1. 背景
本文主要介绍MBR的读取和解析,并提供了基于元神操作系统的实现代码。由于解析MBR的目的是定位到NTFS磁盘分区进行文件操作,所以只解析了MBR的分区表部分,至于MBR的其它部分,可以参考相关文档进行理解。
2. 方法
(1)调用元神操作系统的API读取MBR
使用API_READ_DISK_SECTOR来调用元神操作系统的API,代码如下所示:
use32START:pushacall read_disk_mbrpopairetinclude 'api_def.inc'OS_API equ 0x00030C16
API_PARAM equ 0x03000000
SEG_BASE equ 0x00040000
cursor_x equ 0x02004B10
cursor_y equ 0x02004B12sector_buff: times 512 db 0
read_disk_mbr:pushamov edi, API_PARAMmov dword [fs:edi], API_READ_DISK_SECTORmov dword [fs:edi+4], 2 ;2 parametersmov dword [fs:edi+8], 0 ;parameter_1: sector no.xor eax, eaxmov ax, dsadd eax, SEG_BASEmov bh,byte [fs:eax+7]mov bl,byte [fs:eax+4]shl ebx,16mov bx,word [fs:eax+2]add ebx, sector_buffmov dword [fs:edi+12], ebx ;parameter_2: start address of buffercall pword [fs:OS_API]mov eax, 512movzx ebx, word [fs:cursor_y]movzx ecx, word [fs:cursor_x]mov esi, [fs:edi+12]call print_bytes_hexadd word [fs:cursor_y], 20poparet;print hex bytes
;input:
; eax: byte count to print
; ebx: y coordinate to print (from 0)
; ecx: x coordinate to print (from 0)
; esi: buffer storing data to print
print_bytes_hex:pushaimul edi,ebx,80*2 ;calculate coordinateadd edi,ecxadd edi,ecxmov ecx,eaxmov ah,0x0F.next_char:mov bl,byte [fs:esi].hex_char:mov al,bland al,0x0Fadd al,0x30cmp al,0x39jbe .num_charadd al,'A'-0x30-10.num_char:mov [gs:edi+2],axshr ebx,4mov al,bland al,0x0Fadd al,0x30cmp al,0x39jbe .num_char2add al,'A'-0x30-10.num_char2:mov [gs:edi],axmov al,' 'mov [gs:edi+4],axadd edi,6inc esiloop .next_charpoparet上述代码将磁盘的第一个扇区(0号扇区)的内容读取到sector_buff缓冲区中,并以十六进制形式进行显示,结果如下图所示:
该图中显示的内容就是磁盘第一个扇区的内容,即MBR的内容。
注意:此处打印MBR内容的操作仅为讲解需要,后续操作追加之前应当注释掉read_disk_mbr函数中对于print_bytes_hex调用相关的部分,即注释掉call pword [fs:OS_API]之后的部分。另外,该例所示代码的详细解释可参考前面的博文。
(2)解析MBR
MBR的内容共有512字节,前446个字节为引导代码,之后的64字节为磁盘分区表,最后2个字节为标记字节(固定为55 AA)。
本文主要解析中间64字节的分区表。该表包含4个项,每个项为16字节,所以通过该分区表可以表示4个磁盘分区,即一个磁盘最多可以分4个区。更多的分区需要扩展分区的支持,不在本文介绍的范围之内,需要的可以参考相关文档自行实现。
每个分区表项占16个字节。第一个字节为启动标志,值为80H时表示该分区包含操作系统,即操作系统安装在该分区中,值为00H时表示该分区不包含操作系统;第2-4字节表示该分区开始的磁头号、扇区号、柱面号;第5字节表示该分区的文件系统类型,值为0BH时表示FAT32文件系统,值为07H时表示NTFS文件系统;第6-8字节表示该分区结束的磁头号、扇区号、柱面号;第9-12字节表示该分区首扇区的相对扇区号;第13-16字节表示该分区的总扇区数。
在分区表项中,提供了两种方式对分区进行定位:第一种是使用磁头号、扇区号、柱面号进行定位;第二种是使用分区首扇区的相对扇区号进行定位。对于大容量的磁盘,目前主要使用的是第二种方式。
结合上面的截图,4个分区表项中只有前两个有内容,后两个表项全是0,所以测试磁盘中有两个分区(常见的为C盘和D盘)。第一个表项的内容为“80 01 01 00 07 EF FF FF 3F 00 00 00 C1 CE D4 01”,第一个字节为80H,表示操作系统安装在该分区中;第5字节为07H,表示该分区的文件系统类型为NTFS;第9-12字节为3F 00 00 00,表示该分区首扇区的相对扇区号为0x0000003F,即该分区的第一个扇区为0x3F号扇区(即63号扇区);第13-16字节为C1 CE D4 01,表示该分区的总扇区数为0x01D4CEC1,即该分区包含30,723,777个扇区,合计为15,730,573,824个字节,约为15GB。
类似的,第二个表项的内容为“00 00 C1 FF 07 EF FF FF 00 CF D4 01 F0 48 D3 02”,第一个字节为00H,表示该分区不包含操作系统;第5字节为07H,表示该分区的文件系统类型为NTFS;第9-12字节为00 CF D4 01,表示该分区的首扇区的相对扇区号为0x01D4CF00,即该分区的第一个扇区为0x01D4CF00扇区;第13-16字节为F0 48 D3 02,表示该分区的总扇区数为0x02D348F0,即该分区包含47,401,200个扇区,合计为24,269,414,400个字节,约为24GB。
3. 总结
本文介绍了NTFS文件操作的第一步,即解析MBR。通过解析MBR可以获知磁盘的分区信息,并定位到目标分区,以供后续读取DBR使用。
安装元神操作系统的工具“元神操作系统安装器”可去网站www.gnxxkj.com进行下载。安装账号可去网址http://www.gnxxkj.com/app/wuziqi/register.php 进行注册。
