今天在給安裝CentOS虛擬機(jī)時(shí)，突然開始思考制作U盤啟動(dòng)盤的原理，一直想不明白有了iso文件為什么還要工具制作啟動(dòng)盤，后來發(fā)現(xiàn)因?yàn)閕so是磁盤的整個(gè)鏡像文件，說到底他也只是個(gè)文件，如果直接拷貝的話，文件系統(tǒng)會(huì)把它放到一個(gè)不知道的地方，而我們需要這個(gè)磁盤鏡像從第一個(gè)扇區(qū)完完整整的寫入磁盤，其實(shí)u盤啟動(dòng)盤制造工具起了Linux中dd命令的作用，因此要用工具刻入，而不能直接復(fù)制進(jìn)去。后面又心血來潮想復(fù)習(xí)一下MBR和GPT的知識(shí)，順便看一眼自己的磁盤情況。

環(huán)境#

• Windows10

• 1塊470G的磁盤

• Windows自帶的磁盤管理

• winhex（試用版）

前置知識(shí)#

UEFI與BIOS、GPT與MBR的區(qū)別 CSDN

MBR與GPT 知乎 老狼

探索之旅#

可以看到本機(jī)上有一整塊的磁盤，總大小為476.92GB，共有如下五個(gè)分區(qū)：

• 100MB的EFI系統(tǒng)分區(qū)

• 226GB的C盤

• 100GB的E盤

• 150GB的D盤

• 505MB的恢復(fù)分區(qū)

根據(jù)微軟官方給出的解釋，EFI系統(tǒng)分區(qū)用來存放啟動(dòng)操作系統(tǒng)的啟動(dòng)代碼，恢復(fù)分區(qū)用來存放一些特殊工具，在系統(tǒng)出錯(cuò)時(shí)可以幫助你恢復(fù)Windows，而C盤、E盤和D盤用來存放數(shù)據(jù)，其中Windows操作系統(tǒng)數(shù)據(jù)存放在C盤。

可是你的電腦真的只有五個(gè)分區(qū)嗎？

Winhex是一款強(qiáng)大的磁盤分析工具，可以從傳送門下載，之前自己在取證課上用到過，了解的不是很深，但也夠用了。下面簡(jiǎn)單給出winhex使用步驟

1. 使用管理員權(quán)限打開winhex.exe

2. 點(diǎn)擊file，創(chuàng)建新的case

   

3. 創(chuàng)建完成后再次點(diǎn)擊file，點(diǎn)擊add medium，然后選擇整塊磁盤

   

4. 查看結(jié)果

   

可以看到這塊GPT分區(qū)的磁盤共有六個(gè)分區(qū)，但Partition 2他的文件系統(tǒng)是未知的。其他五個(gè)分區(qū)分別對(duì)應(yīng)著上面說的五個(gè)分區(qū)，這時(shí)候也能明白下圖中磁盤分區(qū)1和磁盤分區(qū)6的意義了。

繼續(xù)分析，我們來看一下起始扇區(qū)，GPT的第一個(gè)sector被稱為PMBR，第二個(gè)扇區(qū)是表頭，接著32個(gè)扇區(qū)是分區(qū)表，剩下的是數(shù)據(jù)。

其中第一個(gè)扇區(qū)，在原始MBR分區(qū)表中，分區(qū)類型使用EE來表明是GPT分區(qū)，范圍從LBA 0x01到0xFFFFFFFF，識(shí)別不了該標(biāo)志的legacy BIOS此時(shí)就會(huì)啟動(dòng)操作系統(tǒng)失敗，而不會(huì)亂寫入數(shù)據(jù)破壞分區(qū)；可以指別GPT分區(qū)的UEFI或legacy BIOS可以明白這是一個(gè)GPT分區(qū)而不是MBR分區(qū)。

第二扇區(qū)存放GPT表頭，定義了硬盤的可用空間以及組成分區(qū)表的項(xiàng)的大小和數(shù)量。在使用64位Windows Server2003的機(jī)器上，最多可以創(chuàng)建128個(gè)分區(qū)，即分區(qū)表中保留了128個(gè)項(xiàng)，其中每個(gè)都是128字節(jié)。

后面的三十二個(gè)扇區(qū)都為分區(qū)表，由于本電腦上只有六個(gè)分區(qū)，因此只需要看前兩個(gè)扇區(qū)就好。

我們先來分析分區(qū)1

可以從分區(qū)名字上看出，分區(qū)1為EFI system partition（ESP），他的分區(qū)類型GUID其實(shí)也證明了這一點(diǎn)。

該分區(qū)屬性中63位為1，表示不自動(dòng)掛載，也就是不自動(dòng)分配盤符，這就是為什么我們只能看到C、D、E分區(qū)而看不到該分區(qū)的原因。

EFI System Partition分區(qū)存放著系統(tǒng)啟動(dòng)文件，可以看到里面都是UEFI相關(guān)的文件。

前面我們看到這個(gè)分區(qū)的文件系統(tǒng)是FAT32，為什么是FAT文件系統(tǒng)呢？osdev中有這么一段話：

UEFI firmware loads an arbitrary sized UEFI application (a relocatable PE executable file) from a FAT partition on a GPT-partitioned boot device to some address selected at run-time.

這里面的PE格式文件就是我們看到的后綴為.EFI文件，上面這段話很好的解釋了需要FAT32文件系統(tǒng)的原因。

分區(qū)2從名字和分區(qū)類型GUID中都可以看出為微軟保留分區(qū)，值得一提的是，該分區(qū)未在磁盤管理中出現(xiàn)。使用windows自帶工具diskpart，發(fā)現(xiàn)當(dāng)list volume時(shí)五個(gè)volume，此時(shí)看不到分區(qū)2，list partition時(shí)便可以看到分區(qū)2了，因此猜測(cè)，可能是微軟不將保留分區(qū)視為volume，所以在磁盤管理上才看不見的。

分區(qū)2的屬性同樣是不自動(dòng)掛載，同理分區(qū)6屬性中63位也為1，表示不自動(dòng)掛載，需要注意的是它的第0位也為1，表示為系統(tǒng)分區(qū)，磁盤分區(qū)工具必須將此分區(qū)保持原樣，不得做任何修改。

分區(qū)3、4、5皆為Basic data partition分區(qū)，他們的文件系統(tǒng)類型需要去分區(qū)內(nèi)第一個(gè)扇區(qū)中獲得。

到這里就分析完了，感覺自己對(duì)文件系統(tǒng)和UEFI啟動(dòng)還不是特別了解，因此后面有機(jī)會(huì)還是要去探索一番。

分類: 操作系統(tǒng)

標(biāo)簽: os