主分区表分析 [复制链接]

附录:
  Fdisk的MBR参数
  MBR 系 FDISK.COM(EXE) 一项未公布的开关，隐含于 MS DOS 3.30，延至 MS DOS 8.0(Windows ME)。实践中，有籍以修复主引导信息，重点在主引导程序。
  FDISK /MBR 命令流程的分支有二:
  读得主引导扇区检验标志(字) AA55h，操作单一，仅向主引导扇区位移 0－1BDH 写入当前系统固有的主引导程序，安全可靠。
  难能可贵的是它不触动主引导信息其余模块(分区表、检验标志)，以及随后的 DOS 引导信息、文件分配表、根目录，省事许多。检出检验标志非 AA55h，写主引导程序、初始化分区表及登录检验标志，在 MS DOS 7.0 － 8.0 环境中，常规以系统支持的最大容量分配给基本 DOS 分区的方式登录分区表。分区表初始化(可能幸存的分区表被清除)的后果不难想象； 目前硬盘大都设置有其它分区，即使在高版本 DOS 环境中运作，常规建立的分区表每难能符合实际需求，后续工作量也相当可观。
  不过，它也不触动位于其后的 DOS 引导信息、文件分配表及根目录，高版本 FDISK /MBR 命令适用于修复仅设基本 DOS 分区的硬盘分区表及检验标志受损，或主引导信息全毁。
  可见，在运行 FDISK /MBR 命令之前，需查明检验标志是否 AA55h，酌情处理，切忌盲动。
  经由 DOS 软盘引导，认硬盘，检验标志必健在。
  另外，在 FDSIK 主菜单中选 4. Display Partition Information，列出分区信息，进一步证实检验标志正常； 若现 No partitition defined，检验标志每变异，而分区表或许尚健在。
●硬盘数据恢复，深入逻辑分区

现在深入每一个逻辑分区。逻辑分区结构如下：

FAT12/16
Logical sector =0 Logical sector=1(Floppy disk=1~9) Logical sector=1+sectors_per_FAT(Floppydisk=10~18) Logical sector=1+sectors_per_FAT*2(Floppy disk=19~32) Logical sector=1+sectors_per_FAT*2+sectors_of_rootdirectories(Floppy disk=33~)
DOS Boot Sector FAT1 FAT2 ROOT Directory Data area(where files and subdirectories are stored)

FAT32
Usually 32 sectors Logical sector =0032h Logical sector =0032h+ 2*sectors_per_FAT
DOS Boot Recore 3 Sectors Reserved sectors Copy of record Reserve sectors FAT1 FAT2 Data area(where files and all bdirectories are stored)


在逻辑分区当中用逻辑的cluster和sector。换算关系为：
cluster=logical_sector/sectors_per_cluster;
这里sectors_per_cluster是在BIOS Parameter Block里得到的。
Sector=( logical_sector mod sectors_per_track)+1;
Head=( logical_sector / sectors_per_track)mod total_heads;
Cylinder= logical_sector(sectors_per_track* total_heads);
logical_sector=( cluster-2)*sectors_per_cluster+sector_of_file_area_offset;
logical_sector=(sector-1)+head*sector_per_track+sector*sector_per_track*heads;
每个扇区长度=512字节
总簇数=逻辑盘容量/簇容量
总簇数=FAT表长度（字节）/每个表项长度（字节）-2
FAT表长度=逻辑盘容量/簇容量*每个表项长度

Dos引导记录块位于逻辑0 sector中包含三部分：
（1） 磁盘IO参数表BPB；
（2） 磁盘基数表；
（3） 引导区代码。

FAT16的BPB（BIOS Parameter Block）表，描述逻辑盘结构组成，包含隐藏扇区数目（从0-1-1开始计算）、FAT扇区数、FAT拷贝数、硬盘磁头总数、根目录表项最大值等。FAT32系统中，BPB表的偏移与FAT16不同，但表项基本相同。整个隐藏扇区部分都作为逻辑盘的描述区域。

典型的primary partion 的磁盘IO参数表BPB:

典型的 logical partion 磁盘参数表:




硬盘BPB主要结构说明：
(Cylinder柱面/磁道-Side/Head磁头-Sector扇区地址以下简称为?-?-?)
主分区
名称 地址  长度(扇区)
主引导记录（Main Boot Record) 0-0-1 1
系统扇区（System Secotrs）  0-0-2,0-0-63  62
引导扇区（Boot） 0-1-1 1
 
扩展分区 
名称 地址 长度(扇区)
扩展分区（Extend Partition） ?-y-1 1
系统扇区（System Secotrs） ?-y-2,?-y-63 62
引导扇区（Boot） ?-(y+1)-1  1
其后各项与主分区相同…… 

隐藏扇区（Hidden Secotrs）:
    FAT16              0-1-1          1
    FAT32              0-1-1          32
文件分配表(File Allocation Table):
    FAT16              0-1-2          根据逻辑盘容量变化   
    FAT32              0-1-33          根据逻辑盘容量变化
    说明：
FAT16的每个表项由2字节（16位）组成，通常每个表项指向的簇包含64个扇区，即32K字节。 逻辑盘容量最大为2047MB。
FAT32的每个表项由4字节（32位）组成，通常每个表项指向的簇包含8个扇区，即4K字节。逻辑盘容量最小为512MB。
对于C分区，在MBR的偏移01c2H处，FAT16为06H，FAT32为0CH。

 
FAT是DOS、Windows9X系统的文件寻址格式，位于DBR之后。
在解释文件分配表的概念的时候，我们有必要谈谈簇（Cluster）的概念。文件占用磁盘空间，基本单位不是字节而是簇。一般情况下，软盘每簇是1个扇区，硬盘每簇的扇区数与硬盘的总容量大小有关，可能是4、8、16、32、64……同一个文件的数据并不一定完整地存放在磁盘的一个连续的区域内，而往往会分成若干段，像一条链子一样存放。这种存储方式称为文件的链式存储。由于硬盘上保存着段与段之间的连接信息（即FAT），操作系统在读取文件时，总是能够准确地找到各段的位置并正确读出。
为了实现文件的链式存储，硬盘上必须准确地记录哪些簇已经被文件占用，还必须为每个已经占用的簇指明存储后继内容的下一个簇的簇号。对一个文件的最后一簇，则要指明本簇无后继簇。这些都是由FAT表来保存的，表中有很多表项，每项记录一个簇的信息。由于FAT对于文件管理的重要性，所以为了安全起见，FAT有一个备份，即在原FAT的后面再建一个同样的FAT。初形成的FAT中所有项都标明为“未占用”，但如果磁盘有局部损坏，那么格式化程序会检测出损坏的簇，在相应的项中标为“坏簇”，以后存文件时就不会再使用这个簇了。FAT的项数与硬盘上的总簇数相当，每一项占用的字节数也要与总簇数相适应，因为其中需要存放簇号。FAT的格式有多种，最为常见的是FAT16和FAT32。
当一个磁盘Format后，在其逻辑0扇区（即BOOT扇区）后面的几个扇区中存在着一个重要的数据表—文件分配（FAT），文件分配表一式两份，占据扇区的多小凭磁盘类型大小而定。顾名思义，文件分配表是用来表示磁盘问件的空分配信息的。它不对引导区，文件目录的信息进行表示，也不真正存储文件内容。
我们知道磁盘是由一个一个扇区组成的，若干个扇区合为一个簇，文件存取是以簇为单位的，哪怕这个文件只有1个字节。每个簇在文件分配表中都有对应的表项，簇号即为表项号，每个表项占1.5个字节（磁盘空间在10MB以下）或2个字节（磁盘空间在10MB以上）。为了方便起见，以后所说的表项都是指2个字节的。

FAT表的开始由介质描述符+一串“已占用”标志组成：
FAT16硬盘----F8 FF FF 7F
    FAT32硬盘----F8 FF FF 0F FF FF FF 0F
  每个有效的FAT结构区包含两个完全相同的拷贝：FAT1、FAT2
文件分配表结构如1（H表示16进制）
表1
第0字节 表头，表磁盘类型。FFH双面软盘，每次道8扇区FEH单面软盘，每磁道8扇区FDH双面软盘，每磁道9扇区FCCH单面软盘，每磁道9扇区FC8H硬盘
第1~2字节 （表项号1）表示第一簇状态，因第一簇被系统占据，故此两字节为FFFFH
第3~4字节 （表项号2）表示第二簇状态，若为FFFH表此簇为坏的，DOS已标记为不能用；0000H表示此簇为空，可以用；FFF8H表不能示该簇为文件的最后一簇；其余数字表示文件的下一个簇号，注意高字节在后，低字节在前。
第5~6字节 （表项号3）表示第三簇状态，同上。

注意：
不要把表项内的数字误认为表示当前簇号，而应是该文件的下一个簇的簇号。.高字节在后，低字节在前是一种存储数字方式，读出时应对其进行调整。是如两字节12H，34H，应调整为3412H。
文件分配表与文件目录（FDT）相配合，可以统一管理整个磁盘的文件。它告诉系统磁盘上哪些簇是坏的或已被使用，哪些簇可以用，并存储每个文件所使用的簇号。它是文件的“总调度师”。
当DOS写文件时，首先在文件目录中检查是否有相同文件名，若无则使用一个文件目录表项，然后依次检测FAT中的每个表项对应的簇中，同时将该簇号写入文件目录表项相的26-27字节，如文件长度不止一簇，则继续向后寻找可用簇，找到后将其簇号写入上一次找到的表项中，如此直到文件结束，在最后一簇的表项里填上FFF8H，形成单向链表。
DOS删除文件时只是把文件目录表中的该文件的表项第0个字节改为E5H，表此项已被删除，并在文件分配表中把该文件占用的各簇的表项清0，并释放空间。其文件的内容仍然在盘上，并没有被真正删除，这就是undelete.exe,unerase.exe等一类恢复删除工具能起作用的原因。
文件分配表在系统中的地位十分重要，用户最好不要去修改它，以免误操作带来严重的后果。
典型的FAT32表:
F8 FF FF FF FF FF FF FF 96 C4 00 00 FF FF FF 0F
FF FF FF 0F 06 00 00 00 FF FF FF 0F 08 00 00 00
09 00 00 00 0A 00 00 00 0B 00 00 00 0C 00 00 00
0D 00 00 00 0E 00 00 00 0F 00 00 00 10 00 00 00
FF FF FF 0F 00 00 00 00 FF FF FF 0F 14 00 00 00
15 00 00 00 FF FF FF 0F FF FF FF 0F FF FF FF 0F
19 00 00 00 1A 00 00 00 1B 00 00 00 FF FF FF 0F
00 00 00 00 1E 00 00 00 FF FF FF 0F 20 00 00 00
FF FF FF 0F 22 00 00 00 23 00 00 00 24 00 00 00
25 00 00 00 26 00 00 00 27 00 00 00 28 00 00 00


  文件目录表（File Directory Table），即根目录区，又称为ROOT区:
  紧跟在FAT2的下一个扇区，长度为32个扇区（256个表项）。如果支持长文件名，则每个表项为64个字节，其中，前32个字节为长文件链接说明；后32个字节为文件属性说明，包括文件长度、起始地址、日期、时间等。如不支持长文件名，则每个表项为32个字节的属性说明。
值得注意的是:
1,FAT32没有储存目录的目录区，而 FAT16储存根目录并把子目录放到数据区。
  2,表示目录的目录项指出根目录地址同时长度字节为0，表示文件的目录项指出数据地址。

典型的FAT32根目录：
30 30 30 30 30 30 20 20 20 20 20 10 00 12 3C 7C
39 2B 39 2B 05 00 3D 7C 39 2B 3A 34 00 00 00 00
             
44 4D 32 4B 44 49 53 4B 49 4D 47 20 00 96 DB 40
39 2B 39 2B 0A 00 DC 40 39 2B 88 02 5B 72 13 00
             
42 49 4E 42 49 4E 20 20 20 20 20 08 00 00 00 00
00 00 00 00 00 00 47 65 09 2B 00 00 00 00 00 00

000000子目录

注意OS7前的怪字符为E5H，表示被删除，被删除文件仍旧能够找到开始簇，数据恢复就依靠这一特点。

数据区（Data Area）:    紧跟在FDT的下一个扇区，直到逻辑盘的结束地址。




由上图可以想到，即使目录被破坏仍旧可能从磁盘里把信息读出。

到现在为止，硬盘数据结构的理论部分已经讲完。
  数据恢复主要是手动找出FAT、目录、数据的对应关系或直接找到数据,现在已经有完善的磁盘编辑器帮助我们做到这一点，使工作大大简化了。
有只能化的恢复工具能不依靠FAT而恢复被删除文件，比如RECOVERNT，估计是依靠Win2000的文件使用记录。这种方法在冲启动之前恢复文件的