📄 数据恢复之fat篇.htm
字号:
<TD align=middle width="16%"><FONT size=2>6位</FONT></TD>
<TD align=middle width="12%"><FONT size=2>0xFF</FONT></TD>
<TD align=middle width="42%"><FONT size=2>结束扇区(Ending
Sector)
只使用了0~5位。最后两位(第6、7位)被结束柱面字段所使用</FONT></TD></TR>
<TR>
<TD align=middle width="18%"><FONT size=2>0x01C5</FONT></TD>
<TD align=middle width="16%"><FONT size=2>10位</FONT></TD>
<TD align=middle width="12%"><FONT size=2>0x7B</FONT></TD>
<TD align=middle width="42%"><FONT size=2>结束柱面(Ending Cylinder)
除了结束扇区字段最后的两位外,还使用了1位,以组成该柱面值。结束柱面是一个10位的数,最大值为1023</FONT></TD></TR>
<TR>
<TD align=middle width="18%"><FONT size=2>0x01C6</FONT></TD>
<TD align=middle width="16%"><FONT size=2>DWORD</FONT></TD>
<TD align=middle width="12%"><FONT size=2>0x0000003F</FONT></TD>
<TD align=middle width="42%"><FONT size=2>相对扇区数(Relative Sectors)
从该磁盘的开始到该分区的开始的位移量,以扇区来计算</FONT></TD></TR>
<TR>
<TD align=middle width="18%"><FONT size=2>0x01CA</FONT></TD>
<TD align=middle width="16%"><FONT size=2>DWORD</FONT></TD>
<TD align=middle width="12%"><FONT size=2>0x00DAA83D</FONT></TD>
<TD align=middle width="42%"><FONT size=2>总扇区数(Total Sectors)
该分区中的扇区总数</FONT></TD></TR></TBODY></TABLE>
<P><FONT color=#c0c0c0><SPAN
style="FONT-WEIGHT: 700; BACKGROUND-COLOR: #ffff00"><A
href="http://www.sjhf.net/document/fat/#索引">[返回索引]</A></SPAN></FONT><BR>注:上表中的超过1字节的数据都以实际数据显示,就是按高位到地位的方式显示。存储时是按低位到高位存储的。两者表现不同,请仔细看清楚。以后出现的表,图均同。</P>
<P>也可以在winhex中看到这些参数的意义:<BR><A
name="图3 winhex所给出的MBR参数的意义。"></A> <IMG height=963
src="数据恢复之Fat篇_files/03.gif" width=422 border=0><BR><FONT color=#c0c0c0><SPAN
style="FONT-WEIGHT: 700; BACKGROUND-COLOR: #ffff00"><A
href="http://www.sjhf.net/document/fat/#索引">[返回索引]</A></SPAN></FONT><BR>
说明: 每个分区表项占用16个字节,假定偏移地址从0开始。如图3的分区表项3。分区表项4同分区表项3。<BR>
1、0H偏移为活动分区是否标志,只能选00H和80H。80H为活动,00H为非活动。其余值对microsoft而言为非法值。
<BR> 2、重新说明一下(这个非常重要):大于1个字节的数被以低字节在前的存储格式格式(little endian
format)或称反字节顺序保存下来。低字节在前的格式是一种保存数的方法,这样,最低位的字节最先出现在十六进制数符号中。例如,相对扇区数字段的值0x3F000000的低字节在前表示为0x0000003F。这个低字节在前的格式数的十进制数为63。
<BR>
3、系统在分区时,各分区都不允许跨柱面,即均以柱面为单位,这就是通常所说的分区粒度。有时候我们分区是输入分区的大小为7000M,分出来却是6997M,就是这个原因。
偏移2H和偏移6H的扇区和柱面参数中,扇区占6位(bit),柱面占10位(bit),以偏移6H为例,其低6位用作扇区数的二进制表示。其高两位做柱面数10位中的高两位,偏移7H组成的8位做柱面数10位中的低8位。由此可知,实际上用这种方式表示的分区容量是有限的,柱面和磁头从0开始编号,扇区从1开始编号,所以最多只能表示1024个柱面×63个扇区×256个磁头×512byte=8455716864byte。即通常的8.4GB(实际上应该是7.8GB左右)限制。实际上磁头数通常只用到255个(由汇编语言的寻址寄存器决定),即使把这3个字节按线性寻址,依然力不从心。
在后来的操作系统中,超过8.4GB的分区其实已经不通过C/H/S的方式寻址了。而是通过偏移CH~偏移FH共4个字节32位线性扇区地址来表示分区所占用的扇区总数。可知通过4个字节可以表示2^32个扇区,即2TB=2048GB,目前对于大多数计算机而言,这已经是个天文数字了。在未超过8.4GB的分区上,C/H/S的表示方法和线性扇区的表示方法所表示的分区大小是一致的。也就是说,两种表示方法是协调的。即使不协调,也以线性寻址为准。(可能在某些系统中会提示出错)。超过8.4GB的分区结束C/H/S一般填充为FEH
FFH FFH。即C/H/S所能表示的最大值。有时候也会用柱面对1024的模来填充。不过这几个字节是什么其实都无关紧要了。
<BR>
虽然现在的系统均采用线性寻址的方式来处理分区的大小。但不可跨柱面的原则依然没变。本分区的扇区总数加上与前一分区之间的保留扇区数目依然必须是柱面容量的整数倍。(保留扇区中的第一个扇区就是存放分区表的MBR或虚拟MBR的扇区,分区的扇区总数在线性表示方式上是不计入保留扇区的。如果是第一个分区,保留扇区是本分区前的所有扇区。<BR>
附:分区表类型标志如图4<BR><A name="图4 分区表类型标志。"></A> <IMG height=630
src="数据恢复之Fat篇_files/04.gif" width=358 border=0><BR><A name="3.2 扩展分区"></A><FONT
color=#c0c0c0><SPAN style="FONT-WEIGHT: 700; BACKGROUND-COLOR: #ffff00"><A
href="http://www.sjhf.net/document/fat/#索引">[返回索引]</A></SPAN></FONT></P>
<P>3.2 扩展分区:<BR> 扩展分区中的每个逻辑驱动器都存在一个类似于MBR的扩展引导记录( Extended
Boot Record,
EBR),也有人称之为虚拟mbr或扩展mbr,意思是一样的。扩展引导记录包括一个扩展分区表和该扇区的标签。扩展引导记录将记录只包含扩展分区中每个逻辑驱动器的第一个柱面的第一面的信息。一个逻辑驱动器中的引导扇区一般位于相对扇区32或63。但是,如果磁盘上没有扩展分区,那么就不会有扩展引导记录和逻辑驱动器。第一个逻辑驱动器的扩展分区表中的第一项指向它自身的引导扇区。第二项指向下一个逻辑驱动器的EBR。如果不存在进一步的逻辑驱动器,第二项就不会使用,而且被记录成一系列零。如果有附加的逻辑驱动器,那么第二个逻辑驱动器的扩展分区表的第一项会指向它本身的引导扇区。第二个逻辑驱动器的扩展分区表的第二项指向下一个逻辑驱动器的EBR。扩展分区表的第三项和第四项永远都不会被使用。<BR>
通过一幅4分区的磁盘结构图可以看到磁盘的大致组织形式。如图5:<BR><A
name="图5 一个4分区的磁盘结构图示"></A> <IMG height=570
src="数据恢复之Fat篇_files/05.gif" width=265 border=0><BR><FONT color=#c0c0c0><SPAN
style="FONT-WEIGHT: 700; BACKGROUND-COLOR: #ffff00"><A
href="http://www.sjhf.net/document/fat/#索引">[返回索引]</A></SPAN></FONT><BR><BR>
关于扩展分区,如图6所示,扩展分区中逻辑驱动器的扩展引导记录是一个连接表。该图显示了一个扩展分区上的三个逻辑驱动器,说明了前面的逻辑驱动器和最后一个逻辑驱动器之间在扩展分区表中的差异。<BR><A
name="图6 分区表链接图示"></A><IMG height=535 src="数据恢复之Fat篇_files/06.gif" width=316
border=0><BR><FONT color=#c0c0c0><SPAN
style="FONT-WEIGHT: 700; BACKGROUND-COLOR: #ffff00"><A
href="http://www.sjhf.net/document/fat/#索引">[返回索引]</A></SPAN></FONT></P>
<P>
除了扩展分区上最后一个逻辑驱动器外,表2中所描述的扩展分区表的格式在每个逻辑驱动器中都是重复的:第一个项标识了逻辑驱动器本身的引导扇区,第二个项标识了下一个逻辑驱动器的EBR。最后一个逻辑驱动器的扩展分区表只会列出它本身的分区项。最后一个扩展分区表的第二个项到第四个项被使用。
</P>
<TABLE id=table1 width="49%" border=1><!-- MSTableType="nolayout" -->
<TBODY>
<TR>
<TD align=middle colSpan=2>
<P><FONT size=2> </FONT><A name="表2 扩展分区表项的内容"><FONT
size=2></FONT></A><FONT size=2>表2 扩展分区表项的内容</FONT></P></TD></TR>
<TR>
<TD align=middle width="33%"><FONT size=2>扩展分区表项</FONT></TD>
<TD align=middle width="64%"><FONT size=2>分区表项的内容</FONT></TD></TR>
<TR>
<TD align=middle width="33%"><FONT size=2>第一个项</FONT></TD>
<TD align=middle width="64%"><FONT
size=2>包括数据的开始地址在内的与扩展分区中当前逻辑驱动器有关的信息</FONT></TD></TR>
<TR>
<TD align=middle width="33%"><FONT size=2>第二个项</FONT></TD>
<TD align=middle width="64%"><FONT
size=2>有关扩展分区中的下一个逻辑驱动器的信息,包括包含下一个逻辑驱动器的EBR的扇区的地址。如果不存在进一步的逻辑驱动器的话,该字段不会被使用</FONT></TD></TR>
<TR>
<TD align=middle width="33%"><FONT size=2>第三个项</FONT></TD>
<TD align=middle width="64%"><FONT size=2>未用</FONT></TD></TR>
<TR>
<TD align=middle width="33%"><FONT size=2>第四个项</FONT></TD>
<TD align=middle width="64%"><FONT size=2>未用</FONT></TD></TR></TBODY></TABLE>
<P><FONT color=#c0c0c0><SPAN
style="FONT-WEIGHT: 700; BACKGROUND-COLOR: #ffff00"><A
href="http://www.sjhf.net/document/fat/#索引">[返回索引]</A></SPAN></FONT></P>
<P>
扩展分区表项中的相对扇区数字段所显示的是从扩展分区开始到逻辑驱动器中第一个扇区的位移的字节数。总扇区数字段中的数是指组成该逻辑驱动器的扇区数目。总扇区数字段的值等于从扩展分区表项所定义的引导扇区到逻辑驱动器末尾的扇区数。</P>
<P>
有时候在磁盘的末尾会有剩余空间,剩余空间是什么呢?我们前面说到,分区是以1柱面的容量为分区粒度的,那么如果磁盘总空间不是整数个柱面的话,不够一个柱面的剩下的空间就是剩余空间了,这部分空间并不参与分区,所以一般无法利用。照道理说,磁盘的物理模式决定了磁盘的总容量就应该是整数个柱面的容量,为什么会有不够一个柱面的空间呢。在我的理解看来,本来现在的磁盘为了更大的利用空间,一般在物理上并不是按照外围的扇区大于里圈的扇区这种管理方式,只是为了与操作系统兼容而抽象出来CHS。可能其实际空间容量不一定正好为整数个柱面的容量吧。关于这点,如有高见,请告知<A
href="http://www.sjhf.net/">http://www.sjhf.net/</A>或<A
href="mailto:zymail@vip.sina.com">zymail@vip.sina.com</A>。 </P>
<P><A name=四、FAT分区原理></A><FONT color=#c0c0c0><SPAN
style="FONT-WEIGHT: 700; BACKGROUND-COLOR: #ffff00"><A
href="http://www.sjhf.net/document/fat/#索引">[返回索引]</A></SPAN></FONT><BR>四、FAT分区原理。</P>
<P>先来一幅结构图:<BR><A name="图7 磁盘的整体结构图示"></A> <IMG height=640
src="数据恢复之Fat篇_files/07.gif" width=322 border=0><BR><FONT color=#c0c0c0><SPAN
style="FONT-WEIGHT: 700; BACKGROUND-COLOR: #ffff00"><A
href="http://www.sjhf.net/document/fat/#索引">[返回索引]</A></SPAN></FONT></P>
<P>
现在我们着重研究FAT格式分区内数据是如何存储的。FAT分区格式是MICROSOFT最早支持的分区格式,依据FAT表中每个簇链的所占位数(有关概念,后面会讲到)分为fat12、fat16、fat32三种格式"变种",但其基本存储方式是相似的。<BR>
仔细研究图7中的fat16和fat32分区的组成结构。下面依次解释DBR、FAT1、FAT2、根目录、数据区、剩余扇区的概念。提到的地址如无特别提示均为分区内部偏移。</P>
<P><A name="4.1 关于DBR"></A><A name="4.1.1FAT32 DBR"></A><A
name="4.1 关于DBR"></A><FONT color=#c0c0c0><SPAN
style="FONT-WEIGHT: 700; BACKGROUND-COLOR: #ffff00"><A
href="http://www.sjhf.net/document/fat/#索引">[返回索引]</A></SPAN></FONT><BR>4.1
关于DBR.</P>
<P> DBR区(DOS BOOT
RECORD)即操作系统引导记录区的意思,通常占用分区的第0扇区共512个字节(特殊情况也要占用其它保留扇区,我们先说第0扇)。在这512个字节中,其实又是由跳转指令,厂商标志和操作系统版本号,BPB(BIOS
Parameter Block),扩展BPB,os引导程序,结束标志几部分组成。 以用的最多的FAT32为例说明分区DBR各字节的含义。见图8。<BR><A
name="图8 winhex下的FAT32基本分区DBR截图"></A> <IMG height=707
src="数据恢复之Fat篇_files/08.gif" width=569 border=0><BR><FONT color=#c0c0c0><SPAN
style="FONT-WEIGHT: 700; BACKGROUND-COLOR: #ffff00"><A
href="http://www.sjhf.net/document/fat/#索引">[返回索引]</A></SPAN></FONT><BR>图8的对应解释见表3
</P>
<TABLE id=table3 style="POSITION: relative" width="47%" border=1>
<TBODY>
<TR>
<TD align=middle colSpan=4><FONT size=3> </FONT><A
name="表3 FAT32分区上DBR中各部分的位置划分"></A><FONT size=3>表3
FAT32分区上DBR中各部分的位置划分 </FONT></TD></TR>
<TR>
<TD align=middle width="14%"><FONT size=3>字节位移</FONT></TD>
<TD align=middle width="30%"><FONT size=3>字段长度</FONT></TD>
<TD align=middle width="25%"><FONT size=3>字段名</FONT></TD>
<TD align=middle width="7%"><FONT size=3>对应图8颜色</FONT></TD></TR>
<TR>
<TD align=middle width="14%"><FONT size=3>0x00</FONT></TD>
<TD align=middle width="30%"><FONT size=3>3个字节</FONT></TD>
<TD align=middle width="25%"><FONT size=3>跳转指令</FONT></TD>
<TD align=middle width="7%" bgColor=#0000ff> </TD></TR>
<TR>
<TD align=middle width="14%"><FONT size=3>0x03</FONT></TD>
<TD align=middle width="30%"><FONT size=3>8个字节</FONT></TD>
<TD align=middle width="25%"><FONT size=3>厂商标志和os版本号</FONT></TD>
<TD align=middle width="7%" bgColor=#00ff00> </TD></TR>
<TR>
<TD align=middle width="14%"><FONT size=3>0x0B</FONT></TD>
<TD align=middle width="30%"><FONT size=3>53个字节</FONT></TD>
<TD align=middle width="25%"><FONT size=3>BPB</FONT></TD>
<TD align=middle width="7%" bgColor=#ff0000> </TD></TR>
<TR>
<TD align=middle width="14%"><FONT size=3>0x40</FONT></TD>
<TD align=middle width="30%"><FONT size=3>26个字节</FONT></TD>
<TD align=middle width="25%"><FONT size=3>扩展BPB</FONT></TD>
<TD align=middle width="7%" bgColor=#ff00ff> </TD></TR>
<TR>
<TD align=middle width="14%"><FONT size=3>0x5A</FONT></TD>
<TD align=middle width="30%"><FONT size=3>420个字节</FONT></TD>
<TD align=middle width="25%"><FONT size=3>引导程序代码</FONT></TD>
<TD align=middle width="7%" bgColor=#000000> </TD></TR>
<TR>
<TD align=middle width="14%"><FONT size=3>0x01FE</FONT></TD>
<TD align=middle width="30%"><FONT size=3>2个字节</FONT></TD>
<TD align=middle width="25%"><FONT size=3>有效结束标志</FONT></TD>
<TD align=middle width="7%" bgColor=#66ccff> </TD></TR></TBODY></TABLE>
<P><FONT color=#c0c0c0><SPAN
style="FONT-WEIGHT: 700; BACKGROUND-COLOR: #ffff00"><A
href="http://www.sjhf.net/document/fat/#索引">[返回索引]</A></SPAN></FONT><BR>图9给出了winhex对图8
DBR的相关参数解释:<BR><A name="图9 winhex给出的FAT32基本分区DBR参数说明"></A>
<IMG height=721 src="数据恢复之Fat篇_files/09.gif" width=392 border=0><BR><FONT
color=#c0c0c0><SPAN style="FONT-WEIGHT: 700; BACKGROUND-COLOR: #ffff00"><A
⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -