1. 当前位置: 网站首页 >  综合分类 >  数据恢复核心知识

数据恢复核心知识

一、      硬盘数据结构

C     D    E      …..       …..  

MBR

 

DBR

 

EBR

 

DBR

 

EBR

 

DBR

 

 

….

 

 

….

二、主引导扇区

(一)、主引导扇区组成:由440个字节的MBR引导程序、4个字节的磁盘签名、2个字节的保留扇区、64个字节的分区结构信息、2个字节结束标志55 AA组成。

1、     MBR中的磁盘分区表组成:1个字节的引导指示符3个字节的开始磁头、开始扇区、开始柱面1个字节的系统标识(分区类型)3个字节的结束磁头、结束扇区、结束柱面4个字节的该分区的起始位置4个字节的该分区扇区的总数

1)、系统激活标志为80H,非激活为00H

2)、微软常见的文件系统即分区类型标识

Ⅰ、主分区中FAT1201H,FAT1606H表示大于32M的分区而04H表示小于32M的分区,FAT320BH表示小于8.4G的分区而0CH却表示大于8.4G的分区,NTFS07H

Ⅱ、扩展分区大于8.4G时用0FH而小于8.4G时用05H

三、操作系统引导扇区(FAT32DBR备份为第一个DBR向下数6个扇数NTFSDBR备份为该分区扇区总数减去1.即该分区最后一个扇区。

(一)、操作系统引导扇区组成:跳转指令,厂商标志和操作系统版本号,主BPB参数表,扩展BPB参数表, DOS引导程序,结束标志几部分组成。

1FAT16分区中的DBR扇区由六部分组成:3个字节的跳转指令(EB 3C 90)、8个字节的厂商标志及OS版本号、25字节的主BPB参数表26个节的扩展BPB参数表、448个字节的DOS引导代码2个字节的有效结束标志。

1)、FAT16分区的DBR25个字节的主BPB参数表(BPB参数是从DBR12字节开始的)的含义详解:

1213字节为每扇区字节数,

14字节为每簇的扇区数,

1516字节为dos保留扇区(第一个FAT表开始之前的扇区数即DBRFAT的距离。),

17字节为FAT表个数,

18字节至19字节为根目录项数(根目录最多存放512文件),

20字节至21字节为扇区总数(小于32M的分区在此存放)

22字节为媒体描述符(媒体描述符要用于MS-DOS FAT16磁盘),

23字节至24字节为每个FAT扇区数一般为250(只被FAT12/FAT16)

25字节至26字节为每磁道扇区数63

27字节至28字节为磁头数(在一张1.44MB 3.5英寸的软盘上,本字段的值为 2),

29字节至32字节为隐藏扇区数( 该分区上引导扇区之前的扇区数。在没有分区的媒体上它必须总是为0。),

33字节至36字节为该分区的总扇区数(大于32M的分区在此存放),

FAT16分区的DBR26个字节的扩展BPB参数表(扩展BPB参数是从DBR37字节开始的)的含义详解:

37字节为BIOS设备一般是80

38字节为保留

39字节为扩展引导标志

40字节至43字节为卷序列号,随机产生

44字节至最54字节为卷标

55字节至62字节为文件系统格式的ASCⅡ码。

2FAT32分区中的DBR扇区由六部分组成:3个字节的跳转指令(EB 58 90)8个字节的厂商标志及OS版本号、53字节的BPB参数表26个节的扩展BPB参数表、420个字节的DOS引导代码2个字节的有效结束标志。

1)、FAT32分区的DBR53个字节的主BPB参数表(BPB参数是从DBR12字节开始的)的含义详解:

1213字节为每扇区字节数一般为512

14字节为簇大小,即每个簇占用的扇区数,

1516字节为dos保留扇区(即DBRFAT表的距离),

17字节为FAT表的个数,

18字节至19字节为根目录项数一般为00 00(不用了。)

20字节至21字节为小于此32M的分区扇区数一般为 00 00(不用了。)

22字节为媒体描述符一般硬盘为F8

23字节至24字节为每FAT扇区数一般为00 00(不用了)

25字节至26字节为每磁道扇区数,

27字节至28字节为磁头数一般为255

29字节至32字节为隐含扇区数(从零到DBR的扇区数。),

33字节至36字节为该分区的总扇区数,即分区的大小

37字节至40字节为每个FAT扇区数

41字节至42字节为:扩展标志(只被FAT32使用)该两个字节结构中各位的值为:
0-3:活动 FAT(0开始计数,而不是1).
      
只有在不使用镜像时才有效
4-6:保留
70值意味着在运行时FAT被映射到所有的FAT
     1
值表示只有一个FAT是活动的
8-15:保留

43字节至44字节为文件系统版本(只供FAT32使用,高字节是主要的修订号,而低字节是次要的修订号。本字段支持将来对该FAT32媒体类型进行扩展。如果本字段非零,以前的Windows版本将不支持这样的分区)

45字节至48字节为引导目录的第一簇,即根目录所在的位置。

49字节至最50字节为文件系统信息扇区号(只供FAT32使用, FAT32分区的保留区中的文件系统信息(File System Information, FSINFO)结构的扇区号。其值一般为1。在备份引导扇区(Backup Boot Sector)中保留了该FSINFO结构的一个副本,但是这个副本不保持更新)

51字节至52字节为DBR的备份扇区(是从DBR所在的位置63向下数的扇区数即为备份扇区)

53字节至65字节为保留

FAT32分区的DBR26个字节的扩展BPB参数表(扩展BPB参数表是从DBR66字节开始的)的含义详解:

66字节为物理驱动器号(  BIOS物理驱动器号有关。软盘驱动器被标识为0x00,物理硬盘被标识为0x80,而与物理磁盘驱动器无关。一般地,在发出一个INT13h BIOS调用之前设置该值,具体指定所访问设备。只有当该设备是一个引导设备时,这个值才有意义)

67字节为保留 FAT32分区总是将本字段的值设置0

68字节为扩展引导标签( 本字段必须要有能被Windows 2000所识别的值0x280x29)

69字节至72字节为分区序号( 在格式化磁盘时所产生的一个随机序号,它有助于区分磁盘)

73字节至83字节为卷标(本字段只能使用一次,它被用来保存卷标号。现在,卷标被作为一个特殊文件保存在根目录中)

84字节至91字节为系统ID(System ID) FAT32文件系统中一般取为"FAT32"

 

3NTFS分区中的DBR扇区由六部分组成:3个字节跳转指令(EB 52 90)8个字节的文件系统标识ASCⅡ码形式、73个字节的BPB参数表426个字节的DOS引导代码2个字节的有效结束标志。(如果NTFS分区中的DBR损坏后用备份DBR恢复时要看紧挨DBRNTLDR扇区在没有,否则不起作用。)

 

1)、Ⅲ、NTFS分区的DBR73个字节的BPB参数表(BPB参数是从DBR12字节开始的)的含义详解:

1213字节为每扇区字节数,

14字节为每簇的扇区数,

1516字节为dos保留扇区为0

17字节至19字节常常为0

20字节至21字节为未使用

22字节为介质描述符F8

23字节至24字节为未使用

25字节至26字节为每磁道的扇区数

27字节至28字节为磁头数

29字节至32字节为隐含扇区数

33字节至36字节未使用

37字节至40字节常为80 00 80 00

41字节至48字节为该分区的总扇区数

49字节至56字节为主文件表的起始簇号($MFT存储的起始位置)

57字节至64字节为备份的主文件表起始簇号($MFTMirr存储的起始位置)

65字节至68字节每个MFT的簇数

69字节至72字节为每个索引的簇数

73字节至80字节为分区的逻辑序列号

81字节84字节为总和检验码

四、NTFS文件存储原理

偏移

长度(字节)

含义

00-03H

4

FILE,文件记录的标志

04-05H

2

更新的序列号的偏移

06-07H

2

更新序列号的大小与数组

08-0FH

8

日志文件的序列号

10-11H

2

序列号

12-13H

2

连接数,有多少个目录指向该文件

14-15H

2

第一个属性的起始位置

2003xp38    2000NT,为30

16-17H

2

标志(flags00,表示文件已经删除,01表示正在使用,02表示这个文件记录为文件夹

18-1BH

4

记录头和属性的总长度,也就是文件记录的总长度 408

1C-1FH

4

分配给记录的长度

20-27H

8

基本文件记录的文件索引号

28-29H

2

下一个属性的ID

30-31H

2

边界

*  2C-2FH

4

文件记录的编号

NTFS分区中数据的结构:($MFT存储的起始位置30H37H

BOOT(DBR\NTLDR)

$MFT

数据

$MFT中前16个元文件的备份

数据

DBR备份

 $MFT存储的起始位置30H37H 8个字节,$MFTMirr存储的起始位置38H3FH.

$MFT_$MFTmirr_日记_卷标。

六、MS的不同文件系统分区大小与簇及每簇的扇区数关联性

文件系统是操作系统与驱动器之间的接口,扇区是磁盘最小的物理存储单元。微软操作系统(DOSWINDOWS等)中磁盘文件存储管理的最小单位叫做 簇(CLUST)的本意就是一群一组,即一组扇区(一个磁道可以分割成若干个大小相等的圆弧,叫扇区)的意思。因为扇区的单位太小,因此把它捆在一起,组成一个更大的单位更方便进行灵活管理。簇的大小通常是可以变化的,是由操作系统在所谓(高级)格式化时规定的,因此管理也更加灵活。)每个簇可以包括248163264个扇区等。显然,簇是操作系统所使用的逻辑概念,而非磁盘的物理特性。 为了更好地管理磁盘空间和更高效地从硬盘读取数据,操作系统规定一个簇中只能放置一个文件的内容,因此文件所占用的空间,只能是簇的整数倍;如果文件实际大小小于一簇,它也要占一簇的空间。如果文件实际大小大于一簇,根据逻辑推算,那么该文件就要占两个簇的空间。

1FAT16分区大小与对应簇的关系表:

分区大小

默认每簇的扇区数(SPC)

默认簇大小(C)

<32M

1   SPC

512B

>=32M<64M

2   SPC

1K

>=64M<128M

4   SPC

2K

>=128M<256M

8   SPC

4K

>=256M<512M

16  SPC

8K

>=512M<1G

32  SPC

16K

>=1G<2G

64  SPC

32K

>=2G<4G

128 SPC

64K

>=4G<8G(仅用NT4.0)

256 SPC

128K

>=8G<16G(仅用于NT4.0)

512 SPC

256K

2、            FAT32分区大小与对应簇的关系表:

分区大小

默认每簇的扇区数(SPC)

默认簇大小(C)

<8G

8   EYSPC

4K

>=8G<16G

16  SPC

8K

>=16G<32G

32  SPC

16K

>=32G

64  SPC

32K

3、            NTFS分区大小与对应簇的关系表:

分区大小

默认每簇的扇区数(SPC)

默认簇大小(C)

<512M

1   SPC

512B

>=512M<1G

2   SPC

1K

>=1G<2G

4   SPC

2K

>=2G<4G

8   SPC

4K

>=4G<8G

16  SPC

8K

>=8G<16G

32  SPC

16K

>=16G<32G

64  SPC

32K

>=32G

128 SPC

64K

 

 

 

展开全文


版权说明 手机扫码阅读
版权所有:《路由通》 => 《数据恢复核心知识
本文地址:https://nctoro.com/zhonghe/140.html
除非注明,文章均为 《冰凌》 原创,欢迎转载!转载请注明本文地址,谢谢。

发表评论

验证码

联系我们

在线咨询:点击这里给我发消息

微信号:master_135

工作日:9:00-23:00,节假日休息

扫码关注