无忧启动论坛

 找回密码
 注册
搜索
系统gho:最纯净好用系统下载站投放广告、加入VIP会员,请联系 微信:wuyouceo
查看: 10781|回复: 22
打印 上一主题 下一主题

硬盘主引导分区表(MBR)反汇编分析及拓展应用(试一试)

[复制链接]
跳转到指定楼层
1#
发表于 2009-10-13 06:27:33 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
MBR(Main Boot Record)主引导记录区位于硬盘0磁道0柱面1扇区。

模型:



映像:

:0600  FA 33 C0 8E D0 BC 00 7C-8B F4 50 07 50 1F FB FC   .3.....|..P.P...
:0610  BF 00 06 B9 00 01 F2 A5-EA 1D 06 00 00 BE BE 07   ................
:0620  B3 04 80 3C 80 74 0E 80-3C 00 75 1C 83 C6 10 FE   ...<.t..<.u.....
:0630  CB 75 EF CD 18 8B 14 8B-4C 02 8B EE 83 C6 10 FE   .u......L.......
:0640  CB 74 1A 80 3C 00 74 F4-BE 8B 06 AC 3C 00 74 0B   .t..<.t.....<.t.
:0650  56 BB 07 00 B4 0E CD 10-5E EB F0 EB FE BF 05 00   V.......^.......
:0660  BB 00 7C B8 01 02 57 CD-13 5F 73 0C 33 C0 CD 13   ..|...W.._s.3...
:0670  4F 75 ED BE A3 06 EB D3-BE C2 06 BF FE 7D 81 3D   Ou...........}.=
:0680  55 AA 75 C7 8B F5 EA 00-7C 00 00 49 6E 76 61 6C   U.u.....|..Inval
:0690  69 64 20 70 61 72 74 69-74 69 6F 6E 20 74 61 62   id partition tab
:06A0  6C 65 00 45 72 72 6F 72-20 6C 6F 61 64 69 6E 67   le.Error loading
:06B0  20 6F 70 65 72 61 74 69-6E 67 20 73 79 73 74 65    operating syste
:06C0  6D 00 4D 69 73 73 69 6E-67 20 6F 70 65 72 61 74   m.Missing operat
:06D0  69 6E 67 20 73 79 73 74-65 6D 00 00 00 00 00 00   ing system......
:06E0  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00   ................
:06F0  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00   ................
:0700  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00   ................
:0710  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00   ................
:0720  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00   ................
:0730  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00   ................
:0740  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00   ................
:0750  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00   ................
:0760  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00   ................
:0770  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00   ................
:0780  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00   ................
:0790  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00   ................
:07A0  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00   ................
:07B0  00 00 00 00 00 00 00 00-00 00 00 00 00 00 80 01   ................
:07C0  01 00 04 0F 34 48 34 00-00 00 B0 EF 00 00 00 00   ....4H4.........
:07D0  01 4A 05 0F F4 E8 80 F0-00 00 C0 C4 0B 00 00 00   .J..............
:07E0  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00   ................
:07F0  00 00 00 00 00 00 00 00-00 00 00 00 00 00 55 AA   ..............U.

反汇编:


0000:7C00 FA                  CLI    关中断
0000:7C01 33C0              XOR AX,AX   设置堆栈段地址为0000
0000:7C03 8ED0              MOV SS,AX
0000:7C05 BC007C           MOV SP,7C00   设置堆栈指针为7C00
0000:7C08 8BF4               MOV SI,SP   si=7c00
0000:7C0A 50                  PUSH AX  
0000:7C0B 07                  POP ES   ES=0000
0000:7C0C 50                  PUSH AX  
0000:7C0D 1F                  POP DS   DS=0000
0000:7C0E FB                  STI    开中断
0000:7C0F FC                  CLD    清除方向
0000:7C10 BF0006           MOV DL,O600   DI=0600
0000:7C13 B90001           MOV CX,0100   移动256个word(512bytes)
0000:7C16 F2                  REPNZ    把MBR从7c00移动到0600
0000:7C17 A5                  MOVSW
0000:7C18 EA1D060000   JMP 0000:061D 跳至0000:061d,及程序的下一条指令
NEW_LOCATION:             AT 0000:0600
0000:061D BEBE07           MOV SI,07BE   指向第一个分区表的首地址
0000:0620 B304               MOV BL,04   分区个数为4
SEARCH_LOOP1:              查找活动分区的代码段
0000:0622 803C80           CMP BYTEPTR[SI],80 是否为活动分区?
0000:0625 740E              JZ FOUND_ACTIVE 是,转,继续查看其它分区
0000:0627 803C00           CMP BYTE PTR[SI],00 是否为非活动分区
0000:062A 751C              JNZ NOT_ACTIVE 不是,跳转,分区表出现异常
0000:062C 83C610           ADD SI,+10   增量表指针加16
0000:062F FECB               DEC BL   减少计数
0000:0631 75EF               JNZ SEARCH_LOOP1 继续检查四个分区中的其他分区
0000:0633 CD18               INT 18   没有找到活动分区,跳至ROM BASIC
FOUND_ACTIVE:               找到了活动分区
0000:0635 8B14               MOV DX,[SI]   保存磁头号、驱动器号到DH、DL
0000:0637 8B4C02            MOV CX,[SI+02] 保存磁道号、扇区号到CH、CL
0000:063A 8BEE               MOV BP,SI   保存当前分区首地址到BP
SEARCH_LOOP2:               继续查看分区保证只有一个活动分区,且其他分区正常
0000:063C 83C610            ADD SI,+10   增量表指针加16
0000:063F FECB                DEC BL   减少计数
0000:0641 741A               JZ READ_BOOT 如果所有分区检查结束,开始引导
0000:0643 803C00            CMP BYTE PTR[SI],00 是否为非活动分区
0000:0646 74F4               JZ SEARCH_LOOP2 是,循环
NOT_ACTIVE:                   有不止一个活动分区或有分区异常
0000:0648 BE8B06            MOV SI,068B   SI指向字符串“Invailid partition table”
DISPLAY_MSG:                 显示消息循环
0000:064B AC                  LODSB    取得消息的字符
0000:064C 3C00               CMP AL,00   判断消息的结尾
0000:064E 740B               JZ HANG   显示错误信息后挂起
0000:0650 56                   PUSH SI   保存SI
0000:0651 BB0700            MOV BX,0007   BL=字符颜色,BH=页号
0000:0654 B40E                MOV AH,0E   显示一个字符
0000:0656 CD10               INT 10
0000:0658 5E                   POP SI   恢复SI
0000:0659 EBF0               JMP DISPLAY_MSG 循环显示剩下的字符
HANG:                             挂起系统
0000:065B                       JMP HANG     死循环挂起
READ_BOOT:                    读活动分区的数据
0000:065D BF0500            MOV DI,005   设置尝试的次数
INT13RTRY:                     int13的重试循环
0000:0660 BB0007C          MOV BX,7C00   设置读盘缓冲区
0000:0663 B80102            MOV AX,0201   读入一个扇区
0000:0666 57                   PUSH DI   保存DI
0000:0667 CD13               INT 13   把扇区读入0000:7c00
0000:0669 SF                   POP DI   恢复DI
0000:066A 730C               JNB INT13OK   读扇区操作成功 CF=0
0000:066C 33C0               XOR AX,AX   读盘操作失败,硬盘复位
0000:066E CD13               INT 13
0000:0670 4F                   DEC DI   尝试次数减一
0000:0671 75ED               JNZ INT13RTRY 剩余次数不为零,继续尝试
0000:0673 BEA306            MOV SI,06A3   si指向字符串“error loading operation system”
0000:0676 EBD3               JMP DISPLAY_MSG 显示出错信息,并挂起
INT13OK:                         int13 出错
0000:0678 BEC2O6            MOV SI,06C2   si指向字符串“missing operation system”
0000:067B BFFE7D             MOV DI,7DFE   指向分区结束标志
0000:067E 813D55AA        CMP WORD PTR[DI],AA55 标志是否正确
0000:0682 75C7               JNZ DISPLAY_MSG 不正确,显示出错信息,挂起
0000:0684 8BF5                MOV SI,BP   恢复可引导分区首地址与SI
0000:0686 EA007C0000     JMP 0000:7C00 一切正常,转分区引导记录执行



肯请各位指导!!!

也准备进行一些MBR方面应用或拓展!9楼有个小例子!

本文来自CSDN博客

[ 本帖最后由 天涯海角1216 于 2009-10-13 19:44 编辑 ]
2#
 楼主| 发表于 2009-10-13 06:28:53 | 只看该作者
最近喜欢学学MBR知识,贴出来与大家共享,见笑了。
回复

使用道具 举报

3#
发表于 2009-10-13 08:02:51 | 只看该作者
       强,   收搀了
回复

使用道具 举报

4#
发表于 2009-10-13 08:15:16 | 只看该作者
收藏了,谢谢楼主的分享
回复

使用道具 举报

5#
发表于 2009-10-13 08:15:41 | 只看该作者
厉害, 研究够深入。
回复

使用道具 举报

6#
发表于 2009-10-13 09:29:14 | 只看该作者
这是DOS V3.31生成的MBR,这个引导程序很简单,具有了引导的全部机能,是入门学习的好资料,我也曾经注释过这个版本的MBR,LZ发布的映像与程序对不上,现将我注释文本中的映像贴上来,供大家参考。
:0600  FA 33 C0 8E D0 BC 00 7C-8B F4 50 07 50 1F FB FC   .3.....|..P.P...
:0610  BF 00 06 B9 00 01 F2 A5-EA 1D 06 00 00 BE BE 07   ................
:0620  B3 04 80 3C 80 74 0E 80-3C 00 75 1C 83 C6 10 FE   ...<.t..<.u.....
:0630  CB 75 EF CD 18 8B 14 8B-4C 02 8B EE 83 C6 10 FE   .u......L.......
:0640  CB 74 1A 80 3C 00 74 F4-BE 8B 06 AC 3C 00 74 0B   .t..<.t.....<.t.
:0650  56 BB 07 00 B4 0E CD 10-5E EB F0 EB FE BF 05 00   V.......^.......
:0660  BB 00 7C B8 01 02 57 CD-13 5F 73 0C 33 C0 CD 13   ..|...W.._s.3...
:0670  4F 75 ED BE A3 06 EB D3-BE C2 06 BF FE 7D 81 3D   Ou...........}.=
:0680  55 AA 75 C7 8B F5 EA 00-7C 00 00 49 6E 76 61 6C   U.u.....|..Inval
:0690  69 64 20 70 61 72 74 69-74 69 6F 6E 20 74 61 62   id partition tab
:06A0  6C 65 00 45 72 72 6F 72-20 6C 6F 61 64 69 6E 67   le.Error loading
:06B0  20 6F 70 65 72 61 74 69-6E 67 20 73 79 73 74 65    operating syste
:06C0  6D 00 4D 69 73 73 69 6E-67 20 6F 70 65 72 61 74   m.Missing operat
:06D0  69 6E 67 20 73 79 73 74-65 6D 00 00 00 00 00 00   ing system......
:06E0  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00   ................
:06F0  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00   ................
:0700  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00   ................
:0710  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00   ................
:0720  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00   ................
:0730  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00   ................
:0740  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00   ................
:0750  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00   ................
:0760  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00   ................
:0770  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00   ................
:0780  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00   ................
:0790  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00   ................
:07A0  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00   ................
:07B0  00 00 00 00 00 00 00 00-00 00 00 00 00 00 80 01   ................
:07C0  01 00 04 0F 34 48 34 00-00 00 B0 EF 00 00 00 00   ....4H4.........
:07D0  01 4A 05 0F F4 E8 80 F0-00 00 C0 C4 0B 00 00 00   .J..............
:07E0  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00   ................
:07F0  00 00 00 00 00 00 00 00-00 00 00 00 00 00 55 AA   ..............U.
回复

使用道具 举报

7#
 楼主| 发表于 2009-10-13 09:44:15 | 只看该作者
谢谢 lvyanan 老师!
我就想看看HPA引导分区的原理,很难!!!!!!!
回复

使用道具 举报

8#
发表于 2009-10-13 11:38:09 | 只看该作者
原帖由 天涯海角1216 于 2009-10-13 09:44 发表
谢谢 lvyanan 老师!
我就想看看HPA引导分区的原理,很难!!!!!!!

谈何容易!很难看懂,我初步看了看开头,估计要花几个月时间消化,没有强烈的兴趣支持,很难坚持下去,还是知难而退吧。
回复

使用道具 举报

9#
 楼主| 发表于 2009-10-13 17:08:37 | 只看该作者
我比较了20G和40G两个硬盘HPA的MBR,发现在固定位置有2处明显的不同。

IBM 20G硬盘HPA分区约8.8G   ,     富士通40G硬盘HPA分区约11.3G











而联想启动隐藏的EISA分区时,没有启动扇区,只在该隐藏分区启动扇区的卷标位置写入联想英文标志。

或许能利用一下其原理呢?

呵呵-------------

lvyanan 老师您看看,
IBM 20G 硬盘HPA的MBR和HPA分区的启动扇区

IBM-20G-HPA-MBR-1-63扇区.rar (18.61 KB, 下载次数: 109)

IBM-20G-HPA分区-1-63扇区BOOTICE备份.rar (1.22 KB, 下载次数: 90)

富士通 40G 硬盘HPA的MBR和HPA分区的启动扇区

新富士通40G-HPA-MBR-1-63扇区0906013后.rar (8.02 KB, 下载次数: 110)

新富士通40G-HPA盘-1-63扇区0906013.rar (1.73 KB, 下载次数: 91)

联想F41A -MBR和隐藏EISA分区启动扇区

联想F41A-MBR.rar (2.27 KB, 下载次数: 145)

联想隐藏分区扇区.rar (159 Bytes, 下载次数: 102)

[ 本帖最后由 天涯海角1216 于 2009-10-14 06:19 编辑 ]
回复

使用道具 举报

10#
发表于 2009-10-13 20:13:23 | 只看该作者
资料我收下了,但我没有时间研究,我的兴趣在硬盘数据恢复方面,要大量时间来研究和学习分区及文件格式方面的内幕资料,这一门是有前途的,启动及恢复系统的技术,是一项投入精力大,回报小的买卖,还是不要深入为妙。
回复

使用道具 举报

11#
 楼主| 发表于 2009-10-13 20:50:08 | 只看该作者
谢谢  lvyanan 老师!

你做你的大事情,有小问题我再请教您!
回复

使用道具 举报

12#
发表于 2009-10-13 22:01:46 | 只看该作者
你的 IBM 20G 硬盘上的 HPA 隐藏部分是 8.8G 的 NTFS 分区吗?如果是的话,好像这个 MBR 把这一部分虚拟成另一个硬盘来启动了,呵呵,猜测而已
回复

使用道具 举报

13#
 楼主| 发表于 2009-10-13 22:07:42 | 只看该作者
谢谢 Pauly 大师:
8.8G的FAT32分区的,好像总是要格式化成FAT32格式,
而且不通过启动扇区启动,我记得我在HPA打开情况下看到的依然是正常的FAT分区!
而且我写的卷标都没变-HPA

IBM-20G-HPA分区-1-63扇区BOOTICE备份.rar (1.22 KB, 下载次数: 48)

新富士通40G-HPA盘-1-63扇区0906013.rar (1.73 KB, 下载次数: 44)

[ 本帖最后由 天涯海角1216 于 2009-10-13 22:10 编辑 ]
回复

使用道具 举报

14#
发表于 2009-10-13 22:28:51 | 只看该作者
你在 9 楼图中的红圈, 0x0342423F=54673983,这个是 40G 的硬盘吧,54673983号扇区是指向 FAT32 分区的起始扇区的吗?也就是你导出来的内容那里?
回复

使用道具 举报

15#
 楼主| 发表于 2009-10-13 22:45:07 | 只看该作者
我说错了,该是整个硬盘扇区总数了
回复

使用道具 举报

16#
发表于 2009-10-14 09:03:50 | 只看该作者

新富士通40G-HPA-MBR

新富士通40G-HPA-MBR
0:7C00 33C0          XOR AX,AX                              
0:7C02 8ED0          MOV SS,AX                              
0:7C04 BC007C        MOV SP,7C00                           
0:7C07 FB            STI                                    
0:7C08 50            PUSH AX                                 
0:7C09 07            POP ES                                 
0:7C0A 50            PUSH AX                                 
0:7C0B 1F            POP DS                                 
0:7C0C FC            CLD                                    
0:7C0D BE1A7C        MOV SI,7C1A                           
0:7C10 BF1A06        MOV DI,061A                           
0:7C13 57            PUSH DI                                 
0:7C14 B9E601        MOV CX,01E6                           
0:7C17 F3            REPZ                                    
0:7C18 A4            MOVSB                                    
0:7C19 C3            RET                                    
0:061A BA8000        MOV DX,0080                           
0:061D B90400        MOV CX,0004                           
0:0620 BB007E        MOV BX,7E00                           
0:0623 B83B02        MOV AX,023B                           
0:0626 CD13          INT 13                                 
0:0628 720E          JB  0638                              
0:062A BE007E        MOV SI,7E00                           
0:062D 813C2449      CMP WORD PTR [SI],4924                 
0:0631 7505          JNZ 0638                              
0:0633 B80080        MOV AX,8000                           
0:0636 50            PUSH AX                                 
0:0637 C3            RET                                    
0:0638 33C0          XOR AX,AX                              
0:063A BEBE07        MOV SI,07BE                           
0:063D B90400        MOV CX,0004                           
0:0640 382C          CMP [SI],CH                           
0:0642 7C10          JL  0654                              
0:0644 751C          JNZ 0662                              
0:0646 83C610        ADD SI,+10                             
0:0649 EB05          JMP 0650                              
0:064B 90            NOP                                    
0:064C 48            DEC AX                                 
0:064D 5A            POP DX                                 
0:064E 48            DEC AX                                 
0:064F 00            ADD DL,AH                              
0:0650 E2EE          LOOP 0640

0:0652 CD18          INT 18                                 
0:0654 8B14          MOV DX,[SI]                           
0:0656 8BEE          MOV BP,SI                              
0:0658 83C610        ADD SI,+10                             
0:065B 49            DEC CX                                 
0:065C 7416          JZ  0674                              
0:065E 382C          CMP [SI],CH                           
0:0660 74F6          JZ  0658                              
0:0662 BE2007        MOV SI,0720                           
0:0665 4E            DEC SI                                 
0:0666 AC            LODSB                                    
0:0667 3C00          CMP AL,00                              
0:0669 74FA          JZ  0665                              
0:066B BB0700        MOV BX,0007                           
0:066E B40E          MOV AH,0E                              
0:0670 CD10          INT 10                                 
0:0672 EBF2          JMP 0666                              
0:0674 894645        MOV [BP+45],AX                        
0:0677 96            XCHG SI,AX                              
0:0678 8A4604        MOV AL,[BP+04]                        
0:067B B406          MOV AH,06                              
0:067D 3C0E          CMP AL,0E                              
0:067F 7411          JZ  0692                              
0:0681 B40B          MOV AH,0B                              
0:0683 3C0C          CMP AL,0C                              
0:0685 7405          JZ  068C                              
0:0687 3AC4          CMP AL,AH                              
0:0689 751A          JNZ 06A5                              
0:068B 40            INC AX                                 
0:068C C6464506      MOV BYTE PTR [BP+45],06               
0:0690 7513          JNZ 06A5                              
0:0692 E8BC00        CALL 0751                              
0:0695 720B          JB  06A2                              
0:0697 8AE0          MOV AH,AL                              
0:0699 885644        MOV [BP+44],DL                        
0:069C C706B706EB1E  MOV WORD PTR [06B7],1EEB               
0:06A2 886604        MOV [BP+04],AH                        
0:06A5 BF0A00        MOV DI,000A                           
0:06A8 B80102        MOV AX,0201                           
0:06AB 8BDC          MOV BX,SP                              
0:06AD 33C9          XOR CX,CX                              
0:06AF 83FF05        CMP DI,+05                             
0:06B2 7F03          JG  06B7                              
0:06B4 8B4E45        MOV CX,[BP+45]                        
0:06B7 034E02        ADD CX,[BP+02]                        
0:06BA CD13          INT 13                                 
0:06BC 722F          JB  06ED                              
0:06BE BE4607        MOV SI,0746                           
0:06C1 813EFE7D55AA  CMP WORD PTR [7DFE],AA55               
0:06C7 7450          JZ  0719                              
0:06C9 83EF05        SUB DI,+05                             
0:06CC 7FDA          JG  06A8                              
0:06CE 85F6          TEST SI,SI                              
0:06D0 7594          JNZ 0666                              
0:06D2 BE3507        MOV SI,0735                           
0:06D5 EB9B          JMP 0672                              
0:06D7 98            CBW                                    
0:06D8 91            XCHG CX,AX                              
0:06D9 52            PUSH DX                                 
0:06DA EB04          JMP 06E0                              
0:06DC 0000          ADD [BX+SI],AL                        
0:06DE 0000          ADD [BX+SI],AL                        
0:06E0 99            CWD                                    
0:06E1 034608        ADD AX,[BP+08]                        
0:06E4 13560A        ADC DX,[BP+0A]                        
0:06E7 E80C00        CALL 06F6                              
0:06EA 5A            POP DX                                 
0:06EB EBCF          JMP 06BC                              
0:06ED 4F            DEC DI                                 
0:06EE 74DE          JZ  06CE                              
0:06F0 33C0          XOR AX,AX                              
0:06F2 CD13          INT 13                                 
0:06F4 EBB2          JMP 06A8                              
0:06F6 56            PUSH SI                                 
0:06F7 33F6          XOR SI,SI                              
0:06F9 56            PUSH SI                                 
0:06FA 56            PUSH SI                                 
0:06FB 52            PUSH DX                                 
0:06FC 50            PUSH AX                                 
0:06FD 06            PUSH ES                                 
0:06FE 53            PUSH BX                                 
0:06FF 51            PUSH CX                                 
0:0700 BE1000        MOV SI,0010                           
0:0703 56            PUSH SI                                 
0:0704 8BF4          MOV SI,SP                              
0:0706 50            PUSH AX                                 
0:0707 52            PUSH DX                                 
0:0708 B280          MOV DL,80                              
0:070A B80042        MOV AX,4200                           
0:070D CD13          INT 13                                 
0:070F 5A            POP DX                                 
0:0710 58            POP AX                                 
0:0711 8D6410        LEA SP,[SI+10]                        
0:0714 7201          JB  0717                              
0:0716 F8            CLC                                    
0:0717 5E            POP SI                                 
0:0718 C3            RET                                    
0:0719 8BFC          MOV DI,SP                              
0:071B 57            PUSH DI                                 
0:071C 8BF5          MOV SI,BP                              
0:071E C3            RET                                    

0:0600  33 C0 8E D0 BC 00 7C FB-50 07 50 1F FC BE 1A 7C   3.....|.P.P....|
0:0610  BF 1A 06 57 B9 E6 01 F3-A4 C3 BA 80 00 B9 04 00   ...W............
0:0620  BB 00 7E B8 3B 02 CD 13-72 0E BE 00 7E 81 3C 24   ..~.;...r...~.<$
0:0630  49 75 05 B8 00 80 50 C3-33 C0 BE BE 07 B9 04 00   Iu....P.3.......
0:0640  38 2C 7C 10 75 1C 83 C6-10 EB 05 90 48 5A 48 00   8,|.u.......HZH.
0:0650  E2 EE CD 18 8B 14 8B EE-83 C6 10 49 74 16 38 2C   ...........It.8,
0:0660  74 F6 BE 20 07 4E AC 3C-00 74 FA BB 07 00 B4 0E   t.. .N.<.t......
0:0670  CD 10 EB F2 89 46 45 96-8A 46 04 B4 06 3C 0E 74   .....FE..F...<.t
0:0680  11 B4 0B 3C 0C 74 05 3A-C4 75 1A 40 C6 46 45 06   ...<.t.:.u.@.FE.
0:0690  75 13 E8 BC 00 72 0B 8A-E0 88 56 44 C7 06 B7 06   u....r....VD....
0:06A0  EB 1E 88 66 04 BF 0A 00-B8 01 02 8B DC 33 C9 83   ...f.........3..
0:06B0  FF 05 7F 03 8B 4E 45 03-4E 02 CD 13 72 2F BE 46   .....NE.N...r/.F
0:06C0  07 81 3E FE 7D 55 AA 74-50 83 EF 05 7F DA 85 F6   ..>.}U.tP.......
0:06D0  75 94 BE 35 07 EB 9B 98-91 52 EB 04 00 00 00 00   u..5.....R......
0:06E0  99 03 46 08 13 56 0A E8-0C 00 5A EB CF 4F 74 DE   ..F..V....Z..Ot.
0:06F0  33 C0 CD 13 EB B2 56 33-F6 56 56 52 50 06 53 51   3.....V3.VVRP.SQ
0:0700  BE 10 00 56 8B F4 50 52-B2 80 B8 00 42 CD 13 5A   ...V..PR....B..Z
0:0710  58 8D 64 10 72 01 F8 5E-C3 8B FC 57 8B F5 C3 4E   X.d.r..^...W...N
0:0720  4F 20 42 6F 6F 74 41 62-6C 65 20 70 61 72 74 69   O BootAble parti
0:0730  74 69 6F 6E 00 45 72 72-6F 72 20 6C 6F 61 64 69   tion.Error loadi
0:0740  6E 67 20 4F 53 00 4D 69-73 73 69 6E 67 20 4F 53   ng OS.Missing OS
0:0750  00 50 52 B2 80 BB AA 55-B4 41 CD 13 5A 58 72 0E   .PR....U.A..ZXr.
0:0760  81 FB 55 AA F9 75 07 F6-C1 01 F9 74 01 F8 C3 00   ..U..u.....t....
0:0770  69 6F 6E 20 74 61 62 6C-65 00 45 72 72 6F 72 20   ion table.Error
0:0780  6C 6F 61 64 69 6E 67 20-6F 70 65 72 61 74 69 6E   loading operatin
0:0790  67 20 73 79 73 74 65 6D-00 4D 69 73 73 69 6E 67   g system.Missing
0:07A0  20 6F 70 65 72 61 74 69-6E 67 20 73 79 73 74 65    operating syste
0:07B0  6D 00 00 00 00 00 00 00-B0 EB B1 F0 00 00 80 01   m...............
0:07C0  01 00 0B EF FF 46 3F 00-00 00 31 91 C1 00 00 00   .....F?...1.....
0:07D0  C1 47 0F EE FF FF 70 91-C1 00 90 B0 80 02 00 00   .G....p.........
0:07E0  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00   ................
0:07F0  00 00 00 00 00 00 00 00-00 00 00 00 00 00 55 AA   ..............U.



[ 本帖最后由 lvyanan 于 2009-10-14 10:11 编辑 ]
回复

使用道具 举报

17#
发表于 2009-10-14 09:32:02 | 只看该作者
看不懂,蛙哥能整个全自动硬盘数据恢复的软件就好了。
到时候我就加盟蛙哥的公司,也做个数据恢复公司。呵呵
回复

使用道具 举报

18#
 楼主| 发表于 2009-10-14 09:50:03 | 只看该作者
原帖由 lvyanan 于 2009-10-14 09:03 发表
新富士通40G-HPA-MBR
0:7C00 33C0          XOR AX,AX                              
0:7C02 8ED0          MOV SS,AX                              
0:7C04 BC007C        MOV SP,7C00                   ...



谢谢lvyanan 老师!
高,实在是高!
我再好好学习!!!!
回复

使用道具 举报

19#
发表于 2009-10-14 10:17:46 | 只看该作者
0637是转入HPA处理代码的入口,从第4号到3E号共60个扇区,是在626指令处装入的,偏移址是7E00,8000处开始是HPA的处理代码,共30个扇区的内容。
回复

使用道具 举报

20#
 楼主| 发表于 2009-10-14 16:29:57 | 只看该作者

谢谢lvyanan 老师!

到底是大师级!
又够我学好长时间了!!!
回复

使用道具 举报

21#
发表于 2010-10-18 11:24:14 | 只看该作者
强大的汇编,强大的lvyanan。
回复

使用道具 举报

22#
发表于 2010-10-18 13:37:45 | 只看该作者
lvyanan 大师有时间,应该把数据恢复的技巧心得给大家伙分享一下!
回复

使用道具 举报

23#
发表于 2012-8-24 16:32:15 | 只看该作者
这个好啊 。。。。。。。。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2025-8-14 23:55

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表