Operating system MBR十六进制转储的用途是什么?使用它可以做什么?
我使用我的Ubuntu操作系统(MBR扇区)执行以下命令获取复制字节转储Operating system MBR十六进制转储的用途是什么?使用它可以做什么?,operating-system,hexdump,computer-forensics,mbr,diskimage,Operating System,Hexdump,Computer Forensics,Mbr,Diskimage,我使用我的Ubuntu操作系统(MBR扇区)执行以下命令获取复制字节转储 dc3dd if=/dev/sda of=x cnt=1 ssz=512 hash=sha256 mlog=hashes hexdump x > hex_x 我使用以下命令将其转换为hextump dc3dd if=/dev/sda of=x cnt=1 ssz=512 hash=sha256 mlog=hashes hexdump x > hex_x 我收到这样的输出 我有一些hep专家来分析这个垃
dc3dd if=/dev/sda of=x cnt=1 ssz=512 hash=sha256 mlog=hashes
hexdump x > hex_x
dc3dd if=/dev/sda of=x cnt=1 ssz=512 hash=sha256 mlog=hashes
hexdump x > hex_x
需要知道,是否有任何命令或工具可以更深入地分析并将此十六进制转储转换为人类可读的方式?Q.获得MBR十六进制转储的好处是什么,使用它可以做什么 A.微软说: MBR包含少量称为主引导代码的可执行代码、磁盘签名和磁盘分区表 主引导代码和磁盘签名对某些人(调查人员)不是很有用。然而,分区表提供了大量信息,在操作系统损坏或未启动以及MBR可用于调查磁盘驱动器和操作系统的情况下,分区表可用于提取信息 示例分区表记录:(取自MBR,使用十六进制编辑器) 每个十六进制值都有一些特定的含义,例如:
80 => Partition type, Active
20 21 00 => Partition’s starting sector, Cylinder-Head-Sector (CHS)
07 => File System, NTFS
7E 25 19 => Partition’s ending sector, CHS
00 08 00 00 => Starting sector
00 38 06 00 => Size of the partition, 199 MiB