【干货】已Window7 系统为例，谈谈boot引导程序-------附带看看数据隐藏

来源：Unit 3: Unix/Linux File System 3.1 Unix/Linux File System Booting Process

使用工具：EnCase Forensic

学习查看删除的内容和其他不可访问的数据之前，需要粗暴的了解一下系统的引导程序，以及系统所使用的文件系统。

启动电源->开机自检（BIOS）->BIOS加载执行mas引导记录（MBR）->MBR位于硬盘扇区0，包含初始引导代码和磁盘分区-> MBR签名的Hex 55AA将程序引导到了操作系统。

看图，感受一下55AA的签名。MBR签名（中译过来叫签名，这里可以改改，叫标志）总是设置为Hex 55AA，这标志着MBR的结束。

与MBR技术（只支持4个主分区）对应的还有微软引入的EFI引导框架（支持128个主分区），这里以MBR为例子，一通百通。

MBR引导代码有446字节， 64字节分区表信息，2个字节MBR签名，共512字节。

右键，填写446字节定位。

这是64字节分区表信息。解码看一看

这是MBR引导记录中显示的分区信息。80，这意味主分区（俗称系统盘c盘）着可引导。00是另一个分区，逻辑分区。学技术是有什么学什么，不要钻牛角尖浪费时间（那我把00改成80不就可以双系统了吗，不要搞科研的思维，不是不可以，但是要明确咱们都是小白，后面大把的技术可以学，何必在这里浪费时间，想想后面惊人的教程都是需要投入时间的，以后科研不迟。）

单击这里也是一样  每个正方形代表一个扇区，512字节

这是硬盘第一个磁柱，磁面的第一个扇区。也就是有boot引导记录的地方。

第一个扇区把程序引导到存放操作系统的地方，往下面翻。你可以看到第一个活动分区，是红色部分，这叫卷引导。蓝色的部分都是已分配使用的扇区。

其中灰色的部分，都没有分配，它包含一些历史数据，但目前没有使用。获取可以得到意外的收获。

虽然第一扇区大部分都是不可读的，但也可以读一些东西，如图中的英文部分。这是错误信息，如果无法加载，则会显示此消息