硬盘数据常识.doc_文客久久网wenke99.com

资源描述

1、- 1 -了解硬盘C /H/S：磁头 (Head)：硬盘为数个金属磁性物叠加而成的同心圆盘片，每盘片分两面 (Side)，依次为 0 和 1、 2 和 3(最少为单面，即只有 0)，每盘片分为上下两磁头读写。由于每个盘面都有自己的磁头，因此，盘面数等于总的磁头数，盘面号又叫磁头号。磁道和柱面（ Track and Cylinder）：同一盘片不同半径的若干同心圆被划分为若干

2、数目相等的磁道，并从外缘的 “0”开始编号。柱面是具有相同编号的磁道形成一个圆柱 (不同盘片相同半径构成的圆柱面，但不是一体的 )。 0 柱面最外面，依次向里编号。一磁道对应一柱面，磁盘的柱面数与一个盘面上的磁道数是相等的。扇区（ Sector） :磁盘上的每个磁道被等分为若干个弧段（与下图不同），这些弧段便是磁盘的扇区。每扇区

3、一般可存储 512 字节（ Byte）的信息。如按公式计算，每个扇区可以存储 1282 的 N 次方（ N=0.1.2.3）字节信息。在 DOS 中每扇区是 1282的 2 次方 =512 字节 512 个字节的信息。在向磁盘读取和写入数据时，都以扇区为单位。磁道和扇区是由低级格式化产生的。低格的作用是将空白的磁片划分一个个半径不同的同心圆磁道 (几百到几千 )，还将磁

4、道划分为若干个扇区，每个扇区的容量一般为512 字节。CHS（ 3D 参数）： Cylinder（柱面） / Head（磁头） /Sector（扇区），是硬盘的重要参数。一般书写时按照 CHS 的次序来做，如 0， 0， 1。硬盘示意图：- 2 -硬盘数据的记录方式两种地址：1.物理地址 (“绝对扇区 ”)：信息记录被表示为：柱面（磁道），磁头，扇区，从 0 柱 0 磁 1 扇开始，编号整个硬

5、盘。2.逻辑（ logic）地址 (“相对扇区 ”)：只有一个逻辑扇区号，可以从 0 柱 0 磁 1开始计数 (如 LBA)，也可以从 0 柱 1 磁 1 扇开始计数 (如 DOS 扇区 )即各分区单独计数。DOS 扇区即是一种相对扇区，它从 0 柱 1 磁 1 扇（ DBR）开始计数，把第一个 DOS扇区（ DOS 能访问的第一个扇区）编号为逻辑 0 扇（即 C 盘逻辑 0 扇，而 MBR 所在的0 柱 0 磁 1 扇

6、则没有 DOS 扇区编号，只能调用 BIOS 访问）。两种地址在不同地方称呼各不相同。硬盘的工作模式：1.NORMAL：最大 1024 柱 , 16 磁头 , 63 扇，因此最大容量 528MB。2.LARGE：当柱面大于 1024 时，把柱面数除以 2,把磁头数乘以 2,其总容量不变。3.LBA：由 IDE 控制器中的地址翻译器把 CHS 参数转换为单一的扇区参数。硬盘的寻址方式：1.CHS

7、寻址方式（物理寻址方式， 8.4GB 以下使用） :柱面：范围为 0 1023 柱，表示硬盘每一面盘片上有几条磁道 ,最大为 1024。磁头：范围为 0 254 个，表示硬盘总共有几个磁头 ,也就是有几面盘片 , 最大为255。扇区：范围为 1 63 扇，表示每一条磁道上有几个扇区 ,最大为 63。NORMAL 和 LARGE 使用的是 CHS 寻址方式。在 CHS 寻址方式中，最大寻址范

8、围是：255102463512/1000/1000/1000=8.4G。注意：这里的 CHS 参数与硬盘真实的 CHS 其实并不相同（硬盘中一般一个盘片对应两个磁头。单碟对应两个磁头；双碟则只有三个磁头，其中一个磁头被两张盘片共用；有的硬盘则只有一磁头。因此物理磁头数不可能多达 255 个）。硬件意义上的 CHS 与文件系统的 CHS 的转换是由硬盘的固件来完成的。

9、2.LBA 寻址方式（ Logic Block Address，逻辑块寻址， 8.4GB 以上使用） : 早期硬盘的扇区在同心圆磁道中呈扇面形状（如上图），由于每个磁道的扇区数相等（与软盘一样），所以外磁道的记录密度要远低于内磁道，会浪费很多磁盘空间。现在改用等密度结构生产硬盘，外侧磁道一圈因周长更大，所以扇区数量更多 (大于 63个，在磁道数量

10、一样的情况下，文件系统的柱面数因此变多了 )，内侧则更少。采用这种结构后，硬盘不再具有实际的 CHS 参数。系统在写入数据时是从柱面的0 磁头 1 扇区开始写入，第一个磁道写满后，就在同一柱面的下一盘面来写。一个柱面写满后才移动磁头到下一个柱面，从而使磁盘性能最优。硬盘读写数据时采用以扇区（即逻辑块）为单位进行线性寻址

11、的方式 ,扇区编号也就是该扇区的 LBA 地址。 LBA 方式把 0 柱 0 磁 1 扇编为逻辑 “0”扇区（即零磁道，与 “DOS 扇区 ”的 “0”扇区不同）， 0， 0， 2 为逻辑 1 扇区， 0， 0， 63 为逻辑 62 扇区 (此扇后为非隐藏扇区 )，0， 1， 1，为逻辑 63 扇区， 0 柱编完后再转到 1， 0， 1 依次进行，直至把所有的扇区都编上号。- 3 -WinHex 把 LBA 扇区（及 DOS 扇区）

12、称为 “逻辑扇区 ”， PM 则称为 “绝对扇区 ”。查看 LBA 扇区都应先打开它们 HD0 的 “扇区查看 ”，然后再输入 LBA 号。 LBA 是逻辑地址(但不同于相对地址的 “DOS 扇区 ”)，也可以说成是物理地址。一般我们称 CHS 模式下的扇区号为物理扇区号，扇区编号是 1”至 “63”，而 LBA方式的扇区从 “0”开始。LBA(逻辑扇区号 )=总磁头数每磁道扇区数当前所在柱面

13、号 +每磁道扇区数当前所在磁头号 +当前所在扇区号 1例如： CHS=0/0/1，则根据公式 LBA=255630+630+11= 0，也就是说物理0， 0， 1 为 LBA 逻辑 0 扇。现在的硬盘一般都支持 LBA 和 CHS 寻址，是因为在 HD 控制器内部安装了一个地址翻译器，可以将 C/H/S 参数翻译成 LBA 地址。小于 8.4G 的分区仍需用 CHS 方式寻址，在大于 8.4G 的分区， CHS 参数就

14、没有什么意义了，此时须用 LBA 方式寻址。现代硬盘件系统的柱面数已经突破了 1024 的限制，最大磁头数和扇区数仍为 255 和 63，所以硬盘的大小一般是与柱面的多少相联系的。相对于 LBA 来说， CHS 模式较为直观，所以磁盘编辑器通常采用 CHS 模式来作为磁盘逻辑结构划分方式。硬盘存储计数存储容量磁头数磁道（柱面）数每道扇区数每扇区字节数

15、。一个扇区若为 512 字节大小，那么硬盘容量 =C（柱面数） H（磁头数） S（扇区数）512Byte。若干扇区为一簇（文件最小单位）， FAT32 一簇最大为 32 扇区， NTFS 一簇 4K。硬盘的容量以兆字节（ MB）或千兆字节（ GB）为单位，1GB=1024MB， 1M=1024KB， 1KB=1024B(yte) 1Byte=8bit(二进制位 )。但硬盘厂商在标称硬盘容量时通常取 1G=1000MB，因

16、此我们在 BIOS 中或在格式化硬盘时看到的容量会比厂家的标称值要小。DOS/Windows 下硬盘数据结构一个完整硬盘的数据应该包括五部分： MBR， DBR， FAT， DIR 区和 DATA区。其中只有 MBR（主引导扇区）是唯一的，其它则随你的分区的不同而不同。MBR （Master Boot Record，主引导扇区或主引导记录）：主引导扇区，位于 0 柱 0 磁 1 扇（大小是 512 字节，也就是零磁道），外加 DPT，由Fd

17、isk 命令产生，以 55AA 标志结束。 MBR 主要完成的任务是：（ 1）存放硬盘分区表（ DPT），这是硬盘正确读写的关键数据。（ 2）检查硬盘分区的正确性，要求只能并且必须存在一个活动分区。（ 3）确定活动分区号，并读出相应操作系统的引导记录。- 4 -（ 4）检查操作系统引导记录的正确性， DOS 引导扇区末尾也存在着一个 AA55H标志，供引导程序识别

18、。（ 5）释放引导权给相应的操作系统。例如，当确认 DOS 操作系统引导纪录存在时，则调出 DOS 引导程序并执行。硬盘主引导区截图：注： HEX 为地址数值，十六进制。 DEC 为十进制。 BIN 为二进制。 OCT 为八进制。MBR 的结构：1 主引导程序（446 字节，含出错提示），偏移地址为 0H-1BDH。其中 0000H-00D9H 为主引导记录代码区（0000H-008AH 寻找开机分区；008BH-00D9H 启动字符串）。00DAH-01BDH

19、为保留的空闲区。DOS 命令 Fdisk/MBR 可以重写这一部分，内容较为固定。其在截图的上面，占了 MBR的最大部分。2 DPT（ Disk Partition Table）硬盘分区表 (主分区表 )：01BEH-01FDH。有四个分区表项，各 16 字节，共 64 字节，后两项常不用。其内容在截图下面的最后五行内，以80 开头，以 55AA 结束。第一分区项（指向活动主分区）：01BEH-01CDH（参照上图来寻找此地址，01BEH 纵坐标为 1B0，横坐标为最上面一行的E，其它地址与此相同）。80 01 01 00 0C FE FF FF 3F 00 00 00 9A

20、 E5 3F 01各字节含义有以下几项：- 5 -引导标志：第一表项第 1 字节，必须是 80（表示为活动分区，00 则表示非活动分区，那么操作系统将不能启动）。C 盘逻辑 0 扇：2、3、4 字节即 01 01 00，依次为磁/扇/柱，为 0 柱 1 磁 1 扇，表示 DBR（DOS 引导记录）所在位置。分区项将指向活动主分区（一般就是 C 盘）的 DOS引导记录 DBR。分区类型：为各表项的第 5 字节，0C 表示 DBR 所在分区为 FAT32 主分区（LBA）。C 盘逻辑尾扇：6、7、8 字节 FE FF FF，由于该分区大于 8G，所以它的

21、CHS 参数已经没有意义，大硬盘中的 C 盘逻辑尾扇一般都是此数，下同。C 盘零扇前的隐含扇区总数：9-12 字节 3F 00 00 00，为 63 扇（一般都如此），MBR就位于隐含扇区首扇。硬盘主分区和每一个逻辑分区前都有 63 个隐含扇区，一般都保存有一个分区表。因为在 OS 中被隐藏，所以各分区的开始扇区应该是 DBR 或 EBR 所在扇区。C 盘扇区总数（不含隐藏扇区）：13-16 字节 9A E5 3F 01。由于所用扇区数是用十六进制表示，低位在前，高位在后，扇区数应该是 0x13FE59AH。用十六进制计算器(Windows 中自带计算器选程序员或科学型也可进行换算)，计算后

22、为 20964762 个扇区，大小约为 10G。第二分区项（指向扩展区）：01CEH-01DDH。00 00 C1 FF 0F FE FF FF D9 E5 3F 01 27 C0 10 08 55AA各字节含义有以下几项：扩展区标志：首字节 00。扩展区首扇：2 3 4 字节 00 C1 FF，一般为 D 盘分区表所在扇区（00 C1 FF 无意义，道理同上 )。CHS 为：0 磁 1 扇 x 柱（x 柱=主分区扇区总数/63255，x 柱在此为 1305 柱）。LBA 为：“C 盘扇区总数+MBR 所在的 63 个隐藏扇区” （即 9-12 字节数）。扩展分区类型标志：第 5 字节 0F

23、，为 Win95 Extended 分区（大于 8GB）。扩展区尾扇：6 7 8 字节 FE FF FF（大硬盘都是此数，无意义），为扩展分区结束的C/H/S。CHS 为：(HD 总磁头数-1) 63 扇 (HD 总柱数-1)，处于 HD 尾。主分区扇区总数（含隐藏扇区）：9-12 字节 D9 E5 3F 01，位于扩展扇区前。主分区扇区总数=C 盘逻辑扇区数+隐含扇区数（63 个），此处为 20964825 个扇区，比C 盘扇区总数（无隐藏扇区）多 63，此 LBA 号即 D 盘分区表所在。扩展扇区总数（含隐藏扇区）：13-16 字节 27 C0 10 08。主分区、扩展扇区两数相加为

24、HD 扇区总数。其它分区项：分区 3（01DEH-01EDH）、分区 4（01EEH-01FDH）：可以为隐藏分区。隐藏分区为主分区，一键还原精灵所产生的隐藏分区，想把它变成逻辑分区，可直接操作 DPT，把代表它的分区表项删除，即可顺利完成。3 结束标志 55AA，位于 1FEH-1FFH。其值为 AA55，十六进制存储时低位在前，高位在后，即看上去就是 55AA。FDISK/MBR,再 SYS C:，再难缠的引导扇区病毒都 OK 了。其它磁盘工具也可

25、以完成同样的工作。注：Fdisk/MBR 在结构正常下重写 MBR 不破坏 DPT，55AA 错则全部重写。为保护分区表（DPT）数据，需要先修复 55AA 标志，才能进行此操作。在 0 柱 0 磁 2 扇（MBR 的下一扇区），可以备份 MBR。当 MBR 出错时，把它复制、粘帖到 MBR 扇区，可以恢复原来的 MBR。DBR 前的空白隐藏扇区都可以用来备份或存文件。- 6 -MBR 先于操作系统装入内存，具有公共引导的特性。但安装某些多重引导功能的软件或 LINUX 的 LILO 时有可能改写它。DBR（ Dos Boot Record）：DOS 引导记录，又称 DOS

26、引导区或 BOOT 区，位于 0 柱 1 磁 1 扇（C 盘逻辑 0 扇），由 Format 命令产生，可用 sys c:修复。在FAT32 和 NTFS 中，引导扇区在以前的 DBR 基础上逐步演变成 OBR(OS Boot Record)。DBR 结构（FAT16、FAT32、NTFS 各部分并不相同，以下是 FAT32 的 DBR 结构）：1. 跳转指令，下图所示为扇首 EB 52 90 三字节，属 NTTFS 分区(FAT32 为 EB 58 90)。2. 厂商标志和 OS 版本号，跳转指令后 8 字节。3. BPB(BIOS Parameter Block，BIOS 参数记录块)（

27、53 字节），记录 DOS 分区的磁盘信息。位于 DBR 偏移 0BH 处，包含 HD 大小，FAT、FDT 位置大小，可算出逻辑地址和物理地址。4. 扩展 BPB（26 字节）。5. 分区引导程序（420 字节）。完成 DOS 系统文件（IO.SYS，MSDOS.SYS）的定位与装载。DBR 是由硬盘的 MBR 装载的程序段。DBR 装入内存后，即开始执行该引导程序段，其主要功能是完成操作系统的自举并将控制权交给操作系统。DBR 只有一个，但每个分区都有引导扇区（E xtended Boot Record，EBR），但只有位于活动分区的 DBR 才会被 MBR装入内存运行。6. 有效

28、结束标志 55AA(2 字节)。因为 DBR 对操作系统非常重要，NTFS 格式分区，在其分区最后的扇区上，备份了DBR，如果它是正常的，我们只需将最后一个扇区的内容复制到 DBR 位置，如果没有其它问题，这个分区就正常了。其它分区的引导程序（EBR）也同样在该分区的最后一个扇区备份了 EBR，同样可以把此备份复制到分区引导扇区，使该分区恢复正常。DBR 大小： FAT16 为 1 扇， FAT32 为 3 扇， FAT 表起始位置一般为 95 扇区，操作系统引导记录备份在 69 扇区， FAT 表标记是 F8 FF FF 0F FF F

29、F。 NTFS 为 1 扇，主索引记录一般起始位置在本分区第 6291456 扇区， OS 引导记录备份在分区最后一个扇区。C 盘逻辑 0 扇截图（0 柱 1 磁 1 扇，逻辑扇区 63，DBR 所在）- 7 -FAT（File Allocation Table，文件分配表）。是 DOS 文件组织结构的主要部分，反映硬盘上所有簇的使用情况。一般有两个 FAT 表，内容一样，起备份作用。 FAT32 的 FAT1（第一文件分配表）位于 0 柱 1 面 33 扇区。由于 FA

30、T 表的长度不固定， FAT2 的地址也并不固定。每个 FAT 表的前两个字节都是：“F8FF“ 。当从磁盘上读取一个文件时，首先从文件目录表（ FDT）中找到该文件的目录登记项。继而从目录登记项的有关字段，查到分配给该文件的第一个簇号，根据第一个簇号，就能形成一条能够检索整个文件的 “簇链 ”，完成文件的读取。NTFS 的文件系统：MFT （ M

31、aster File Table 主文件表），NTFS 分区的主文件表。NTFS 分区用于存放目录、索引、安全性等信息，以及小文件等，由文件记录（File Record）数组构成。File Record 的大小一般是固定的，通常情况下均为 1KB，是这个卷上每一个文件的索引，为每一个文件保存着一组称为 “属性 ”的记录，每个属性存储了如下数据：大小、时间戳、安全属性和数据位置。系统空间分配、读写磁盘时会频繁地访问 MFT，因此 MFT 对

32、NTFS 的卷的性能有着至关重要的影响。一但 MFT 产生碎片，磁盘碎片整理程序无法对其进行整理。 NTFS 通过保留 1/8 的磁盘空间留作 MFT 专用（称为 MFT 区域），磁盘的此区域尽可能在 MFT 增大时保持其连续性，从而将磁盘碎片降至最低。NTFS 针对 FAT/ FAT32 文件系统安全性差、容易产生碎片、难以恢复等缺点作了重大改进。NTFS 把整个分区的全部扇区都作为簇来

33、划分，所有的分区信息（扇区分配表，引导记录等）都被组织起来以系统文件的形式存放在磁盘各处，而不是先放文件分配表，- 8 -后接数据区的做法。 NTFS 利用 B-Tree 文件管理方法来跟踪文件在磁盘上的位置，文件名是顺序存放的，因而查找速度更快，访问次数最少，这种技术比 FAT 的链接表技术具备更多的优越性。其中只有 $Boot（分区引导记录）文件的位置是固定存放在分区首部，其他的文件都可以随意存在于

34、分区中的任何一个位置。这样使得对所有数据的读写都有一个较为统一的方法，而且使得改变分区的尺寸和碎片整理变得非常容易。NTFS 是一个可恢复的文件系统。发生系统失败事件时， NTFS 使用标准的事务日志文件和检查点信息自动恢复文件系统的一致性，用户很少需要运行磁盘修复程序。在 NTFS 分区上，可以为共享资源、文件夹以及文件设置访问许可权限，可以进行磁盘配额

35、管理，可以在 NTFS 卷中压缩单个文件和文件夹，并支持活动目录和域。NTFS 支持 4GB 以上的文件（ FAT32 不能），支持的分区大小可以达到 2TB，簇的大小都为 4KB，支持稀疏文件，最大限度地避免了磁盘空间的浪费。DIR 区（根目录区，即 Directory 的简写），又称为 ROOT 区，主要为FDT（File Directory Table 文件目录表）。DOS 的 DIR 命令就是显示该区的内容。DIR 紧接在第二 FAT 表之后的下一个扇区，长度为 32 个扇区（256 个表项）。FAT32/FAT16 支持长文件名，则每个

36、表项为 64 个字节，其中，前 32 个字节为长文件链接说明；后 32 个字节为文件属性说明，包括文件名、后缀名、文件长度大小、起始地址、时间、修改日期和文件在数据区保存的第一个簇的簇号。如不支持长文件名，则每个表项为 32 个字节的属性说明。FAT16 的根目录紧跟在 FAT2 表后，并把子目录放到数据区。FAT32 根目录区可以不固定大小，在 DBR 中提供根目录区的第一个簇的簇号。FAT 必须和 DIR 配合才能准确定位文件的位置。DIR 记录着每个文件（目录）的起始单元（最重要）、文件的属性等。定位文件位置时，操作系统根据 DIR 中的起始单元，结合FAT 表就可以知道文件在磁盘的具

37、体位置及大小了。注意：Win9x 的文件删除只在目录区做了一个小标记将目录区的文件的第一个字符改成了 E5 就表示将此文件删除了。被删除文件仍旧能够找到开始簇，数据恢复就依靠这一特点。DATA 区（硬盘的数据区）。在 DIR 区之后，才是真正意义上的数据存储区（紧跟在 FDT 的下一个扇区，直到逻辑盘的结束地址）。它存储着所有的数据，而且即使文件目录被破坏仍旧可能从磁盘里把信息读出。文件删除只在 FDT 中将第 1 字符改成 “E5”， DATA 区将首字节

38、改为 “0E”，格式化也不能根本删去， Format 命令只是重写 FAT 和 DBR，并没有把 DATA 区的数据清除，除非你使用了 “Format X: /U”全面格式化命令，强制对每一扇区写 “F6”。至于硬盘分区，也只是修改了 MBR 和 DBR，绝大部分的 DATA 区的数据并没有被改变，这也是许多硬盘数据能够得以修复的原因。但即便如此，MBR， DBR， FAT， DIR 之一被破坏的

39、话，我们的数据也无法正常读取。如果你经常整理磁盘，那么你的数据区的数据可能是连续的，这样即使 MBR/FAT/DIR 全部坏了，我们也可以使用磁盘编辑软件只要找到一个文件的起始保存位置，那么这个文件就有可能被恢复。- 9 -数据恢复通常只能在数据文件删除之后相应存储位置没有写入新数据的情况下进行。因为一旦新的数据写入，磁粒

40、子极性将无可挽回的被改变从而使得旧有的数据真正意义上被清除。但是只是单纯的对存储介质进行覆写，乃至从物理上破坏存储设备，都不能保证数据不会被恢复出来。在一些拥有尖端设备的实验室中，既使被覆盖多次的磁盘，也可能被还原出最早存储在上面的磁性信号。这种情况对那些需要恢复他们宝贵数据的用户来说可能是个令人激动的

41、消息。DOS/Windows 分区知识：硬盘可激活分区数不得大于 3，扩展分区数不得大于 1，当前活动分区数必须小于等于 1（一般为 C：）。一个分区的所有扇区必须连续，硬盘可以有最多 4 个物理上的分区，这 4 个物理分区可以是 4 个主分区或者 3 个主分区（包括隐藏分区）加一个扩展分区。扩展分区在 DOS/Windows 管理下，可以而且必须再继续划分

42、逻辑分区（逻辑盘如 D： E：等）。扩展分区由于 MBR 仅仅为 DPT 保留了 64 个字节的存储空间，每分区的参数各占 16 个字节，总计只可以存储 4 个分区的数据。为了建立更多的逻辑磁盘供操作系统使用，系统引入了扩展分区的概念。所谓扩展分区，严格地讲它不是一个实际意义的分区，它仅仅是一个指向下一个分区的指针，这种指针结构将形成一

43、个单向链表。这样在主引导扇区中除了主分区外，仅需要存储一个被称为扩展分区的分区数据，通过这个扩展分区的数据可以找到下一个分区（实际上也就是下一个逻辑磁盘）的起始位置，以此类推可以找到所有的分区。硬盘分区实例：上图所见，序号 0， 1， 2 三个分区属于主分区，只有序号 0 有引导标志 80，属于活动分区；而序号 1 的扩展分区严格说

44、来仅仅是位于 D 盘前面的隐藏扇区中的一张分- 10 -区表，它只是一个指向下一个分区（ D：）的指针；序号 2 是一键还原精灵建立的隐藏分区，它虽然起始于硬盘最后的 59800 柱，但它仍是主分区；一块硬盘可以有四个主分区，那么这块硬盘还可以建一个主分区。通过对起止柱面数的观察，观察到C、 D、 E、 F 盘前后相连，各分区都自成一体。

45、标准 Windows 分区软件都是按柱面分区的，所有分区的大小都是整数柱面。有些特殊软件为了节省会按磁道或扇区计算划定分区，这样的分区方式再按柱面方式搜索，包括 DiskGenius、分区表医生 PTDD 在内的分区恢复软件就不可能找到分区信息。分区表链接分区表的一般结构：有四分区表项，一般只用前两表项。以位移 1BEH 开始，以 55AA 终止。

46、第一分区表项（指向分区表所在分区）：1 首字节，所指分区的分区标志。2 2-4 字节，所指分区的首扇。3 5 字节，所指分区的分区类型。4 6-8 字节，所指分区的尾扇。5 9-12 字节，所指分区的 DOS 首扇（逻辑 0 扇）与本分区表所在扇区的距离（是分区表与分区逻辑 0 扇的链接，大小固定为 63 扇，即为分区前的隐藏扇区数）。6 13-16 字节，所指分区的逻辑扇区总数（不包括隐藏扇区）。第二分区表项（指向下一分区）：1 首字节，所指分区的分区标志。2 2-4 字节，所指分区的首扇。3 5 字节，所指分区的分区类型。4 6-8 字节，所指分区的尾扇。5 9-12 字节，所指分区与

47、前一主分区表间的扇区总数。也就是所指分区表扇区（隐藏扇区之首）与主分区表或第一扩展分区表（也为主分区表）所在扇区的距离（是两分区表的链接，扩展分区表中此数是下一扩展分区表与第一扩展分区表的间隔，以此数可轻松找到下一扩展分区表）。6 13-16 字节，所指分区的扇区总数（包括隐藏扇区）。DPT 为主分区表，剩余的扩展（ extend）分区表（ EPT）位置可以由主分区表依次推导出来。以位移 1BEH 开始的第一分区表作为链首，有表内的链接表项（第二分区表项的 9-12 字

48、节）指示下一分区表的物理位置（ x 柱面、 0 磁头、 1 扇区），在该位置的扇区内同样位移 1BEH 处，保存着第二逻辑分区表，依次类推，直至指向最后一张分区表的物理位置（ y 柱面、 0 磁头、 1 扇区）。因该分区表内不存在链接表项，即作为分区表链的链尾。分区表的寻找：从主分区表中开始推算： DPT 的第二表项 9-12 字节为主分区扇区总数（含隐藏扇区），此也是第一扩展分区表的 LBA 号（因为 LBA 是从 0 扇开始）。从第一扩展分区表（ D 盘分区表）推算：第二表项的 9-12 字节是 E 盘分区表与第一扩展分区表的间隔，那么，此间隔数 +主分区扇区总数，即为 E 盘分区表的 LBA 号。从 E 盘分区表推算：第二表项的 9-12 字节是 F 盘分区表与第一扩展分区表的间隔，

展开阅读全文