我使用 Ubuntu 操作系统(MBR 扇区)执行以下命令进行复制字节转储。
dc3dd if=/dev/sda of=x cnt=1 ssz=512 hash=sha256 mlog=hashes
我使用以下命令将其转换为 hexdump。
hexdump x > hex_x
我收到这样的输出。
我有一些专家可以分析这个 hex_dump。我需要知道获取 MBR 十六进制转储有什么好处以及使用它可以做什么? (例如:我可以告诉我的系统操作系统类似分析此信息的信息吗?)
需要知道,是否有任何命令或工具可以更深入地分析并将此十六进制转储转换为人类可读的方式?
最佳答案
问获取 MBR 十六进制转储有什么好处以及使用它可以完成哪些操作?
A.微软表示:
The MBR contains a small amount of executable code called the master boot code, the disk signature, and the partition table for the disk.
主启动代码和磁盘签名对于某些人(调查员)来说并不是很有用。然而,分区表提供了大量信息,在操作系统损坏或无法启动的情况下,它可以用来提取信息,并且 MBR 可用于调查磁盘驱动器和操作系统。
示例分区表记录:(使用十六进制编辑器从 MBR 获取)
80 20 21 00 07 7E 25 19 00 08 00 00 00 38 06 00
每个十六进制值都有一些特定的含义,例如:
80 => Partition type, Active
20 21 00 => Partition’s starting sector, Cylinder-Head-Sector (CHS)
07 => File System, NTFS
7E 25 19 => Partition’s ending sector, CHS
00 08 00 00 => Starting sector
00 38 06 00 => Size of the partition, 199 MiB
您可以在 Table 1.2 Partition Table Fields 中详细阅读它们,在官方网站。
问是否有任何命令或工具可以更深入地分析并将此十六进制转储转换为人类可读的方式?
A.您可以使用任何十六进制编辑器,例如 Hex Editor Neo或Active Disk Editor 。这些编辑器将帮助您理解 MBR,但是没有神奇的工具可以将 hexdump 转换为人类可读的格式(根据我的知识)。
PS:这个问题已经很老了,我之前没空,所以请接受迟来的答案...:)
关于operating-system - MBR 十六进制转储的用途是什么?使用它可以做什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/54730344/