代码之家  ›  专栏  ›  技术社区  ›  uma

MBR十六进制转储的用途是什么?使用它可以做什么?

diskimage mbr computer-forensics hexdump operating-system
  •  0
  • uma  · 技术社区  · 5 年前

    我使用我的Ubuntu操作系统(MBR扇区)执行以下命令获取复制字节转储。 

    dc3dd if=/dev/sda of=x cnt=1 ssz=512 hash=sha256 mlog=hashes

    我使用以下命令将其转换为hextump。 

    hexdump x > hex_x

    enter image description here

    我有一些hep专家来分析这个垃圾堆。我需要知道获得MBR十六进制转储的好处是什么,以及使用它可以做什么?(例如:我可以告诉我的系统操作系统类似于信息分析吗?)

    需要知道,是否有任何命令或工具可以更深入地分析并将这个hextump转换为人类可读的方式?

    0 回复  |  直到 4 年前
        1
  •  2
  •   Atlas_Gondal    5 年前

    Q 获得MBR十六进制转储的好处是什么?使用它可以做什么?

    微软表示:

    MBR包含少量称为主引导代码的可执行代码、磁盘签名和磁盘分区表。

    分区表记录示例: (取自MBR,使用十六进制编辑器) 

    80 20 21 00 07 7E 25 19 00 08 00 00 00 38 06 00 


    80 => Partition type, Active 

20 21 00 => Partition’s starting sector, Cylinder-Head-Sector (CHS)

07 => File System, NTFS

7E 25 19 => Partition’s ending sector, CHS

00 08 00 00 => Starting sector

00 38 06 00 => Size of the partition, 199 MiB

    Table 1.2 Partition Table Fields ,在官方网站。

    Q 是否有任何命令或工具可以更深入地分析并将这个hextump转换为人类可读的方式?

    A. 您可以使用任何十六进制编辑器,如 Hex Editor Neo Active Disk Editor

    这个问题很老了,我之前没空,所以请接受迟来的回答…:)

    推荐文章
    Nemo_Sol  ·  编译动态链接的内核
    6 年前
    Jacquelyn.Marquardt  ·  在bash shell中将多个命令链接在一起
    6 年前
    user3732361  ·  读取大文件时如何选择块大小?
    6 年前
    Sector  ·  将参数传递给自己的execv内核实现
    6 年前
    Arka Pal  ·  关闭管道中未使用的端部
    6 年前
    Yash Jain  ·  在shmflg中,0标志对于共享V内存系统调用意味着什么?
    6 年前
    T. John.  ·  线join()在Dining Physphers实现中的expect中不起作用
    6 年前
    Nat  ·  释放malloc内存时程序停止工作
    6 年前
    Mengfan Ma  ·  作者所说的操作系统中的目录结构是什么意思?
    6 年前
    Mengfan Ma  ·  在何处执行磁盘调度
    6 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号