我使用我的 Ubuntu 操作系统(MBR 扇区)按照命令进行复制字节转储。
dc3dd if=/dev/sda of=x cnt=1 ssz=512 hash=sha256 mlog=hashes
我使用以下命令将其转换为 hexdump。
hexdump x > hex_x
我收到这样的输出。
我有一些专家hep来分析这个hex_dump。我需要知道获得 MBR 十六进制转储有什么好处以及使用它可以做什么?(例如:我可以告诉我的系统操作系统之类的信息分析吗?)
需要知道,是否有任何命令或工具可以更深入地分析并将此 hexdump 转换为人类可读的方式?
问:获得 MBR 十六进制转储有什么好处?使用它可以做什么样的事情?
A.微软说:
MBR 包含少量可执行代码,称为主引导代码、磁盘签名和磁盘分区表。
主引导代码和磁盘签名对某人(调查员)不是很有用。然而,分区表提供了很多信息,它可用于提取信息,在操作系统损坏或无法启动的情况下,MBR 可用于调查磁盘驱动器和操作系统。
分区表记录示例:(取自 MBR,使用 HEX 编辑器)
80 20 21 00 07 7E 25 19 00 08 00 00 00 38 06 00
每个十六进制值都有一些特定的含义,例如:
80 => Partition type, Active
20 21 00 => Partition’s starting sector, Cylinder-Head-Sector (CHS)
07 => File System, NTFS
7E 25 19 => Partition’s ending sector, CHS
00 08 00 00 => Starting sector
00 38 06 00 => Size of the partition, 199 MiB
您可以在官方网站的表 1.2 分区表字段中详细阅读它们。
问:是否有任何命令或工具可以更深入地分析并将这个 hexdump 转换为人类可读的方式?
A.您可以使用任何 HEX 编辑器,例如Hex Editor Neo或Active Disk Editor。这些编辑器将帮助您理解 MBR,但没有可用于将 hexdump 转换为人类可读格式的神奇工具(根据我的知识)。
PS:这个问题很老了,我之前没空,所以请接受迟到的答案... :)