Como despejo setores de disco?

11

Quero ver o conteúdo do setor 0 (mbr) do meu disco rígido. É possível?

Timofey
fonte

Respostas:

14

Sim claro.

$ dd if=/dev/sda of=mbr bs=512 count=1
1+0 records in
1+0 records out
512 bytes (512 B) copied, 0.000188571 s, 2.7 MB/s

$ stat -c %s mbr
512

$ hd mbr
00000000  eb 48 90 d0 bc 00 7c 8e  c0 8e d8 be 00 7c bf 00  |.H....|......|..|
00000010  06 b9 00 02 fc f3 a4 50  68 1c 06 cb fb b9 04 00  |.......Ph.......|
00000020  bd be 07 80 7e 00 00 7c  0b 0f 85 10 01 83 c5 10  |....~..|........|
00000030  e2 f1 cd 18 88 56 00 55  c6 46 11 05 c6 46 03 02  |.....V.U.F...F..|
00000040  ff 00 00 20 01 00 00 00  00 02 fa 90 90 f6 c2 80  |... ............|
00000050  75 02 b2 80 ea 59 7c 00  00 31 c0 8e d8 8e d0 bc  |u....Y|..1......|
00000060  00 20 fb a0 40 7c 3c ff  74 02 88 c2 52 be 7f 7d  |. ..@|<.t...R..}|
00000070  e8 34 01 f6 c2 80 74 54  b4 41 bb aa 55 cd 13 5a  |.4....tT.A..U..Z|
00000080  52 72 49 81 fb 55 aa 75  43 a0 41 7c 84 c0 75 05  |RrI..U.uC.A|..u.|
00000090  83 e1 01 74 37 66 8b 4c  10 be 05 7c c6 44 ff 01  |...t7f.L...|.D..|
000000a0  66 8b 1e 44 7c c7 04 10  00 c7 44 02 01 00 66 89  |f..D|.....D...f.|
000000b0  5c 08 c7 44 06 00 70 66  31 c0 89 44 04 66 89 44  |\..D..pf1..D.f.D|
000000c0  0c b4 42 cd 13 72 05 bb  00 70 eb 7d b4 08 cd 13  |..B..r...p.}....|
000000d0  73 0a f6 c2 80 0f 84 ea  00 e9 8d 00 be 05 7c c6  |s.............|.|
000000e0  44 ff 00 66 31 c0 88 f0  40 66 89 44 04 31 d2 88  |[email protected]..|
000000f0  ca c1 e2 02 88 e8 88 f4  40 89 44 08 31 c0 88 d0  |[email protected]...|
00000100  c0 e8 02 66 89 04 66 a1  44 7c 66 31 d2 66 f7 34  |...f..f.D|f1.f.4|
00000110  88 54 0a 66 31 d2 66 f7  74 04 88 54 0b 89 44 0c  |.T.f1.f.t..T..D.|
00000120  3b 44 08 7d 3c 8a 54 0d  c0 e2 06 8a 4c 0a fe c1  |;D.}<.T.....L...|
00000130  08 d1 8a 6c 0c 5a 8a 74  0b bb 00 70 8e c3 31 db  |...l.Z.t...p..1.|
00000140  b8 01 02 cd 13 72 2a 8c  c3 8e 06 48 7c 60 1e b9  |.....r*....H|`..|
00000150  00 01 8e db 31 f6 31 ff  fc f3 a5 1f 61 ff 26 42  |....1.1.....a.&B|
00000160  7c be 85 7d e8 40 00 eb  0e be 8a 7d e8 38 00 eb  ||..}.@.....}.8..|
00000170  06 be 94 7d e8 30 00 be  99 7d e8 2a 00 eb fe 47  |...}.0...}.*...G|
00000180  52 55 42 20 00 47 65 6f  6d 00 48 61 72 64 20 44  |RUB .Geom.Hard D|
00000190  69 73 6b 00 52 65 61 64  00 20 45 72 72 6f 72 00  |isk.Read. Error.|
000001a0  bb 01 00 b4 0e cd 10 ac  3c 00 75 f4 c3 00 00 00  |........<.u.....|
000001b0  00 00 00 00 00 00 00 00  29 b6 ef 39 00 00 00 00  |........)..9....|
000001c0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
000001d0  01 6f 83 fe bf f6 af 35  1b 00 88 d8 9e 00 00 fe  |.o.....5........|
000001e0  ff ff 0f fe ff ff 2a 32  a2 01 97 58 ff 10 00 00  |......*2...X....|
000001f0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 55 aa  |..............U.|
00000200

Veja man dd e man hd para saber como isso funciona.


E sim Tenha cuidado com o dd! Não abuse sudo; uma conta de usuário comum com diskassociação ao grupo é suficiente para blocos de leitura. Se aparecer "permissão negada" - talvez você esteja tentando substituir o disco rígido, observe mais de perto o que está fazendo. Se seu MBR for apagado, você perderá sua tabela de partições. Vai ser difícil de restaurar (embora não seja impossível). Observe atentamente o seu dispositivo de disco rígido:, /dev/sdanão confunda com /dev/sda1ou /dev/sdb. Tenha cuidado e não se apresse. Leia man dd. Boa sorte.

ulidtko
fonte
@ulidtko: +1, boa resposta, já fiz outra maneira: sudo cat / dev / sda> mydump, ctrl + c, sudo ghex mydump. Você acha que faz sentido?
Timofey
1
@ulidtko: Hmm, é um pouco estranho dizer que "não use sudo ... a conta de usuário normal é suficiente". Eu acho que isso já é uma grande falha de segurança se um usuário puder ler o conteúdo do disco através da entrada / dev /, então ele poderá ler qualquer arquivo, etc., o que não seria possível através do sistema de arquivos devido a problemas de permissão. Se funcionar para você em seu sistema como usuário comum: muito ruim ... No meu sistema, o / dev / sda is não pode ser lido pelo usuário comum, a menos que ele pertença ao grupo "disco" ... Mas não por "usuário comum" que é realmente perigoso, de novo!
LGB
1
@LGB: ele diz não abuse sudo :-)
Timofey
1
@ulidtko: ok, tudo bem, mesmo que eu tenha me removido do grupo de discos, pode ser perigoso, se alguém de alguma forma invadir meu usuário, o acesso total pode ser feito para o disco ... E sobre "não abusar do sudo": ok, meu inglês está longe de ser perfeito, acontece de vez em quando que sinto falta de algo para perceber em uma frase, desculpe por isso!
LGB 12/02
1
@ulidtko, +1 para avisos. Este é um dos lugares onde você realmente pode estragar as coisas como raiz com pressa.
Thorbjørn Ravn Andersen
3

Além da resposta proposta, eu também sugeriria usar simplesmente hd:

sudo hd /dev/sda -n 512 -s 0x0

00000000  eb 48 90 d7 bc 00 7a bb  a0 07 8e db 8e c3 be 00  |.H....z.........|
00000010  02 8b ce fc f3 a4 ea a3  00 a0 07 b9 04 00 8b fd  |................|
00000020  80 3d 80 74 05 83 c7 10  e2 f6 c3 b9 04 00 8b f5  |.=.t............|
00000030  88 2c 83 c6 10 e2 f9 c6  05 80 c3 60 b4 43 03 02  |.,.........`.C..|
00000040  ff 00 00 20 01 00 00 00  00 02 fa 90 90 f6 c2 80  |... ............|
00000050  75 02 b2 80 ea 59 7c 00  00 31 c0 8e d8 8e d0 bc  |u....Y|..1......|
00000060  00 20 fb a0 40 7c 3c ff  74 02 88 c2 52 be 7f 7d  |. ..@|<.t...R..}|
00000070  e8 34 01 f6 c2 80 74 54  b4 41 bb aa 55 cd 13 5a  |.4....tT.A..U..Z|
00000080  52 72 49 81 fb 55 aa 75  43 a0 41 7c 84 c0 75 05  |RrI..U.uC.A|..u.|
00000090  83 e1 01 74 37 66 8b 4c  10 be 05 7c c6 44 ff 01  |...t7f.L...|.D..|
000000a0  66 8b 1e 44 7c c7 04 10  00 c7 44 02 01 00 66 89  |f..D|.....D...f.|
000000b0  5c 08 c7 44 06 00 70 66  31 c0 89 44 04 66 89 44  |\..D..pf1..D.f.D|
000000c0  0c b4 42 cd 13 72 05 bb  00 70 eb 7d b4 08 cd 13  |..B..r...p.}....|
000000d0  73 0a f6 c2 80 0f 84 ea  00 e9 8d 00 be 05 7c c6  |s.............|.|
000000e0  44 ff 00 66 31 c0 88 f0  40 66 89 44 04 31 d2 88  |[email protected]..|
000000f0  ca c1 e2 02 88 e8 88 f4  40 89 44 08 31 c0 88 d0  |[email protected]...|
00000100  c0 e8 02 66 89 04 66 a1  44 7c 66 31 d2 66 f7 34  |...f..f.D|f1.f.4|
00000110  88 54 0a 66 31 d2 66 f7  74 04 88 54 0b 89 44 0c  |.T.f1.f.t..T..D.|
00000120  3b 44 08 7d 3c 8a 54 0d  c0 e2 06 8a 4c 0a fe c1  |;D.}<.T.....L...|
00000130  08 d1 8a 6c 0c 5a 8a 74  0b bb 00 70 8e c3 31 db  |...l.Z.t...p..1.|
00000140  b8 01 02 cd 13 72 2a 8c  c3 8e 06 48 7c 60 1e b9  |.....r*....H|`..|
00000150  00 01 8e db 31 f6 31 ff  fc f3 a5 1f 61 ff 26 42  |....1.1.....a.&B|
00000160  7c be 85 7d e8 40 00 eb  0e be 8a 7d e8 38 00 eb  ||..}.@.....}.8..|
00000170  06 be 94 7d e8 30 00 be  99 7d e8 2a 00 eb fe 47  |...}.0...}.*...G|
00000180  52 55 42 20 00 47 65 6f  6d 00 48 61 72 64 20 44  |RUB .Geom.Hard D|
00000190  69 73 6b 00 52 65 61 64  00 20 45 72 72 6f 72 00  |isk.Read. Error.|
000001a0  bb 01 00 b4 0e cd 10 ac  3c 00 75 f4 c3 00 00 00  |........<.u.....|
000001b0  00 00 00 00 00 00 00 00  b2 ec b2 ec 00 00 80 01  |................|
000001c0  01 00 07 fe 3f 34 3f 00  00 00 b6 fd 0c 00 00 00  |....?4?.........|
000001d0  01 35 0f ef ff ff f5 fd  0c 00 cc 39 ec 0d 00 00  |.5.........9....|
000001e0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
000001f0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 55 aa  |..............U.|

A solução é baseada no fato de que /dev/sdaé um arquivo de dispositivo especial que pode ser lido.

Timofey
fonte
+1, muito bom. Embora as pessoas pensem frequentemente no MBR como uma única unidade lógica, ainda que fisicamente armazenadas em apenas um setor dentre outros. E parece conveniente quando unidades lógicas estão contidas em - ou, talvez, representadas por - arquivos separados. Provavelmente, essa é a razão pela qual eu costumava salvar o MBR em um arquivo e trabalhar nele.
111311 ulidtko