- UID
- 181016
中士
- 积分
- 812
- 经验
-
- 点数
-
- 油豆
-
- 荣誉
-
- 在线时间
- 小时
- 注册时间
- 2011-6-8
- 最后登录
- 1970-1-1
|
一、概述:
1、操作系统:Win7(64位)+Ubuntu12.04+Centos6.0
2、分区数量:12个
3、分区描述:
盘符 分区大小 分区类型 描述
C: 40G NTFS Win7系统盘
D: 50G NTFS Program
E: 100G NTFS Work
F: 100G NTFS Temp
G: 50G NTFS 预留的Win8系统盘
H: 60G NTFS Bak
7: 512MB Ext4 /Boot Centos
8: 20G Ext4 / Centos
9: 2G Swap Centos
10: 976MB Ext4 /Boot Ubuntu
11: 40.39G Ext4 / Ubuntu
12: 1.91G Swap Ubuntu
二、分析思路:
按照分区表链逐个找到各个分区。
三、分析步骤:
1、查看MBR,参数如下:(用WinHex打开磁盘,定位到0号扇区)
表项一:分区标志:80 分区类型:07 隐藏扇区:63 分区大小:83891367
表项二:分区类型:F 隐藏扇区:83892222(与理论值不符) 分区大小:892878850(425.75G)
2、找到EBR1,跳转到83892222号扇区,此处为一个虚拟MBR(EBR),参数如下:
表项一 分区类型:07(表示NTFS) 隐藏扇区:2 分区大小:104857600
表项二 分区类型:05(表示扩展分区) 隐藏扇区:104857602 分区大小:209717248
3、找到EBR2,起始扇区号=10485762+83892222=188749824
表项一 分区类型:07 隐藏扇区:2048 分区大小:209715200
表项二 分区类型:05 隐藏扇区:314574850 分区大小:209717248
按照以上的方法继续向下找到各个EBR即可。
注意:一般情况下,下一个EBR的起始扇区号可以从上一个的起始扇区号+隐藏扇区+本分区大小得出,但是本实例说明这样计算是有问题的,应该使用分区表项二的隐藏扇区数+MBR中分区表项二的隐藏扇区数得出。(本实例中当计算到EBR5时会和实际情况有出入)
|
|
鲁公网安备 37050202370508号
提升卡
置顶卡
沉默卡
变色卡
千斤顶