利用 WinHex软件查看本机硬盘的MBR

2020-05-09 13:17:00
admin668
原创
747
WinHex是一款以通用的十六进制编辑器为核心,专门用来处理计算机取证、数据恢复、低级数据处理以及IT安全性、各种日常紧急情况的高级工具。
打开软件后,单击“工具”,选择“打开磁盘”,在“编辑磁盘”窗口中选择“物理驱动器”,然后左键单击“确定”,·物理驱动器是你能看到的实实在在的东西,如一个个扁盒子似的硬盘驱动器(简称硬盘)、光盘驱动器(简称光驱)、软盘驱动器(简称软驱)。
逻辑驱动器一般是指硬盘的若干千个分区。新硬盘开始使用前,必须对其进行分区。为了更好地利用硬盘空间,我们通常将其整体空间分成若干个区域,比如说在 Windows操作系统的“我的电脑”中,我们看到有“本地磁盘(C:)”、“本地磁盘(D:)”、“本地磁盘(E:)”
等,看起来好像有多个硬盘(多个物理驱动器也会表现为上述的形式),其实在逻辑上它们是在一块硬盘上的,这些硬盘分区,我们称之为逻辑驱动器。
·所有逻辑驱动器的容量加在一起并不一定等于硬盘的容量(有可能有保留扇区,保留扇区的出现,使数据的隐藏成为可能!)。
此时 WinHex软件界面显示的主要有“工具栏”“表单控制项”“目录浏览器”“详细信息
”等,如图2.32所示。若想暂时关闭某些功能界面,可以单击“查看-显示”,然后取消不需要显示的功能界面
关闭“目录浏览器”“案件数据”“数据解释器”和“详细信息栏”后,其界面如图2.34所示。此时表示的是硬盘的第一个扇区的数据。
图中表单控制栏显示为:睡盘,表示当前是在物理硬盘0上图的最左下角标识为:扇区01488397168,表示当前硬盘共有488397142个扇区,当前正在第0号扇区。
扇区标识的右边有偏移量显示:偏移地址
0,表示相对于此时
的整个硬盘,目前光标所在处距离硬盘最起始部分(即整个硬盘的第一个字节处)为0个字节(表示当前光标正在硬盘的第一个字节处)
当前光标所在字节处的偏移量不仅可以从整个界面的下方读取,也可以从整个主界面的左边及表单控制项的下方查看。
在图234中,“Oset”即偏移量,它类似于一个坐标,横坐标表示偏移量的末位数字(因为每一行都有16个字节,所以其数值是0~F),纵坐标则是偏移量除了末位之外的数值。如:图中的C0,横坐标为1,纵坐标为000000010个0)。因此它的偏移量为0000000(前面9个0,末位为1)。另外,图中方框包围部分记录的就是此硬盘的分区情况(也叫主分区表,DPT),其内保存了整个硬盘的详细分区信息,如:每个分区的起始扇区号、大小等。若此处的数据出现错误,则分区不能正常显示,也就不能正常读取分区中的数据。
方框前面的446个字节是引导代码(即Oset从0到1BD),其功能是引导主板Blos向硬盘进行功能跳转
最后两个字节“55AA”是分区的结束标志。若没有此处的结束标志,即使其他数据正确系统也不能正常执行引导程序。
方框的下方(即55AA的下方)有一根线条,此线条表示两个扇区的分割处