电脑故障

位置:IT落伍者 >> 电脑故障 >> 浏览文章

探密Windows7中的神秘隐藏分区


发布日期:2024/8/27
 

裸机全新安装Windows 的用户在安装完成后运行diskmgmtmsc打开磁盘管理器可以看到在系统分区(一般为C分区)之前有一个大小为MB的隐藏分区这个特殊的隐藏分区与Windows 系统有什么关联呢?下面就让我们一探究竟

分区状态

该分区的格式为NTFS没有磁盘卷标也没有分配驱动器号其磁盘状态描述为系统活动主分区因为没有驱动器号所以在资源管理器中是不可见的(图)

该分区中都有什么呢?

为了一探究竟笔者为其分配了一个驱动器号F操作方法是在磁盘管理器中选中该分区右键单击选择更改驱动器号和路径弹出更改向导单击添加按钮在弹出的对话框中点选分配以下驱动器号然后点击其后的下拉列表从中选择F最后确定退出即可接下来打开计算机可看到一个新的磁盘分区F进入该分区发现有两隐藏目录Boot和System Volume Information另外还有两个隐藏文件bootmgr和BOOTSECTBAK毫无疑问Windows 在该隐藏分区中保存了系统的引导文件(图)

添加分区号后是否会影响系统启动呢?

接下来我们重启系统看看上述操作(添加盘符)是否会影响到Windows 的启动测试结果系统正常启动可见上述修改不会影响系统启动这是非常好理解的为启动分区重新分配盘符的操作并没有修改系统的引导文件也没有修改磁盘引导扇区可见微软之所以将Windows 的引导文件放在一个独立的隐藏分区中一定是出于对引导文件的保护(图)

能否将分区返回到隐藏模式呢?

既然隐藏分区是为了保护系统引导文件下面我们进行测试看是否可以取消刚才为其赋予的驱动器号右键单击该分区选择更改驱动器号和路径尝试更改或者删除驱动器号都显示无法删除/更改卷的驱动器号其原因是改卷是系统或者启动卷由此可见为Windows 中的这个特殊的隐藏分区添加驱动器号的过程是不可逆的(图)

删除分区中的文件是否影响系统启动呢?

下面我们尝试删除该分区中的系统引导文件会怎样笔者以administrator登录系统进入F分区然后进行文件删除在删除的过程中发现其中有些文件是无法删除的显示文件正在使用或者提示没有删除权限然后又尝试了为administrator赋予完全控制权限结果被拒绝经过测试发现就连system没有完全控制权限只有TrusterInstaller用户才有完全控制权限该用户是Windows 中特有的其任务是单一的与系统安装有关在Windows 的用户和组(lusrmgrmsc)中是没有该用户的下面我们看看在删除了该分区中的某些文件之后是否会影响系统启动重启系统没有问题系统正常启动可见我们刚才删除的文件与系统启动无关而真正与系统启动相关的文件是无法删除的(图)

删除分区中是否影响系统启动呢?

通过磁盘管理器笔者尝试格式化删除卷均不能成功可见Windows 对该分区的保护是做得很不错的既然系统工具不行那试试第三方工具笔者用Acronis Disk Director Suite 进行测试利用该工具删除了分区及其上面的数据然后重启系统显示BOOTMBR is missing即主引导扇区丢失系统无法启动由此可见该隐藏分区中保存了系统的引导文件和磁盘的主引导分区信息(图)

总结通过上面的测试揭开了这个隐藏分区的神秘面纱这个大小为MB的隐藏分区对于Windows 至关重要它保存了系统引导文件和磁盘引导扇区的信息如果它丢失或者被破坏对于Windows 来说将是灾难性的总的来说将Windows 的引导文件保存在一个隐藏分区中无疑加强了其安全性但是因为目标单一也容易成为攻击的对象因此建议大家不要为该隐藏分区分配驱动器号这样就能够在较大程度上杜绝人为或者病毒木马对其造成破坏

上一篇:解析Windows操作系统两大进程

下一篇:注册表去除Windows7快捷方式箭头