1

我使用我的 Ubuntu 操作系统(MBR 扇区)按照命令进行复制字节转储。

dc3dd if=/dev/sda of=x cnt=1 ssz=512 hash=sha256 mlog=hashes

我使用以下命令将其转换为 hexdump。

hexdump x > hex_x

我收到这样的输出。

在此处输入图像描述

我有一些专家hep来分析这个hex_dump。我需要知道获得 MBR 十六进制转储有什么好处以及使用它可以做什么?(例如:我可以告诉我的系统操作系统之类的信息分析吗?)

需要知道,是否有任何命令或工具可以更深入地分析并将此 hexdump 转换为人类可读的方式?

4

1 回答 1

2

:获得 MBR 十六进制转储有什么好处?使用它可以做什么样的事情?

A.微软说:

MBR 包含少量可执行代码,称为主引导代码、磁盘签名和磁盘分区表。

主引导代码和磁盘签名对某人(调查员)不是很有用。然而,分区表提供了很多信息,它可用于提取信息,在操作系统损坏或无法启动的情况下,MBR 可用于调查磁盘驱动器和操作系统。

分区表记录示例:(取自 MBR,使用 HEX 编辑器)

80 20 21 00 07 7E 25 19 00 08 00 00 00 38 06 00 

每个十六进制值都有一些特定的含义,例如:

80 => Partition type, Active 

20 21 00 => Partition’s starting sector, Cylinder-Head-Sector (CHS)

07 => File System, NTFS

7E 25 19 => Partition’s ending sector, CHS

00 08 00 00 => Starting sector

00 38 06 00 => Size of the partition, 199 MiB

您可以在官方网站的表 1.2 分区表字段中详细阅读它们。

:是否有任何命令或工具可以更深入地分析并将这个 hexdump 转换为人类可读的方式?

A.您可以使用任何 HEX 编辑器,例如Hex Editor NeoActive Disk Editor。这些编辑器将帮助您理解 MBR,但没有可用于将 hexdump 转换为人类可读格式的神奇工具(根据我的知识)。

PS:这个问题很老了,我之前没空,所以请接受迟到的答案... :)

于 2019-10-06T16:42:24.180 回答