MBR扇区的手动备份与恢复之使用winhex对windows2003进行MBR备份
实验目的
认识MBR扇区,了解使用PE,使用十六进制编辑器,MBR扇区备份与恢复,认识二进制数据。
本文由实验中编写,些许潦草。
实验过程
在已有的虚拟机win2003新增加一块磁盘。
使用VMware虚拟机,windows2003系统,关机状态下新增一块磁盘,一切默认,大小设置为1GB。
使用分区工具,对第二块磁盘进行分区。
使用傲梅分区助手,开机打开分区软件,可见一块新磁盘,对其建立分区,默认确定后,在我的电脑中可见分区已正常出现。
安装十六进制编辑器,如winhex,安装到新增加的磁盘上。
winhex软件下载地址:https://www.onlinedown.net/soft/1510.htm
序列号(复制以下信息注册)
// WinHex license file
Name: WwW.DaYanZai.Me
Addr: www.dayanzai.me@xu.com
Addr: China
Data: 75EBECDB49A5C8F99606F6B3A1310838
Data: 651E3B474EAA1BB09B1E250A6246667D
Cksm: 7FB968D6使用winhex,打开第一块磁盘,复制第一块磁盘的MBR(即第1个扇区,共512字节)进行备份。
1、F9打开原来的第一个磁盘,确定。
2、鼠标指向第一个字节,单击右键,选择“选块起始位置”,而后向下滑动,鼠标指向MBR的最后一个字节,单击右键,选择“选块结尾”
选完之后被选中部分会高亮,右键高亮区域,弹出菜单中选中编辑-复制选块-至新文件,然后保存到新磁盘上或其他地方,完成备份。
复制一些文件夹和文件到第一块磁盘的第二个分区(D盘上。)
随意复制一些内容到D盘
运行病毒软件
放入精美的病毒软件,病毒是实验专用,本站概不提供。运行之后出现提示,确定之后自动重启虚拟机无法开机,中毒成功.
使用PE进入系统,使用winhex备份下来的第1个扇区的数据,对磁盘进行引导记录和分区表恢复。
根据实验环境,考虑到PE没有winhex,所以题目要求安装winhex到第二个磁盘,以便继续学习研究。
进入PE后,再次打开winhex选中相应磁盘,发现全部都变成0了:
把之前备份的数据恢复,右键第一个字节-编辑-剪贴板数据-写入。保存后重启电脑,发现可以进入系统,但是D盘中文件依然消失。
之后进行文件恢复。将第一块磁盘的第二个分区(D盘)的文件恢复。
进入D盘之后,选择需要恢复的文件,右键单选恢复/复制,即可恢复,我这里是直接全选恢复的,正规操作慎选。
相关知识
主引导记录(MBR,Master Boot Record)是位于磁盘最前边的一段引导(Loader)代码。它负责磁盘操作系统(DOS)对磁盘进行读写时分区合法性的判别、分区引导信息的定位,它由磁盘操作系统(DOS)在对硬盘进行初始化时产生的。
通常,我们将包含MBR引导代码的扇区称为主引导扇区。因这一扇区中,引导代码占有绝大部分的空间,故而将习惯将该扇区称为MBR扇区(简称MBR)。由于这一扇区承担有不同于磁盘上其他普通存储空间的特殊管理职能,作为管理整个磁盘空间的一个特殊空间,它不属于磁盘上的任何分区,因而分区空间内的格式化命令不能清除主引导记录的任何信息。
主引导扇区由三个部分组成(共占用512个字节):
- 1.主引导程序即主引导记录(MBR)(占446个字节)
可在FDISK程序中找到,它用于硬盘启动时将系统控制转给用户指定的并在分区表中登记了的某个操作系统。 - 2.磁盘分区表项(DPT,Disk Partition Table)
由四个分区表项构成(每个16个字节)。
负责说明磁盘上的分区情况,其内容由磁盘介质及用户在使用FDISK定义分区时决定。(具体内容略) - 3.结束标志(占2个字节)
其值为AA55,存储时低位在前,高位在后,即看上去是55AA(十六进制)。
更多相关信息:
百度百科_主引导记录:https://baike.baidu.com/item/主引导记录/7612638
百度百科_Windows PE:https://baike.baidu.com/item/Windows PE/140530
参考资料:https://www.jb51.net/softjc/504010.html
