西西,很早以前的东东了,都不太记得了,有什么错误和不足欢迎大家指出
机器加电或按reset键后都要进行系统复位,复位后CS=FFFFH,IP=0000H
那么自然就从FFFF:0000H处开始执行指令,这个地方只有一条JMP指令
跳转到系统自检程序处,系统自检完成后把软盘的第一个扇区(如果由软盘启动)
或者硬盘的第一个扇区,即MBR扇区(如果由硬盘启动)读入到0:7C00H处
然后把控制权交出,从0:7C00H处继续执行,下面就是硬盘的MBR代码分析
其中的引导扇区是指硬盘相应分区的第一个扇区,是和操作系统有关的
操作系统的引导是由它来完成的,而MBR并不负责,MBR和操作系统无关
他的任务是把控制权转交给操作系统的引导程序
程序流程:
1 将程序代码由0:7C00H移动到0:0600H(注,BIOS把MBR放在0:7C00H处)
2 搜索可引导分区,即80H标志
成功:goto 3
失败:跳入ROM BASIC
无效分区表:goto 5
3 读引导扇区
失败:goto 5
成功:goto 4
4 验证引导扇区最后是否为55AAH
失败:goto 5
成功:goto 6
5 打印错误进入无穷循环
6 跳到0:7C00H进行下一步启动工作
下面将用汇编语言写出这一段代码,并进行说明。
;MBR.ASM
; MASM MBR
; LINK MBR
; EXE2BIN MBR
.MODEL tiny
.CODE
;设置寄存器及堆栈值
org 0
Head:
Start:
cli
xor ax,ax
mov ss,ax
mov sp,7C00H ;ss:sp=0:7C00H
mov si,sp
push ax
pop es
push ax
pop ds ;es=ds=0
sti
;将程序代码由0:7C00H移动到0:0600H处
cld
mov di,600H
mov cx,100H ;100H Words=512 Bytes,即一个扇区大小
repne movsw
db 0EAH ;这个是FAR JUMP的机器码
dw offset Continue+600H, 0000H ;这个是跳转目的地址,即0:061DH
;搜索可引导分区
Continue:
mov si,600H+1BEH ;si指向分区表
mov bl,4 ;四个分区
FindBoot:
cmp byte ptr[si],80H
je SaveRec ;读扇区位置
cmp byte ptr[si],0
jne Invaild ;无效分区
add si,10H
dec bl
jnz FindBoot
int 18H ;进入ROM BASIC
;读取引导分区的扇区,柱面号
SaveRec:
mov dx,[si]
mov cx,[si+2]
mov bp,si
;检查其余分区表
FindNext:
add si,10H
dec bl
jz SetRead
cmp byte ptr[si],0 ;是否存在非法分区
je FindNext
Invaild:
mov si,offset ErrMsg1+600H
;字符串输出子程序
PrintStr:
lodsb
cmp al,0
je DeadLock
push si
mov bx,7
mov ah,0EH ;输出字符
int 10H
pop si
jmp short PrintStr ;下一字符
DeadLock:
jmp short DeadLock ;无穷循环,也可以写成jmp $
;读引导扇区
SetRead:
mov di,5 ;读取次数
ReadBoot:
mov bx,7C00H
mov ax,201H
push di
int 13H ;cx,dx已经在SaveRec处得到
pop di
jnc GoBoot ;成功则启动
xor ax,ax
int 13H ;reset驱动器,然后再读取
dec di
jnz ReadBoot
mov si,offset ErrMsg2+600H
jmp short PrintStr 失败输出信息,并进入无穷循环
;检查读入的引导扇区
GoBoot:
mov si,offsetErrMsg3+600H
mov di,7C00H+1FEH
cmp word ptr[di],0AA55H
jne PrintStr ;非AA55标志则输出错误信息
mov si,bp ;si指向可启动分区
db 0EAH,0,7CH,0,0 ;跳转至0:7C00H
ErrMsg1 db Invaild partition table,0
ErrMsg2 db Error loading operating system,0
ErrMsg3 db Missing operating system,0
Tail:
FillNum equ 1BEH-(Tail-Head) ;计算填0数目
db FillNum dup(0)
;四个分区表项数据,跟分区情况有关,详细含义另解
PartTable db 80H,1,1,0,4,4,0D1H,2,11H,0,0,0,0FEH,0FFH,0,0
db 0,0,0C1H,3,5,4,0D1H,0FEH,0FFH,0FFH,0,0,0ACH,53H,0,0
db 20H dup(0)
ID dw 0AA55H
end start
;如果开始试用org 600H,那么访问数据时就不必加上600H,如mov si,offset
ErrMsg2+600H
;可写为mov si,offset ErrMsg2,这时就不能用exe2bin得到数据,必须试用debug
;debug mbr.exe
;-nmbr.bin
;-rcx 200
;-wcs:600
;-q
在硬盘的第一个扇区上保存着分区信息,称为主分区表,共有四项
读取分区表必须使用bios的int 13h,一般使用debug就可以了
debug
-a
xxxx:0100 mov ax,201
mov bx,200
mov cx,1
mov dx,80 ;如果是第二个硬盘则是81...
int 13
int 20
xxxx:????
-g
这时xxxx:0200开始的512字节就是分区表所在的扇区,前面一部分为MBR,
在debug中用-d3be l40就可以看到64字节的分区表信息,16个字节为一项
用-e命令就可以修改,改完后可以重新写回去,只要把前面代码中的
mov ax,201改为mov ax,301即可,或者直接把102处的2改成3,比如:
-e 102
xxxx:0102 02.3
-g=100
这样就写回去了,不过要小心哦,呵呵,弄不好就坏了,大家还是把分区
表手抄一份存下来吧,会省去很多麻烦的
下来说一下分区表项的具体意义,取其中一项举个例子:
80 01 01 00 0B 3F FF 00 3F 00-00 00 81 4F 2F 00
1 (80)引导标志,80代表可引导,00代表不可引导,一般必须且只能
有一个分区表项的引导标志为80,除非你自己修改MBR
2 (01)分区开始磁头
3,4 (01 00)=(1,0)分区开始柱面和扇区(后面后详解)
5 (0B)分区类型(后面有详解)
6 (3F)=(63)分区结束磁头
7,8 (FF 00)=(768,63分区结束柱面和扇区(同上)
9-12 (3F 00 00 00)=(63)此分区前扇区总数,即相对扇区数
13-16 (81 4F 2F 00)=(002F4F81H=3100545)此分区扇区总数
由于柱面和扇区共用两个字节表示,而柱面号为10位,最大1023,扇区号为6位,最大63
扇区号
______|____
| |
( 7 6 5 4 3 2 1 0 ) ( 7 6 5 4 3 2 1 0 )
|___| |_____________|
|________________________|
|_
柱面号
关于分区类型,常见的有:
00 未用,Unused
01 DOS-12(FAT 12)
02 XENIX
04 DOS-16(FAT 16)(分区<32M时用的,还有么?)
05 EXTEND(DOS扩展分区)
06 BIGDOS(>32M)(这个才是现在常说的FAT 16)
07 HPFS(OS/2)(好像NTFS也是这个标记)
0B FAT 32
0F 这个一时不确定,西西
50 DM
63 386/ix(unix)
64 NET286(Novell)
65 NET386(Novell)
FF BBT(UNIX Bad Block Table)
下面有几个平衡式用来计算分区参数:
1 第一分区参数平衡式
扇区总数=(结束柱面+1)*磁头数*每柱面扇区数-相对扇区数
例如:3100545=(768+1)*64*63-63
2 其它分区参数平衡式
扇区总数=(结束柱面-起始柱面+1)*磁头数*每柱面扇区数
00 00 C1 01 05 3F FF FD C0 4F-2F 00 C0 90 0F 00
000F90C0H=1020096,(FF FD)=(1021,63),(C1 01)=(769,1)
例如:1020096=(1021-769+1)*64*63
3 第一分区相对扇区=每柱面扇区数
其它分区相对扇区=上一分区相对扇区+上一分区扇区总数
扩展分区信息是一个链状结构,很多人不知道在删分区时把前面的分区删掉导致后面的分区找不到,原因就在于此,我们从主分区表中取出扩展分区项进行一下分析,如下:
00 00 01 C0 05 FE BF 6E C0 10-2F 00 EF A6 69 00
由此我们可以得到数据:
开始磁头:00
开始柱面扇区:01 C0=(192,0)
用debug
debug
-a100
xxxx:0100 mov ax,201
mov bx,200
mov cx,05c0 ;开始柱面扇区号
mov dx,80 ;dh中为开始磁头号,这里为0
int 13
int 20
xxxx:????
-g=100
-d3be l10
读出的扇区中有两个16字节的分区表项和最后的一个55AA标志,这两个
分区表项为:
00 01 01 C0 06 FE 7F 97 3F 00-00 00 99 F2 34 00
00 00 41 98 05 FE BF 6E D8 F2-34 00 17 B4 34 00
第一个分区类型为6,其实这是第一个逻辑分区,含义和主分区表项相同
第二个分区类型为5,这其实是指向下一个扩展分区表的从这里我们可以得到:
开始磁头:0
开始柱面扇区:41 98=(408,1)
继续用debug读出(mov cx,9841)得到
00 01 41 98 06 FE BF 6E 3F 00-00 00 D8 B3 34 00
只有一个表项,是第二个逻辑盘,而且是逻辑盘链的最后一个可以看到,主分区表是非常重要的,所以除了小心操作外,还应当进行备份最安全的备份方式就是用笔抄下来,呵呵,放到安全的地方,当然,每次重新进行分区后还应当及时更新的说,:P
从前面可以看出,分区表里最重要的还是柱面号,其它比如磁头号都是0或者1或者最大值,扇区号都是1或63(最大值),扇区总数什么的也都能算出来,所以分区时最好把各分区的柱面号记下来,这样一旦分区信息被破坏就可以进行恢复了。
如果主分区表不幸丢失或者逻辑分区链被破坏,那么只要从硬盘上找出还存在的分区信息,就有可能部分恢复分区信息,甚至全部可以恢复,不过这样的麻烦大家还是尽量避免吧,怎么恢复呢,偶也没干过,下回一边说一边练,呵呵
