该分区的操作系统装人到内存。主 引 导程序不属于任何一个分区, 它是各操作系 统的共同部分。与计算机使用的硬盘型号也 无关。本部分由物理格式化程序生成。 ( 2 )分区信息表。存放每个分区的信息, 共64 字节。 位于偏移量为( IBEH一 FDH) I 处。 个独立的分区 由4 项组成。 每个分区项1 6 个字节, 包含活动分区标志, 该分区的起止磁 头号, 号和柱面号, 扇区 操作系 统类型标志, 本 分区前其他分区使用的扇区数, 本分区所使用 的扇区总数等组成。 四个系统分区甲。 只有一 个活动分区 标志是8 H , 0 其他全为OOH . 本部 分由 分区程序生成。 (3 分区 ) 合法标志:主引 导扇区的最后两个 字节 (偏移量为 IFEH 和 I FFH)内容为55H 和AAH , 用做标识分区的合法性。由物理格 式化程序生成。由以上结构可知, 主引导扇区 有两个主要作用: 第一, 用于装人活动分区的 引导记录, 导装人操作系统, 引 第二, 提供硬盘 的分区状况, 为相应的操作系统淮备好硬盘空

硬盘主引导扇区详解

硬盘主引导扇区详解

硬盘主引导扇区详解分类:计算机2010-10-28 11:04 31人阅读评论(1) 收藏举报主引导扇区位于整个硬盘的0柱面0磁头1扇区,包括硬盘主引导记录MBR(Master Boot Record)和分区表DPT(Disk Partition Table)。

主引导扇区有512个字节,MBR占446个字节(偏移0000--偏移1BDH),DPT 占64个字节(偏移1BEH--偏移1FDH),最后两个字节“55,AA”。

大致的结构如下图:|------------------------------------------------|0000| Main Boot Record || || 主引导记录(446字节) || || |01BD|------------------------------------------------|01BE| || 分区信息1(16字节) |01CD|------------------------------------------------|01CE| || 分区信息2(16字节) |01DD|------------------------------------------------|01DE| || 分区信息3(16字节) |01ED|------------------------------------------------|01EE| || 分区信息4(16字节) |01FD|------------------------------------------------|01FE| || 55 | AA ||------------------------------------------------|01FF主引导记录中包含了硬盘的一系列参数和一段引导程序。

引导程序主要是用来在系统硬件自检完后引导具有激活标志的分区上的操作系统。

解析NTFS底层磁盘结构

解析NTFS底层磁盘结构

解析NTFS底层结构一、NTFS系统结构NTFS是Windows NT引入的新型文件系统,如果您是一位熟悉FAT磁盘格式的专业人士,您可能会觉得NTFS系统的思想蹩脚而晦涩,如果您对FAT格式一无所知,那么恭喜您,您会更快的了解这种更有效率的磁盘格式。

NTFS的结构复杂,内容繁多,笔者仅对NTFS卷上的底层结构做分析,并提供卷上数据删除的特征状态供大家参考。

现在,我们首先来建立了解NTFS需要的基本概念。

1.0基本结构及基本概念在NTFS中,文件以簇的形式分配。

最小的单位为扇区,N个扇区为一簇。

其中,N的值可以通过BPB(引导扇区)读出(以下会详细介绍)。

1.0.1卷与簇卷大小(分区大小)每簇的扇区缺省的簇大小小于等于512MB 1 512字节513MB~1024MB(1GB) 2 1024字节(1KB)1025MB~2048MB(2GB) 4 2048字节(2KB)大于等于2049MB 8 4KB表1 卷与簇的关系从上面可以看出,也就是说不管驱动器多大NTFS簇的大小不会超过4KB。

1.0.2 NTFS的基本数据结构NTFS的数据大体上可分为4个部分(1)Partition boot sector(引导扇区,又称BPB),此部分为所有磁盘格式都共有,占用一个扇区,但是具体的内容当然各不相同(见表3)。

(2)Master File Table(主文件列表,MFT),它是对卷上所有文件的记录,每一个文件对应一个记录项,理论上占用该卷12%的空间。

(3)System files(系统文件),NTFS系统一共有16个系统文件,和8个保留文件。

(4)File area(数据区),留给用户的空间。

Partition boot sector引导扇区 Master File Table主文件列表 System files系统文件 File area用户文件区(数据区)表2 NTFS的磁盘分配情况1.0.3 NTFS中关于目录的说明NTFS中目录也是以文件的形式存在的。

NTFS 文件系统解析

NTFS 文件系统解析

UCHAR xpRecordNum[4]; // 0x30
// 用于 xp, 记录号
UCHAR USN[8]; } Mft_Header, *pMft_Header;
// 更新序列号(2B) 和 更新序列数组
第3页 共8页
图3 上面的头部结构体在扇区的数据偏移0x00 ~0x38;在0x38之后的4大块颜色数据是4条属性——描述名称,时间, 索引等信息,最后以“FF FF FF FF”结束。它们分别以0x10,0x30,0x80,0xB0作为标志;四种属性所描述的信息类型 可以由下表查得,对照数据和结构体可以把这4条属性解析出来。
NTFS 文件系统解析
一、Windows下磁盘文件读写
下面是读取D:\磁盘上的第0扇区512 Bytes 打开磁盘,获取文件句柄:CreateFile() 设置读写的位置:SetFilePointer() 读取磁盘扇区数据:ReadFile()
HANDLE hFile;
char drive[] = "\\\\.\\D:"; //------- \\.\D: -----
// 0x0200 扇区大小,512B
UCHAR SecsPerClu;
// 0x08 每簇扇区数,4KB
UCHAR rsvSecs[2]; UCHAR noUse01[5];
//
保留扇区
//
// 0x15
UCHAR driveDscrp; UCHAR noUse02[2];
// 0xF8 //
磁盘介质 -- 硬盘
UCHAR linkNum[2];
// 硬连接数 (多少目录指向该文件) 01 00
UCHAR firstAttr[2];

磁盘引导扇区详细解析

磁盘引导扇区详细解析

磁盘引导扇区详细解析英文回答。

Master Boot Record (MBR)。

The Master Boot Record (MBR) is the first sector of a partitioned hard disk drive. It contains the partition table and a small amount of executable code that is responsible for booting the computer.The MBR is located at the beginning of the hard drive, at sector 0. It is a 512-byte sector that is divided into three main sections:1. The boot code (446 bytes)。

2. The partition table (64 bytes)。

3. The signature (2 bytes)。

The boot code is the first part of the MBR. It is a small program that is responsible for loading the operating system into memory and starting it up. The boot code is typically very simple, and it only needs to be able to load the first few sectors of the operating system into memory.Partition Table.The partition table is the second part of the MBR. It contains a list of the partitions on the hard drive. Each partition is represented by a 16-byte entry in thepartition table. The partition table entry contains the following information:The starting sector of the partition.The size of the partition.The type of partition.The signature is the last part of the MBR. It is a 2-byte value that identifies the MBR as a valid MBR. The signature is typically 0xAA55.Extended Boot Record (EBR)。

主引导扇区——精选推荐

主引导扇区——精选推荐

主引导扇区
硬盘0⾯,0道,1扇区,供512个字节,称为主引导扇区。

如果计算机是设置为从硬盘启动,
那么,BIOS将完成基本⼯作前要做的最后⼀件事,就是读取引导扇区,并将它加载到内存地址0x0000:0x7c00处(也就是物理地址0x07c00),
然后⼀个jmp指令跳转到该地址处,接着执⾏。

但是引导扇区必须是有效的才⾏
⼀个有效的主引导扇区,最后两个字节必须为0x55,0xAA。

书作者说不知道为什么是要加载到0x07c00这个地址,我也不知道。

⼀般来说,主引导扇区是由操作系统负责的,
正常情况下,⼀段精⼼编写的主引导扇区代码,将检测⽤来启动计算机的操作系统,并计算出它所在的硬盘位置,
然后它把操作系统的⾃举代码加载到内存,也⽤jmp指令跳转到那⾥继续执⾏,知道操作系统完全启动,
主引导扇区⽰例代码:
; 4-2.asm
mov ax,0xb800
mov ds,ax
mov byte [0x00],'a'
mov byte [0x02],'s'
mov byte [0x04],'m'
jmp $
times 510-($-$$) db 0
db 0x55,0xaa
;最后两⾏必须有,⼀个负责填充,⼀⾏负责有效性检验使⽤
;书上给的代码没有最后两⾏
-----------------------------------------------------
书4.1.5 ⼀切从主引导扇区开始
书5.2 欢迎来到住引导扇区。

ntfs文件系统 总结13页word文档

ntfs文件系统 总结13页word文档

ntfs文件系统总结ntfs文件系统(总结)2019-07-20 14:30解读NTFS NTFS是一个比FAT 复杂的多的文件系统,我们一起努力来把它完整的解读出来NTFS的引导扇区也是完成引导和定义分区参数,和FAT分区不同,FAT 分区的BOOT记录正常,就显示分区没有错误,即使文件不正确,而NTFS分区的BOOT不是分区的充分条件,它要求必须MFT中的系统记录如$MFT等正常该分区才能正常访问。

其BPB参数如下表所示。

字节偏移长度常用值意义0x0B字0x0002每扇区字节数0x0D字节0x08每簇扇区数0x0E字0x0000保留扇区0x10 3字节0x 000000总为0 0x13字0x0000 NTFS未使用,为0 0x15字节0xF8介质描述0x16字0x0000总为0 0x18字0x3F00每磁盘扇区数0x1A字0xFF00磁头数0x1C双字0x3F 000000隐含扇区0x20双字0x 00000000 NTFS未使用,为0 0x28 8字节0x4AF57F 0000000000扇区总数0x30 8字节0x 0400000000000000$MFT的逻辑簇号0x38 8字节0x54FF 070000000000$MFTMirr的逻辑簇号0x40双字0xF 6000000每MFT记录簇数0x44双字0x 01000000每索引簇数0x48 8字节0x14A51B74C91B741C卷标0x50双字0x 00000000检验和MFT中的文件记录大小一般是固定的,不管簇的大小是多少,均为1KB。

文件记录在MFT文件记录数组中物理上是连续的,且从0开始编号,所以,NTFS是预定义文件系统。

MFT仅供系统本身组织、架构文件系统使用,这在NTFS中称为元数据(metadata,是存储在卷上支持文件系统格式管理的数据。

它不能被应用程序访问,只能为系统提供服务)。

其中最基本的前16个记录是操作系统使用的非常重要的元数据文件。

WinHex之NTFS学习笔记

WinHex之NTFS学习笔记

1、NTFS文件系统的引导扇区分析NTFS文件系统的引导扇区是$Boot的第一个扇区,它的结构与FAT文件系统的DBR类似,所以习惯上也称该扇区为DBR扇区,DBR 扇区在操作系统的引导过程起着非常重要的作用,如果这个扇区遭到破坏,系统将不能正常启动。

NTFS文件系统的DBR扇区与FAT文件系统的结构一样,也包括跳转指令、OEM代号、BPB参数、引导程序和结束标志。

(1)跳转指令跳转指令本身占用两个字节,它将程序执行流程跳转到引导程序处。

(2)OEM代号这部分占用8个字节,其内容由创建该文件系统的OEM厂商具体安排。

(3)BPB(BIOS Paramester Block,BIOS参数块)BPB是BIOS Paramester Block的缩写,其含义为BIOS参数块。

BPB 从DBR的第12(0BH)个字节开始,到偏移53H结束,占用73个字节,记录了有关该文件系统的重要信息,其中各个参数的含义如下表:NTFS文件系统BPB参数的定义下面对各个参数的含义进行分析:(1)0BH~0CH:每扇区字节数每扇区字节数记录每个逻辑扇区的大小,其常见值为512字节,但512并不是固定值,该值可以由程序定义,合法值包括512字节、1024字节、2048字节、4096字节。

(2)0DH~0DH:每簇扇区数每簇扇区数记录着文件系统的簇的大小,即由多少个扇区组成一个簇。

如果这个分区是在系统安装之前被格式化而来的,一般大于2GB 的分区每簇默认占用8个扇区,也就是每簇大小为4KB,这个字节的内容就为十六字节进制值“08H”。

如果这个分区是由一个FAT分区转换而来,则每个簇一般占用1个扇区的空间,也就是没簇大小为512字节,这个字节的内容就是“01H”。

在NTFS文件系统中所有的簇从0开始进行编号,每个簇都有一个自己的地址编号,并且从分区的第一个扇区就开始编簇。

(3)0EH~0FH:DBR保留扇区数NTFS文件系统中DBR没有保留扇区,该值常为“0000”。

硬盘主引导扇区、分区表和分区引导扇区(MBR、DPT、DBR、BPB)详解(一)

硬盘主引导扇区、分区表和分区引导扇区(MBR、DPT、DBR、BPB)详解(一)

硬盘主引导扇区、分区表和分区引导扇区(MBR、DPT、DBR、BPB)详解!硬盘的主引导扇区,分区表,分区引导扇区(MBR、DPT、DBR、BPB)是电脑BIOS自检完成后,操作系统开始引导系统前整个电脑运作过程中需要检查的重要参数,硬盘的主引导扇区,分区表,分区引导扇区(MBR、DPT、DBR、BPB)参数错误可能导致系统无法启动或存储的数据丢失,这片文章我们介绍一下硬盘的主引导扇区,分区表,分区引导扇区(MBR、DPT、DBR、BPB)的详细信息。

硬盘的0柱面、0磁头、1扇区称为主引导扇区(也叫主引导记录MBR),该记录占用512个字节,它用于硬盘启动时将系统控制权转给用户指定的、在分区表中登记了某个操作系统分区。

MBR的内容是在硬盘分区时由分区软件(如FDISK)写入该扇区的,MBR不属于任何一个操作系统,不随操作系统的不同而不同,即使不同,MBR也不会夹带操作系统的性质,具有公共引导的特性。

但安装某些多重引导功能的软件或LINUX的LILO 时有可能改写它;它先于所有的操作系统被调入内存并发挥作用,然后才将控制权交给活动主分区内的操作系统(下图)。

MBR由三部分构成:1.主引导程序代码,占446字节2.硬盘分区表DPT,占64字节3.主引导扇区结束标志AA55H一、硬盘的主引导程序代码是从偏移0000H开始到偏移01BDH结束的446字节;主引导程序代码包括一小段执行代码。

启动PC 机时,系统首先对硬件设备进行测试,成功后进入自举程序INT 19H;然后读系统磁盘0柱面、0磁头、1扇区的主引导扇区MBR的内容到内存指定单元0:7C00 首地址开始的区域,并执行MBR程序段。

主引导代码实现下列功能:1.扫描分区表查找活动分区;2.寻找活动分区的起始扇区;3.将活动分区的引导扇区读到内存;4.执行引导扇区的运行代码。

如果主引导代码未完成这些功能,系统显示下列错误信息:Invalid partition tableError loading operating systemMissing operating system二、硬盘分区表DPT是从偏移01BEH开始到偏移01FDH结束的64字节(下图);硬盘分区表分为四小部分,每一小部分表示一个分区的信息,占16字节。

数据恢复技术NTFS引导扇区结构

数据恢复技术NTFS引导扇区结构

教学方法与学做合一相适应 ◆ 教学评价与职业要求相适应
教学目标与行业要求相适应

教学内容与就业创业相适应
图4-2 NTFS引导扇区图示
教学方法与学做合一相适应 ◆ 教学评价与职业要求相适应
教学目标与行业要求相适应

教学内容与就业创业相适应
NTFS的引导扇区如果遭到破坏,同样可以使用备 份的引导扇区记录来恢复,只是NTFS的备份引导 扇区存于分区末尾处,这样对于普通的破坏攻击 有较好的保护作用。它存放的形式很巧妙:假设 在分区表中标识了该分区大小为N,则在格式化为 NTFS分区的时候,在引导扇区的BPB里面给出本分 区占用扇区数为N-1,这样在分区表容量和分区内 标注的容量间就有1个扇区的空隙,这个扇区既不 会被本分区操作访问到,也不会被分区工具破坏 掉,备份引导扇区就存放在这里。
含义 每柱面磁头数(通常为FF) 隐含扇区数(本分区前的扇区总数) 未使用(Microsoft要求置为0) 未使用(总是为“80008000”) 分区扇区总数(此值比分区表描述扇区数小1) $MFT起始簇号 $MFTMirr的起始簇号 每个MTF区块占用簇数 每个索引缓冲区块占用簇数 未使用 分区的逻辑序列号,格式化的时候随机产生 校验和 引导记录代码(DBR) 引导扇区签名“55 AA”

教学内容与就业创业相适应
字节偏移 00H 03H 0BH 0DH 0EH 10H 15H 16H 18H
大小 3B 8B 2B 1B 2B 5B 1B 2B 2B
含义
跳转指令(EBH 52H 90H),跳至54H处DBR 部分 OEM名(明文“NTFS”) 每扇区字节数(通常为200H) 每簇扇区数(值为2的N此方,通常为8) 保留扇区数(Microsoft要求置为0) 未使用(Microsoft要求置为0) 介质描述符,硬盘为F8 未使用(Microsoft要求置为0) 每磁道扇区数(通常为3F)

剖析主引导记录

剖析主引导记录

剖析主引导记录——主引导记录的修复与应用贾立莎摘要:硬盘的0柱面、0磁头、1扇区为主引导扇区,FDISK程序写到该扇区的内容为主引导记录(MBR),该记录占用446个字节,它用于硬盘启动时将系统控制权转移给用户指定的并在分区表中登记了的某个操作系统区,所以要进行主引导记录的备份,恢复,重写等。

用来修复由于主引导记录而引起的系统故障。

关键词:硬盘主引导修复1.主引导记录概述1.1什么是主引导记录MBR就是我们经常说的<硬盘主引导记录>,简单地说,它是由FDISK等磁盘分区命令写在硬盘绝对0扇区的一段数据,它由主引导程序、硬盘分区表及扇区结束标志字(55AA)这3个部分组成。

1.2主引导记录的组成主引导记录由三个部分组成(共占用512个字节):主引导程序区 446 负责检查硬盘分区表、寻找可引导分区并负责将可引导分区的引导扇区(DBR)装入内存;硬盘分区表区 16*4=64 每份16字节的4份硬盘分区表,里面记载了每个分区的类型、大小和分区开始、结束的位置等重要内容;结束标志字区 2 内容总为”55AA”。

这3部分的大小加起来正好是512字节=1个扇区(硬盘每扇区固定为512个字节),因此,人们又形象地把MBR称为“硬盘主引导扇区”。

这个扇区所在硬盘磁道上的其它扇区一般均空出,且这个扇区所在硬盘磁道是不属于分区范围内的,紧接着它后面的才是分区的内容(也就是说假如该盘每磁道扇区数为63,那么从绝对63扇区开始才是分区的内容)。

1.3写主引导记录程序-F 100 FFFF 0-E 7DBE 80 01 01 00 06 0F 66 F9 26 0000 00 9A B1 04 00-E7DCE 00 00 00 00 00 00 00 00 00 00 0000 00 00 01 00-D 7D80-E 7DFE 55 AA-E 7DB5 8B FC 1E 57 8B F5 CB-A 100-E102 03C:\FDISK/MBR-U 100-A 103Mov CX ,41FA-G=100-D7C00-A 106Mov DX ,0180-G=100-Q1.4主引导记录的作用检测分区表链是否正确,如果正确将引导具有激活标志的分区上的操作系统,也就是DBR。

NTFS主引导扇区程序剖析

NTFS主引导扇区程序剖析

NTFS主引导扇区程序剖析
李伟;孙维连;贺雷
【期刊名称】《佳木斯大学学报(自然科学版)》
【年(卷),期】2005(023)004
【摘要】给出对当前硬盘NTFS主引导扇区的读取方法,并对主引导扇区的引导过程进行全面分析,从中导出扩展INT 13H读取大容量硬盘逻辑扇区的方法,为大容量硬盘的NTFS格式分析与维护奠定基础.
【总页数】3页(P544-546)
【作者】李伟;孙维连;贺雷
【作者单位】佳木斯大学,黑龙江,佳木斯,154007;佳木斯大学,黑龙江,佳木
斯,154007;佳木斯大学02092243班,黑龙江,佳木斯,154007
【正文语种】中文
【中图分类】TP309.2
【相关文献】
1.NTFS分区导扇区程序剖析 [J], 颜世公;孙维连;李晶
2.深入剖析硬盘主引导扇区 [J], 王献冰
3.WindoWs操作系统主引导扇区程序剖析 [J], 郭吉平;赵化启;李伟
4.NTFS主引导扇区程序段分析 [J], 张竞达
5.深入剖析硬盘主引导扇区 [J], 唐自力
因版权原因,仅展示原文概要,查看原文内容请购买。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

文章编号:1008-1402(2005)04-0544-03①
NTFS 主引导扇区程序剖析
李 伟1, 孙维连1, 贺 雷2
(1.佳木斯大学,黑龙江佳木斯154007;2.佳木斯大学02092243班,黑龙江佳木斯154007)
摘 要: 给出对当前硬盘NTFS 主引导扇区的读取方法,并对主引导扇区的引导过程进行全面分
析,从中导出扩展I NT 13H 读取大容量硬盘逻辑扇区的方法,为大容量硬盘的NTFS 格式分析与维护奠定基础.
关键词: NTFS 主引导;逻辑扇区;I NT 13H 中图分类号: TP309.2 文献标识码: A
0 引 言
随着计算机硬件高速发展,硬盘的容量越来越大,硬盘的读取方法也在不断改进,但由于微软公司的技术封锁,始终未对硬盘的扩展I NT 13H 及NTFS 文件系统的格式进行公开文档报告.通过对Windows 2000操作系统所建立主引导扇区的程序部分进行全面分析,导出扩展I NT 13H 读取大硬盘的入口参数,给出读取大硬盘任意扇区的方法.
1 NTFS 主引导扇区的读取方法
硬盘的NTFS 主引导扇区是计算机启动时首先读取的扇区,它的主要功能是装入分区引导操作系统的扇区,然后将控制权转交给引导操作系统的扇区,引导装入操作系统.在Windows 2000下一般不能直接读取它,在软盘引导Windows98DOS 状态下运行DE BUG.EXE 程序,并输入如下程序段:
-A100
XXXX:0100MOV AX ,0201XXXX:0103MOV BX ,7C00XXXX:0106MOV CX ,0001XXXX:0109MOV DX ,0080XXXX:010C I NT 13XXXX:010E I NT 3XXXX:10F
-G=100 ;执行以上输入的程序-D7C00L200 ;显示引导扇区的机器码
略.
2 硬盘NTFS 主引导扇区主要程序段分析[1]
程序分析采用分段分析,对主要指令程序段加以说明.
①收稿日期:2005-07-15
作者简介:李伟(1962-),男,山东阳谷人,佳木斯大学继续教育学院教务科助理研究员.
 第23卷第4期 佳木斯大学学报(自然科学版) V ol.23N o.4 2005 年10月 Journal of Jiamusi University (Natural Science Edition )
Oct. 2005
2.1 硬盘小于8G 时读取引导操作系统的引导扇区
以下程序段是顺序至此或由0000:7C A5(C ),0000:7CC3(C ),0000:7CE4(U )地址跳转到此
0000:7CC A B80102 m ov ax ,0201 0000:7CC D BB007C m ov bx ,7C000000:7C D08B4E02m ov cx ,[bp +02]0000:7C D38B5600m ov dx ,[bp ]0000:7C D6C D13int 130000:7C D87351jnb 7D2B ;读硬盘成功则转0000:7C DA 4F dec di ;重试次数减10000:7C DB 744E je 7D2B ;重试次数结束转
0000:7C DD 32E4x or ah ,ah 0000:7C DF 8A5600m ov dl ,[bp +00]0000:7CE2C D13int 13;硬盘复位0000:7CE4E BE4
jm p 7CC A
;不成功则继续读2.9 硬盘大于8G 时,读取引导操作系统的引导扇区
以下程序段是顺序至此或由|0000:7CC1(C ),0000:7CC8(C )地址跳转到此0000:7CE68A5600m ov dl ,[bp +00]0000:7CE960pusha 0000:7CE A BBAA55m ov bx ,55AA 0000:7CE D B441m ov ah ,410000:7CEF C D13int 13;检测硬盘状态0000:7CF17236jb 7D290000:7CF381F B55AA cm p bx ,AA550000:7CF77530jne 7D29;硬盘状态不正确转
0000:7CF9F6C101test cl ,010000:7CFC 742B je 7D29;硬盘状态不正确转0000:7CFE 61
popa
;硬盘状态正确以下程序段是顺序至此或由0000:7D27(U )地址跳转到此0000:7CFF 60pusha 0000:7D006A00push 0000;0000进栈,此时SP =7BFA 0000:7D026A00push 0000;线性逻辑扇区号为48位时(定位大于
128G B ),该字为线性逻辑扇区号最高16位0000:7D04FF760A push w ord ptr [bp +0A];读硬盘线性逻辑扇区号高16位0000:7D07FF7608push w ord ptr [bp +08];读硬盘线性逻辑扇区号低16位0000:7D0A 6A00push 0000;读至内存缓冲区的段地址0000:7D0C 68007C push 7C00;读至内存缓冲区的偏移地址0000:7D0F 6A01push 0001;读入硬盘逻辑扇区数
0000:7D116A10push 0010;预置扩展I NT 13读硬盘的参数表的表长0000:7D13B442m ov ah ,42;读硬盘扩展I NT 13H 43调用号
0000:7D158BF4
m ov si ,sp
;堆栈指针SP =7BE A 送SI 此即读硬盘入口参
5
45第4期李 伟,等:NTFS 主引导扇区程序剖析
645佳木斯大学学报(自然科学版)2005年
数的起始偏移地址
0000:7D17C D13int13;读硬盘扩展I NT13H中断
0000:7D1961popa
0000:7D1A61popa
0000:7D1B730E jnb7D2B;成功转
0000:7D1D4F dec di;重试次数减1
0000:7D1E740B je7D2B;次数到则转
0000:7D2032E4x or ah,ah;不到则复位
0000:7D228A5600m ov dl,[bp+00]
0000:7D25C D13int13
0000:7D27E BD6jm p7CFF
以下程序段是顺序至此或由0000:7CF1(C),0000:7CF7(C),0000:7CFC(C)地址跳转到此
0000:7D2961popa
0000:7D2A F9stc
以下程序段是顺序至此或由0000:7C D8(C),0000:7C DB(C),0000:7D1B(C),0000:7D1E(C)地址跳转到此
0000:7D2B C3ret;调用返回
3 结束语
用以上的分析方法可以对Windows2000等的NTFS分区引导扇区进行引导过程分析,掌握操作系统的启动过程,为管理和维护计算机提供坚实的技术基础.
参考文献:
[1] 孙维连.DE BUG与软件维修技术[M].哈尔滨:哈尔滨工程大学出版社.2005.1
[2] 朴顺姬,孙维连,李伟.WIN98FAT32位文件意外删除的恢复[J].佳木斯大学学报(自然科学版).2002.4
[3] 孙维连.TC2.0读写大容量硬盘扇区的新技术[J].佳木斯大学学报(自然科学版).2004.4
[4] 张启来,李伟,陈名岳.在WIN98中用DE BUG直接读硬盘主引导记录的新技术[J].佳木斯大学学报(自然科学版).2004.3
The Analysis of NTFS Procedure in Main Boot Sector
LI Wei1, SUN Wei-lian1, HE Lei2
(1.Jiamusi U niversity,Jiamusi154007,China;2.Class02092243,Jiamusi U niversity,Jiamusi154007,China)
Abstract: This text gives the reading method of main boot sector in current NTFS harddish,and analyzes the booting process of main boot sector com pletely.Thus,a method is given to read the logic sectors of harddish with big capacity,which is the base of maintenance and NTFS format analysis of harddish with big capacity.
K ey w ords: NTFS;main boot sector;logic sector;extend;I NT13H。

相关文档
最新文档