Что такое MBR?
Главная загрузочная запись (англ. master boot record , MBR ) - код и данные, необходимые для последующей загрузки операционной системы и расположенные в первых физических секторах (чаще всего в самом первом) на жёстком диске или другом устройстве хранения информации.
MBR содержит небольшой фрагмент исполняемого кода, таблицу разделов (partition table) и специальную сигнатуру.
Функция MBR - «переход» в тот раздел жёсткого диска, с которого следует исполнять «дальнейший код» (обычно - загружать ОС). На «стадии MBR» происходит выбор раздела диска, загрузка кода ОС происходит на более поздних этапах алгоритма.
В процессе запуска компьютера, после окончания начального теста (Power-on self-test - POST ), Базовая система ввода-вывода (BIOS ) загружает «код MBR» в оперативную память и передаёт управление находящемуся в MBR загрузочному коду.
Зачем необходимо делать дамп MBR?
Дамп MBR необходимо делать при заражении системы различными видами троянов-вымогателей класса MBR.Locker или загрузочных руткитов (буткитов ) для отправки хелперам или вирусным аналитикам для исследования и получения методов лечения.
Способы получения дампа MBR.
Данная статья не претендует на полноту и не содержит всеобъемлющий список способов получения дампов MBR. Рассмотренные здесь способы не требуют углубленных знаний по использованию различных утилит, командам консоли и проч.
Так как использование компьютера при заражении системы троянами класса MBR.Locker невозможно по причине блокирования загрузки системы на начальном уровне, копировать загрузочную область мы будем с помощью LiveCD. LiveCD могут базироваться на основе ОС Windows (Windows PE 2.0, Windows PE 3.0, BartPE ), так и на основе Linux - таких абсолютное большинство от полных Live версий известных сборок, например Ubuntu, Fedora и проч, до специализированных мини-сборок таких, как диски восстановления от и специальные сборки для восстановления данных и работы с разделами жестких дисков.
Мы рассмотрим способы получения дампа с использованием Windows PE и Linux-based LiveCD от Лаборатории Касперского - Kaspersky Rescue Disk . Повторять все описанные действия и способы нет необходимости , выберите способ, который наиболее подходит для Вас. Итак приступим:
Получение дампа MBR с использованием LiveCD на основе Windows PE .
Для этого способа потребуется диск с записанным на него образом Windows PE , скачанным с интернета или созданным по (также можно собрать свой LiveCD с помощью конструкторов BartPE builder или UBCD4Win , для создания которых потребуется диск с дистрибутивом Windows XP ). Пользователи Windows Vista / Seven также могут воспользоваться , находящейся на установочном диске данных ОС (среда восстановления предустановленная на скрытых разделах жесткого диска, для нашей цели не подходит, так как доступ к ней будет заблокирован). Так же потребуется флеш-накопитель с записанной на него одной из утилит, которая и будет использоваться для копирования MBR в файл. Следует ответить, что при использовании загрузочных дисков на основе BartPE , флеш-накопитель следует подключить к компьютеру до начала загрузки (при использовании среды восстановления и загрузочных дисков Windows PE 2.0 / 3.0 флеш-накопитель подключать можно в любой момент времени).
!!! Внимание. Скачивание утилит и запись образов на CD необходимо производить на заведомо чистых системах.
____________________________________________________________
Получение дампа MBR с помощью утилиты get_mbr by thyrex
!!! Внимание. Данный способ не сработает, если повреждена таблица разделов .
!!! Внимание. Некоторые антивирусы
Привет друзья! Меня часто спрашивают, как быстро определить стиль жёсткого диска MBR или GPT?
И на самом деле, если взять ноутбук или обычный компьютер и запустить на нём операционную систему, то вы не сразу поймёте, какой разметки накопитель. Я провёл небольшой эксперимент и попросил своих друзей определить стиль твердотельного накопителя моего мобильного компьютера. К моему удивлению несколько участников эксперимента полезли в БИОС смотреть, включен ли там интерфейс UEFI и только двое открыли «Управление дисками» и с помощью свойств диска установили разметку. Но хочу сказать, что сделать это можно ещё проще в командной строке или Windows PowerShell.
MBR или GPT
Любой жёсткий диск или твердотельный накопитель SSD содержит в начальных секторах небольшой программный код (загрузочную запись), используемый Windows для своей загрузки, ещё данный код несёт в себе таблицу разделов, то есть информацию о разделах жёсткого диска. Этот код может быть стандарта MBR или GPT .
Главная загрузочная запись MBR используется аж с 1983 года и давно устарела, так как не позволяет использовать всё пространство современных HDD объёмом 2 ТБ и более, и не поддерживает создание на диске больше 4 основных разделов. Есть ещё причины: слабая защищённость и способность работать только с устаревшей системой ввода вывода БИОС.
Стандарт GPT лишён всех этих недостатков, прекрасно видит всё пространство жёстких дисков любого объёма, позволяет создать 128 основных разделов, лучше защищён и использует более современный вариант БИОСа под названием UEFI.
Так вот, если вам дать ноутбук с установленной Windows 8.1 или Win 10, то вы не сразу поймёте какого стиля в нём HDD. В сегодняшней статье я вам покажу несколько способов определить это.
- Внимательный читатель может спросить, а зачем вообще знать стандарт разметки накопителя? Самый простой ответ может прозвучать так: - Если диск, на который установлена операционная система разметки GPT, то значит перед вами современный компьютер или ноутбук с включенным интерфейсом UEFI. Соответственно способ восстановления загрузчика операционной системы отличается. Вы не сможете установить на этот ноутбук Windows 7 второй системой и так далее (могу назвать ещё много причин).
Итак, узнаём стандарт жёсткого диска или SSD с помощью Windows PowerShell.
Если на вашем компьютерном устройстве установлена последняя версия , то открываем Windows PowerShell
и вводим команду: get-disk
Видим на вкладке«Partition Style », что в системе имеется два диска и первый накопитель объёмом 1000 Гб имеет формат - GPT, а второй 500 Мб - MBR.
В командной строке администратора тоже можно узнать стиль винчестера, но только другой командой.
Шаг 1. Сохранение MBR
1. В Acronis Disk Director щелкните правой кнопкой мыши диск, MBR-код которого
F2 , чтобы переключиться в режим
Shift , используйте
клавиши со стрелками, чтобы выбрать первые 445 байт сектора. Тем самым будет выбран
MBR-код и подпись диска.
Подсказка
. Точное положение курсора отображается в поле Положение
в строке состояния
(в правом нижнем углу окна).
4. Выберите пункт Записать в файл
в меню Правка
.
5. В окне Запись в файл
выберите Обзор
и укажите путь и имя файла.
6. Нажмите кнопку ОК
, чтобы сохранить файл.
Шаг 2. Восстановление MBR
1. Создайте загрузочный носитель на основе WinPE чтобы иметь возможность восстановления
системы в случае ее сбоя. Загрузочный носитель создается с помощью мастера создания
загрузочных носителей Acronis в соответствии с инструкциями в разделе Как создать
загрузочный носитель.
2. Запустите машину с загрузочного носителя и откройте Acronis Disk Director.
3. Правой кнопкой мыши щелкните диск, MBR-код которого необходимо восстановить, и
выберите пункт Правка .
4. В Acronis Disk Editor нажмите клавишу F2 , чтобы переключиться в режим
шестнадцатеричного представления.
5. Установите курсор в самое начало первого байта сектора (абсолютного сектора 0 или 0000 в
шестнадцатеричном представлении) и нажмите Прочитать из файла .
6. В окне Чтение из файла
выберите Обзор
и укажите файл с MBR-кодом.
7. Нажмите кнопку ОК
. Содержимое файла будет вставлено в сектор, начиная с текущего
положения курсора.
8. Нажмите сочетание клавиш Ctrl+S
, чтобы сохранить изменения.
9. Перезагрузите машину.
Копирование MBR на другой диск
Данная операция применима к базовым дискам со схемой разделов MBR.
При перемещении системного тома с одного диска на другой необходимо скопировать
MBR-код диска на целевой диск, если он не содержит MBR или содержит другое
приложение-загрузчик.
Как скопировать MBR на другой диск
1. в Acronis Disk Director щелкните правой кнопкой мыши исходный диск, MBR-код которого
необходимо скопировать, и выберите Правка .
2. В Acronis Disk Editor нажмите клавишу F2 , чтобы переключиться в режим
шестнадцатеричного представления.
3. Установите курсор в самое начало первого байта сектора (абсолютного сектора 0 или 0000 в
шестнадцатеричном представлении). Затем, удерживая клавишу Shift , используйте
Copyright © Acronis International GmbH, 2002-2014
1. Загрузить компьютер, с загрузочного DVD диска, загрузочной дискеты или загрузочной флешки, (см. как создать загрузочную флешку / USB flash )
2. Запустить утилиту debug.exe. Debug.exe присутствует в любой DOS , Windows но она чувствительна к версии, т.е. если переписать на загрузочный диск Win98 debug.exe из XP она не запустится. (см. Загрузочная флэшка).
3. Загрузить компьютер запустить debug.exe .
Теперь вводим короткую программу.
|
Пояснения:
|
a, u, r - команды утилиты debug |
| ? - выводит полный список команд. |
| a - позволяет вводить программу с адреса |
| u - показывает программу |
| r - показывает регистры процессора |
| AX,BX,CX,DX,SP,BP,SI,DI это регистры процессора. |
| DS,ES,SS,CS - сегментные регистры значения в них будут отличаться от тех что на картинке, но они будут одинаковые. |
|
IP(Instruction Pointer) регистр команд, указывает на адрес XXXX:0100 , куда мы ввели команду INT13 . |
|
INT 13 команда процессора, вызывает подпрограмму BIOS для работы с дисками. Параметры передаются через регистры. |
| Команда JMP100
возвращает указатель
команд на адрес 100 Е сли запустить такой код на выполнение командой G компьютер зависнет в бесконечном цикле, но т.к. мы собираемся выполнять нашу программу в пошаговом режиме, команда безусловного перехода избавит нас от необходимости изменять значение в регистре IP после каждого вызова int13 |
Итак освоим чтение загрузочного сектора. Master Boot Record
Вводим команды
|
 |
нетрудно догадаться, что команда r< имя регистра> позволяет менять значение в регистре процессора.
| Для вызова int13 смысл этих значений такой: | |
| AX = 02 | старший байт код операции 02= чтение (03 =запись) |
| 01 |
младший байт количество секторов которое надо прочитать |
| BX =0200 | адрес памяти куда считывать сектор |
| CX =0001 | младшие биты задают номер сектора. Сектора нумеруются с 1 |
| DX =00 | старший байт номер головки, головки нумеруются с нуля |
| 80 | младший байт номер диска 01 для флоповода , 80,81 для жестких дисков и USB flash дисков, которые BIOS видит как жесткий диск. |
Теперь вводим
после вызова INT13 важно проконтролировать последние две буквы регистра флагов CY-означает ошибку, при успешном выполнении должно быть NC. (На картинке CY, т.к. из под Windows нельзя прочитать MBR, а из под DOS нельзя создать скриншот)
Итак мы прочитали нулевой сектор в память по адресу 200.
Команда n
Чтобы загрузить файл в память используем команду L . В регистре CX ,будет количество прочитанных байт. Чтобы просмотреть память по адресу (в нашем случае, там содержимое нулевого сектора) команда d
Рассмотрим варианты редактирования данных перед записью их обратно на диск.
f200 3bd 00 обнуляет загрузочную программу но оставляет информацию о разделах диска нетронутой.
Команда e
позволяет редактировать память.Чтобы записать данные из памяти на диск вводим.
| rax |
| 301 |
| rbx |
| 200 |
| rcx |
| 1 |
| rdx |
| 80 |
|
r |
|
p |
Надо перезагрузить
Выбор одного из стандартов GPT или MBR может оказаться довольно простым для владельца нового компьютера с большим жёстким диском и современным интерфейсом UEFI.
Такие параметры требуют перехода на более современный стандарт.
Тогда как при наличии более или ПК выбор может быть сделан в пользу практически устаревшего MBR – а он может оказаться и вообще единственным вариантом.
Cодержание:
Что означают эти аббревиатуры?
Любой жёсткий диск или твердотельный накопитель перед использованием для записи операционной системы, системной и другой информации обязательно разбивается на разделы.
Стандарт MBR, расшифровывающийся как «главная загрузочная запись» , представляет собой старый способ хранения данных , GPT (или «таблица разделов GUID») – новый.
Оба они необходимы ещё и для хранения сведений о начале и конце каждого раздела, благодаря которым система узнаёт расположение секторов и определяет, загрузочной ли является эта часть диска или нет.
Хотя при этом MBR считается надёжной и простой – и восстановление требуется нечасто.
К минусам стандарта относится невозможность поддержки большого количества разделов – небольшой недостаток для HDD размером до 500 ГБ, но уже достаточно серьёзный для терабайтных или даже 4-терабайтных моделей.
При необходимости создать больше 4 разделов требовалось использовать достаточно сложную технологию EBR.
Вторая проблема, связанная с увеличением объёмов жёстких дисков, заключается в невозможности работать с разделами больше 2,2 ТБ.
Преимущества и недостатки нового стандарта
Усовершенствованный стандарт GPT, постепенно заменяющий MBR, входит в состав технологии UEFI, который, в свою очередь, заменяет устаревший интерфейс BIOS.
У каждого раздела есть свой уникальный идентификатор – очень длинную строку символов. Преимуществом GPT по сравнению с устаревшим стандартом можно назвать :
- отсутствие ограничений на объём раздела. Точнее, максимальная величина всё же существует – но достичь её получится не раньше, чем через несколько десятилетий;
- неограниченное количество разделов – до 264 в целом, до 128 для ОС Windows.
На диске, поддерживающем стандарт MBR, данные о разделах и загрузке расположены в том же месте. При повреждении этой части накопителя у пользователя ПК возникает целый ряд проблем.
Ещё одно отличие GPT – хранение циклического избыточного кода, позволяющего контролировать сохранность данных.
Повреждение информации приводит к немедленной попытке её восстановления.
В то время как при использовании MBR узнать о проблеме получается уже после того, как система перестала загружаться, а её разделы исчезли.
Среди минусов стандарта стоит отметить отсутствие поддержки предыдущих технологий – . И, хотя операционная система с устаревшим интерфейсом распознаёт , вероятность её загрузки минимальна. Кроме того, при использовании этого варианта нельзя назначать имена всем дискам, так же как разделам, а восстановление данных не всегда доступно – из-за ограничения количества и расположения дубликатов таблиц.
Совместимость
Попытка настроить диск GPT с помощью технологий, поддерживающих только MBR, ни к чему не приведёт – таким образом, защитный вариант главной загрузочной записи предотвращает случайную перезапись и разметку по старому стандарту.
Системы Windows загружаются с размеченных по технологии GPT дисков только на устройствах, поддерживающих интерфейс UEFI – то есть на ноутбуках и ПК с Виндоус от Vista до 10-й.
Если прошивка материнской платы содержит , разделы будут читаться, но загрузки, скорее всего, не произойдёт.
Хотя эти же операционные системы способны работать с GPT-дисками в качестве хранилища информации.
Следует знать: Стандарт GPT поддерживается и другими операционными системами – в том числе, Linux. А на компьютерах марки Apple эта технология заменила старую таблицу разделов APT.
Сравнение стандартов
Для оценки сходства и различий двух стандартов, возможностей их работы , накопителями и загрузочным интерфейсом, стоит создать небольшую сравнительную таблицу.
По ней намного проще определиться с тем, какой стандарт разделов использовать для своего компьютера .
| Стандарт | MBR | GPT |
|---|---|---|
| Работа с прошивками | С BIOS и с UEFI | Только с UEFI |
| Поддержка Windows | Все версии, начиная с самых первых | Только 64-битные версии Windows 7 и Vista, все варианты Виндоус 8 и 10 |
| Чтение и запись | Любые платформы | Все операционные системы Windows от Vista и выше + XP Professional 64-бит |
| Число разделов одного диска | Не больше 4 | До 264 |
| Максимальный размер раздела | 2,2 ТБ | 9,4 х 109 ТБ |
| Встроенный мультизагрузчик | Отсутствует | Есть |
Проблемы работы с новым стандартом и их решение
Существование двух стандартов может привести к появлению определённых проблем. Особенно, если на компьютере запрещена загрузка другим способом, кроме использования жёсткого диска.
Исправить ситуацию позволяет переход к , который не позволяет работать с новым стандартом – и при попытке загрузиться на экране возникает ошибка, сообщающая о наличии стиля разделов GPT.
Решить проблему не так сложно – для этого понадобится взять обычный загрузочный диск с ОС Виндоус и выполнить следующие действия :
- Начать загрузку с диска ;
- Дойти до момента выбора раздела , на котором появляется проблема;
- Запустить консоль (одновременное нажатие Shift и F10 );
- Начать работу со специальной утилитой, введя команду diskpart .
После того как программа запущена следует набрать «list disk» , что приведёт к появлению на экране списка пронумерованных дисков.
Теперь достаточно ввести в командной строке «clean» , очистив лишнюю информацию, и перейти к преобразованию стандартов.
Для того чтобы диск GPT был преобразован в устаревший формат следует ввести команду convert mbr , позволяющую работать с диском и ставить на него любую платформу.
Эта же утилита обеспечивает работу с разделами.
Например, введение команды «create partition primary size=X» создаёт раздел размером X Гб, «format fs=ntfs label=»System» quick» выполняет форматирование в NTFS, а «active» позволяет разделу стать активным.
