Analyse eines MBR

[dauerbauer]

Hi zusammen,

ich bräuchte mal ein paar Augen auf folgenden MBR:

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

ich habe eine gutes Analysetool gefunden: http://www.aqfire.com/boot/

Mir ist nicht ganz klar, warum im Stringbereich folgendes steht:

Invalid partition table. Error loading operating system. Missing operating system

Jedoch wurde die NTFS Partition erkannt? (bei mir grün gekennzeichnet).

Hat damit jmd. Erfahrung was genau hier die Aussage ist?

Danke schonmal

 

[mkossmann]

Irgendwo im Bootcode muss auch der Meldungstext für Fehlermeldungen stehen. Ansonsten könnte er im Fehlerfall nicht ausgegeben werden.

 

[dauerbauer]

Der Bootcode sieht so aus:

EB 52 90 4E 54 46 53 20 20 20 20 00 02 08 00 00 00 00 00 00 00 F8 00 00 3F 00 FF 00 3F 00 00 00 00 00 00 00 80 00 80 00 98 FF 14 13 00 00 00 00 00 00 0C 00 00 00 00 00 02 00 00 00 00 00 00 00 F6 00 00 00 01 00 00 00 1B 0D DD DC 2D DD DC D2 00 00 00 00 FA 33 C0 8E D0 BC 00 7C FB 68 C0 07 1F 1E 68 66 00 CB 88 16 0E 00 66 81 3E 03 00 4E 54 46 53 75 15 B4 41 BB AA 55 CD 13 72 0C 81 FB 55 AA 75 06 F7 C1 01 00 75 03 E9 DD 00 1E 83 EC 18 68 1A 00 B4 48 8A 16 0E 00 8B F4 16 1F CD 13 9F 83 C4 18 9E 58 1F 72 E1 3B 06 0B 00 75 DB A3 0F 00 C1 2E 0F 00 04 1E 5A 33 DB B9 00 20 2B C8 66 FF 06 11 00 03 16 0F 00 8E C2 FF 06 16 00 E8 4B 00 2B C8 77 EF B8 00 BB CD 1A 66 23 C0 75 2D 66 81 FB 54 43 50 41 75 24 81 F9 02 01 72 1E 16 68 07 BB 16 68 70 0E 16 68 09 00 66 53 66 53 66 55 16 16 16 68 B8 01 66 61 0E 07 CD 1A 33 C0 BF 28 10 B9 D8 0F FC F3 AA E9 5F 01 90 90 66 60 1E 06 66 A1 11 00 66 03 06 1C 00 1E 66 68 00 00 00 00 66 50 06 53 68 01 00 68 10 00 B4 42 8A 16 0E 00 16 1F 8B F4 CD 13 66 59 5B 5A 66 59 66 59 1F 0F 82 16 00 66 FF 06 11 00 03 16 0F 00 8E C2 FF 0E 16 00 75 BC 07 1F 66 61 C3 A0 F8 01 E8 09 00 A0 FB 01 E8 03 00 F4 EB FD B4 01 8B F0 AC 3C 00 74 09 B4 0E BB 07 00 CD 10 EB F2 C3 0D 0A 41 20 64 69 73 6B 20 72 65 61 64 20 65 72 72 6F 72 20 6F 63 63 75 72 72 65 64 00 0D 0A 42 4F 4F 54 4D 47 52 20 69 73 20 6D 69 73 73 69 6E 67 00 0D 0A 42 4F 4F 54 4D 47 52 20 69 73 20 63 6F 6D 70 72 65 73 73 65 64 00 0D 0A 50 72 65 73 73 20 43 74 72 6C 2B 41 6C 74 2B 44 65 6C 20 74 6F 20 72 65 73 74 61 72 74 0D 0A 00 8C A9 BE D6 00 00 55 AA

und der Fehler:

A disk read error occurred. BOOTMGR is missing. BOOTMGR is compressed. Press Ctrl+Alt+Del to restart.

was genau kann/soll mir das sagen? Ist der NTFS Bootsektor (hier oben) defekt?

kurze Ergänzung: ich hab nochmal das Tool von oben benutzt (siehe Link oben). Wenn ich den Boot Sector analysiere dann finde ich keine Fehler außer die Fehlermeldung. Also die Frage die ich eigentlich habe, wieso bekomme ich die Fehlermeldungen, obwohl alles soweit gut aussieht und erkannt wurde..?

 

[mkossmann]

Das erste was du gezeigt hast, war ein Standard-MBR von DOS/Windows beim Booten mit klassischem BIOS .
Das BIOS lädt diesen ersten Block der Festplatte , checkt ob die 55AA Kennung am Ende vorhanden ist, und startet dann den in den ersten 448 Bytes ( dahinter ist der Platz für die vier Einträge der primären Partitionstabelle ) Bootcode
Der darin enthaltene Bootcode macht einen Check der primären Partitonstabelle , schaut ob eine als "aktiv" markierte Partition vorhanden ist und lädt dann den ersten Block der als "aktiv" markierten primären Partition , prüft ob dort die 55AA Kennung vorhanden ist und startet den in diesem Block enthaltenen Code ( mit Hilfe der im BIOS vorhandenen Funktionen). Dieser erste Bootcode erkennt nur die drei als Meldungstext vorhandenen Fehlerbedingungen.

Wenn dieser zweite Block von einem Windows NT/2000/XP/VIsta/7/8.x/10 System stammt, wie in deinem zweiten Beispiel, versucht der in diesem Block enthaltene Code den auf der Windows-Boot Partition liegenden bootmgr zu laden und zu starten. Und dieser Code kann wiederum nur die als Meldungstext enthaltenen Fehlerbedingungen erkennen.

 

[dauerbauer]

Danke für die ausführliche Antwort.

Also soweit kann ich folgen und verstehe das auch soweit. Der obere MBR (Code oben) lädt den NTFS Boot Loader (Code unten), weil oben die Partition als aktiv gesetzt ist. Der Boot Loader spuckt jetzt die Fehlermeldungen "A disk read error occurred. BOOTMGR is missing. BOOTMGR is compressed. Press Ctrl+Alt+Del to restart." aus, soweit richtig oder?

Was mir immer noch nicht ganz klar ist, warum dann der Fehler kommt? Gibt es eine Möglichkeit den Fehler zu finden, warum das System nicht mehr startet? Wenn man die Fehlermeldungen googelt findet man ja nur Ansätze zur Beseitigung.. aber ich möchte gerne verstehen wie es dazu gekommen ist / kommen kann, bzw. ob es möglich ist den Fehler weiter einzugrenzen?

edit: Wenn ich mir einen anderen NTFS Boot Sector anschaue, dann sehe ich keinen Unterschied.. vielleicht hilft das noch für eine Antwort auf meine Frage/Fragen..

Okay.. bitte nicht verzweifeln, es ist nicht wirklich dringend wichtig..

 

[mkossmann]

Danke für die ausführliche Antwort.

Also soweit kann ich folgen und verstehe das auch soweit. Der obere MBR (Code oben) lädt den NTFS Boot Loader (Code unten), weil oben die Partition als aktiv gesetzt ist. Der Boot Loader spuckt jetzt die Fehlermeldungen "A disk read error occurred. BOOTMGR is missing. BOOTMGR is compressed. Press Ctrl+Alt+Del to restart." aus, soweit richtig oder?

NIcht ganz. Der Code kann im Fehlerfall eine der Fehlermeldungen ausgeben. Wobei die Fehlermeldung auch aus zwei Textabschnitten zusammengesetzt sein könnte Also z.B "BOOTMGR is missing Press Ctrl+Alt+Del to restart".
Bei der Fehlermeldung "A disk read error occurred" würde ich mal vermuten : Der Code hat das BIOS beauftragt, die Blocks der Platte , wohin
bootmgr installiert wurde ins RAM zu laden, und die Platte meldet über das BIOS zurück: "Geht leider nicht, in einem dieser Blocks gibt es keine gültigen Daten" . Also definitiv ein Plattenfehler.
Bei BOOTMGR is missing und BOOTMGR is compressed wurden vermutlich die anforderten Blocks erfolgreich ins RAM geladen , das Geladene kann aber kein funktionierender bootmgr sein weil eine Kennung an einer bestimmten Position nicht vorhanden (missing) oder falsch ( compressed) ist. Ursache dürfte da sein, das irgendetwas den bootmgr überschrieben hat.

 

[dauerbauer]

Danke nochmals!

Irgendwie war ich auch auf dem Trip, dass die Fehlermeldungen in den Codes nur stehen, wenn sie zutreffen aber das ist natürlich Quatsch. Aber so ergibt mir das ganze schon viel mehr Sinn :-)