硬盘主引导记录程序的功能是读出自举分区的BOOT程序，并把控制转移到分区BOOT程序。整个程序流程如下： 1　将本来读入到0：7C00H处的硬盘主引导记录程序移至0：61BH处； ⑵　顺序读入四个分区表的自举标志，以找出自举分区，若找不到，转而执行INT18H的BOOT异常执行中断程序； ⑶　找到自举分区后，检测该分区的系统标志，若为32位FAT表或16位FAT表但支持13号中断的扩展功能，就转到执行13号中断的41号功能调用进行安装检验，检验成功，就执行42号扩展读功能调用把

本文介绍了对Android 手机物理内存镜像进行关键字搜索获取删除短信数据的案件检验实例。本案中嫌 疑人已对涉案手机进行了数据删除操作，现有手机取证工具只能获取部分删除短信数据。但通过获取该手机物 理存储镜像，并结合案情选定关键词对镜像进行关键字搜索，最终提取到了与案件相关的删除短信数据，为 Android 手机检验中删除短信检验提供了一种新的方法。-This paper introduces a digital forensic examination on storage dum