主引导扇区位于整个硬盘的0柱面0磁头1扇区,包括硬盘主引导记录MBR(Master Boot Record)和分区表DPT(Disk Partition Table)。主引导扇区有512个字节,MBR占446个字节(偏移0000--偏移1BDH),DPT 占64个字节(偏移1BEH--偏移1FDH),最后两个字节“55,AA”。大致的结构如下图:
|------------------------------------------------|0000
| Main Boot Record |
| |
| 主引导记录(446字节) |
| |
| |01BD
|------------------------------------------------|01BE
| |
| 分区信息 1(16字节) |01CD
|------------------------------------------------|01CE
| |
| 分区信息 2(16字节) |01DD
|------------------------------------------------|01DE
| |
| 分区信息 3(16字节) |01ED
|------------------------------------------------|01EE
| |
| 分区信息 4(16字节) |01FD
|------------------------------------------------|01FE
| |
| 55 | AA |
|------------------------------------------------|01FF
主引导记录中包含了硬盘的一系列参数和一段引导程序。引导程序主要是用来在系统硬件自检完后引导具有激活标志的分区上的操作系统。它执行到最后的是一条JMP指令跳到操作系统的引导程序去。这里往往是引导型病毒的注入点,也是各种多系统引导程序的注入点。但是由于引导程序本身完成的功能比较简单,所以我们可以完全地判断该引导程序的合法性,因而也易于修复。像命令fdisk/mbr可以修复MBR和KV3000这类软件可以查杀任意类型的引导型病毒,就是这个原因。
分区表由4个16字节的分区信息表组成。每个信息表的结构如下:
偏移 长度 所表达的意义 存贮字节位 内容及含义
第1字节 引导标志。若值为80H表示活动分区,若值为00H表示非活动分区。
第2、3、4字节 本分区的起始磁头号、扇区号、柱面号。其中:
磁头号——第2字节;
扇区号——第3字节的低6位;
柱面号——为第3字节高2位+第4字节8位。
第5字节 分区类型符。
00H——表示该分区未用(即没有指定);
06H——FAT16基本分区;
0BH——FAT32基本分区;
05H——扩展分区;
07H——NTFS分区;
0FH——(LBA模式)扩展分区(83H为Linux分区等)。
第6、7、8字节 本分区的结束磁头号、扇区号、柱面号。其中:
磁头号——第6字节;
扇区号——第7字节的低6位;
柱面号——第7字节的高2位+第8字节。
第9、10、11、12字节 本分区之前已用了的扇区数。
第13、14、15、16字节 本分区的总扇区数。
最后的两个标志“55 AA”是分区表的结束标志,如果这两个标志被修改,则系统引导时将报告找不到效的分区表。
常见问题:
Q1、fdisk/mbr 会不会把硬盘的分区表破坏呀?
A:fdisk/mbr是不会影响到DPT的。fdisk/mbr只是把主引导分区里的MBR部分重新写过,而不会对DPT有任何破坏。
扫一扫
389
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
