Windows 的用戶在安裝完成後右鍵計算機—管理—打開磁盤管理器可以看到在系統分區(一般為C分區)之前有一個大小為MB或者MB的隱藏分區
Windows
特別提示這個隱藏分區的大小在Windows的各個版本中是不同的在Windows 的bate版本中該隱藏分區是M從Windows 的RC及其以後版本中該隱藏分區大小改為MB但是不管怎樣其作用是一樣的在Windows 安裝過程中它會首先在磁盤的開始位置創建一個M左右的隱藏分區然後將Windows 裝在另外的一個分區裡
下面就讓我們一探究竟
分區狀態
該分區的格式為NTFS沒有磁盤卷標也沒有分配驅動器號其磁盤狀態描述為系統活動主分區因為沒有驅動器號所以在資源管理器中是不可見的
該分區中都有什麼呢?
為了一探究竟筆者為其分配了一個驅動器號F操作方法是在磁盤管理器中選中該分區右鍵單擊選擇更改驅動器號和路徑彈出更改向導單擊 添加按鈕在彈出的對話框中點選分配以下驅動器號然後點擊其後的下拉列表從中選擇F最後確定退出即可接下來打開計算機可看到一個新的磁盤分區F進入該分區發現有兩隱藏目錄Boot和System Volume Information另外還有兩個隱藏文件bootmgr和BOOTSECTBAK毫無疑問Windows 在該隱藏分區中保存了系統的引導文件
添加分區號後是否會影響系統啟動呢?
接下來我們重啟系統看看上述操作(添加盤符)是否會影響到Windows 的啟動測試結果系統正常啟動可見上述修改不會影響系統啟動這是非常好理解的為啟動分區重新分配盤符的操作並沒有修改系統的引導文件也沒有修改磁盤引導扇區可見微軟之所以將Windows 的引導文件放在一個獨立的隱藏分區中一定是出於對引導文件的保護
能否將分區返回到隱藏模式呢?
既然隱藏分區是為了保護系統引導文件下面我們進行測試看是否可以取消剛才為其賦予的驅動器號右鍵單擊該分區選擇更改驅動器號和路徑嘗試更改或者刪除驅動器號都顯示無法刪除/更改卷的驅動器號其原因是改卷是系統或者啟動卷由此可見為Windows 中的這個特殊的隱藏分區添加驅動器號的過程是不可逆的
刪除分區中的文件是否影響系統啟動呢?
下面我們嘗試刪除該分區中的系統引導文件會怎樣筆者以administrator登錄系統進入F分區然後進行文件刪除在刪除的過程中發現其中有些文件是無法刪除的顯示文件正在使用或者提示沒有刪除權限然後又嘗試了為administrator賦予完全控制權限結果被拒絕經過測試發現就連system沒有完全控制權限只有TrusterInstaller用戶才有完全控制權限該用戶是Windows 中特有的其任務是單一的與系統安裝有關在Windows的用戶和組(lusrmgrmsc)中是沒有該用戶的下面我們看看在刪除了該分區中的某些文件之後是否會影響系統啟動重啟系統沒有問題系統正常啟動可見我們剛才刪除的文件與系統啟動無關而真正與系統啟動相關的文件是無法刪除的
刪除分區中是否影響系統啟動呢?
通過磁盤管理器筆者嘗試格式化刪除卷均不能成功可見Windows 對該分區的保護是做得很不錯的既然系統工具不行那試試第三方工具筆者用Acronis Disk Director Suite 進行測試利用該工具刪除了分區及其上面的數據然後重啟系統顯示BOOTMBR is missing即主引導扇區丟失系統無法啟動由此可見該隱藏分區中保存了系統的引導文件和磁盤的主引導分區信息
總結通過上面的測試揭開了這個隱藏分區的神秘面紗這個大小為MB或者MB的隱藏分區對於Windows至關重要它保存了系統引導文件和磁盤引導扇區的信息如果它丟失或者被破壞對於Windows 來說將是災難性的總的來說將Win的引導文件保存在一個隱藏分區中無疑加強了其安全性但是因為目標單一也容易成為攻擊的對象因此建議大家不要為該隱藏分區分配驅動器號這樣就能夠在較大程度上杜絕人為或者病毒木馬對其造成破壞
From:http://tw.wingwit.com/Article/os/xtgl/201311/8584.html