来源:Unit 3: Unix/Linux File System 3.1 Unix/Linux File System Booting Process
使用工具:EnCase Forensic
学习查看删除的内容和其他不可访问的数据之前,需要粗暴的了解一下系统的引导程序,以及系统所使用的文件系统。
启动电源->开机自检(BIOS)->BIOS加载执行mas引导记录(MBR)->MBR位于硬盘扇区0,包含初始引导代码和磁盘分区-> MBR签名的Hex 55AA将程序引导到了操作系统。
看图,感受一下55AA的签名。MBR签名(中译过来叫签名,这里可以改改,叫标志)总是设置为Hex 55AA,这标志着MBR的结束。
与MBR技术(只支持4个主分区)对应的还有微软引入的EFI引导框架(支持128个主分区),这里以MBR为例子,一通百通。
MBR引导代码有446字节, 64字节分区表信息,2个字节MBR签名,共512字节。
右键,填写446字节定位。
这是64字节分区表信息。解码看一看
这是MBR引导记录中显示的分区信息。80,这意味主分区(俗称系统盘c盘)着可引导。00是另一个分区,逻辑分区。学技术是有什么学什么,不要钻牛角尖浪费时间(那我把00改成80不就可以双系统了吗,不要搞科研的思维,不是不可以,但是要明确咱们都是小白,后面大把的技术可以学,何必在这里浪费时间,想想后面惊人的教程都是需要投入时间的,以后科研不迟。)
单击这里也是一样 每个正方形代表一个扇区,512字节
这是硬盘第一个磁柱,磁面的第一个扇区。也就是有boot引导记录的地方。
第一个扇区把程序引导到存放操作系统的地方,往下面翻。你可以看到第一个活动分区,是红色部分,这叫卷引导。蓝色的部分都是已分配使用的扇区。
其中灰色的部分,都没有分配,它包含一些历史数据,但目前没有使用。获取可以得到意外的收获。
虽然第一扇区大部分都是不可读的,但也可以读一些东西,如图中的英文部分。这是错误信息,如果无法加载,则会显示此消息
