收藏
下载资源

数据恢复技术学习研究体会.doc

上传人:hs****ma 文档编号:549298753 上传时间:2023-07-24 格式:DOC 页数:7 大小:77.01KB
返回 下载 相关 举报
数据恢复技术学习研究体会.doc_第1页
第1页 / 共7页
数据恢复技术学习研究体会.doc_第2页
第2页 / 共7页
数据恢复技术学习研究体会.doc_第3页
第3页 / 共7页
数据恢复技术学习研究体会.doc_第4页
第4页 / 共7页
数据恢复技术学习研究体会.doc_第5页
第5页 / 共7页
点击查看更多>>
资源描述

《数据恢复技术学习研究体会.doc》由会员分享,可在线阅读,更多相关《数据恢复技术学习研究体会.doc(7页珍藏版)》请在金锄头文库上搜索。

1、数据恢复核心知识一、 硬盘数据结构C盘 D 盘 E盘 . . MBRDBREBRDBREBRDBR.二、主引导扇区(一)、主引导扇区组成:由440个字节的MBR引导程序、4个字节的磁盘签名、2个字节的保留扇区、64个字节的分区结构信息、2个字节结束标志55 AA组成。1、 MBR中的磁盘分区表组成:1个字节的引导指示符、3个字节的开始磁头、开始扇区、开始柱面、1个字节的系统标识(分区类型)、3个字节的结束磁头、结束扇区、结束柱面、4个字节的该分区的起始位置、4个字节的该分区扇区的总数。(1)、系统激活标志为80H,非激活为00H。(2)、微软常见的文件系统即分区类型标识、主分区中FAT12为0

2、1H,FAT16为06H表示大于32M的分区而04H表示小于32M的分区,FAT32为0BH表示小于8.4G的分区而0CH却表示大于8.4G的分区,NTFS为07H;、扩展分区大于8.4G时用0FH而小于8.4G时用05H三、操作系统引导扇区(FAT32的DBR备份为第一个DBR向下数6个扇数NTFS的DBR备份为该分区扇区总数减去1.即该分区最后一个扇区。)(一)、操作系统引导扇区组成:跳转指令,厂商标志和操作系统版本号,主BPB参数表,扩展BPB参数表, DOS引导程序,结束标志几部分组成。1、FAT16分区中的DBR扇区由六部分组成:3个字节的跳转指令(EB 3C 90)、8个字节的厂商

3、标志及OS版本号、25字节的主BPB参数表、26个节的扩展BPB参数表、448个字节的DOS引导代码、2个字节的有效结束标志。(1)、FAT16分区的DBR中25个字节的主BPB参数表(主BPB参数是从DBR的12字节开始的)的含义详解:12至13字节为每扇区字节数,14字节为每簇的扇区数,15至16字节为dos保留扇区(第一个FAT表开始之前的扇区数即DBR到FAT的距离。),17字节为FAT表个数,18字节至19字节为根目录项数(根目录最多存放512个文件),20字节至21字节为扇区总数(小于32M的分区在此存放)22字节为媒体描述符(媒体描述符要用于MS-DOS FAT16磁盘),23字

4、节至24字节为每个FAT扇区数一般为250(只被FAT12/FAT16),25字节至26字节为每磁道扇区数63,27字节至28字节为磁头数(在一张1.44MB 3.5英寸的软盘上,本字段的值为 2),29字节至32字节为隐藏扇区数( 该分区上引导扇区之前的扇区数。在没有分区的媒体上它必须总是为0。),33字节至36字节为该分区的总扇区数(大于32M的分区在此存放),FAT16分区的DBR中26个字节的扩展BPB参数表(扩展BPB参数是从DBR的37字节开始的)的含义详解:37字节为BIOS设备一般是8038字节为保留39字节为扩展引导标志40字节至43字节为卷序列号,随机产生44字节至最54字

5、节为卷标55字节至62字节为文件系统格式的ASC码。2、FAT32分区中的DBR扇区由六部分组成:3个字节的跳转指令(EB 58 90)、8个字节的厂商标志及OS版本号、53字节的BPB参数表、26个节的扩展BPB参数表、420个字节的DOS引导代码、2个字节的有效结束标志。(1)、FAT32分区的DBR中53个字节的主BPB参数表(主BPB参数是从DBR的12字节开始的)的含义详解:12至13字节为每扇区字节数一般为51214字节为簇大小,即每个簇占用的扇区数,15至16字节为dos保留扇区(即DBR到FAT表的距离),17字节为FAT表的个数,18字节至19字节为根目录项数一般为00 00

6、(不用了。)20字节至21字节为小于此32M的分区扇区数一般为 00 00(不用了。)22字节为媒体描述符一般硬盘为F823字节至24字节为每FAT扇区数一般为00 00(不用了)25字节至26字节为每磁道扇区数,27字节至28字节为磁头数一般为255,29字节至32字节为隐含扇区数(从零到DBR的扇区数。),33字节至36字节为该分区的总扇区数,即分区的大小37字节至40字节为每个FAT扇区数41字节至42字节为:扩展标志(只被FAT32使用)该两个字节结构中各位的值为:位0-3:活动 FAT数(从0开始计数,而不是1). 只有在不使用镜像时才有效位4-6:保留位7:0值意味着在运行时FAT

7、被映射到所有的FAT 1值表示只有一个FAT是活动的位8-15:保留43字节至44字节为文件系统版本(只供FAT32使用,高字节是主要的修订号,而低字节是次要的修订号。本字段支持将来对该FAT32媒体类型进行扩展。如果本字段非零,以前的Windows版本将不支持这样的分区),45字节至48字节为引导目录的第一簇,即根目录所在的位置。49字节至最50字节为文件系统信息扇区号(只供FAT32使用, FAT32分区的保留区中的文件系统信息(File System Information, FSINFO)结构的扇区号。其值一般为1。在备份引导扇区(Backup Boot Sector)中保留了该FSI

8、NFO结构的一个副本,但是这个副本不保持更新)51字节至52字节为DBR的备份扇区(是从DBR所在的位置63向下数的扇区数即为备份扇区)53字节至65字节为保留FAT32分区的DBR中26个字节的扩展BPB参数表(扩展BPB参数表是从DBR的66字节开始的)的含义详解:66字节为物理驱动器号( 与BIOS物理驱动器号有关。软盘驱动器被标识为0x00,物理硬盘被标识为0x80,而与物理磁盘驱动器无关。一般地,在发出一个INT13h BIOS调用之前设置该值,具体指定所访问的设备。只有当该设备是一个引导设备时,这个值才有意义),67字节为保留 FAT32分区总是将本字段的值设置为0,68字节为扩展

9、引导标签( 本字段必须要有能被Windows 2000所识别的值0x28或0x29)69字节至72字节为分区序号( 在格式化磁盘时所产生的一个随机序号,它有助于区分磁盘),73字节至83字节为卷标(本字段只能使用一次,它被用来保存卷标号。现在,卷标被作为一个特殊文件保存在根目录中),84字节至91字节为系统ID(System ID) FAT32文件系统中一般取为FAT32,3、NTFS分区中的DBR扇区由六部分组成:3个字节跳转指令(EB 52 90)、8个字节的文件系统标识ASC码形式、73个字节的BPB参数表、426个字节的DOS引导代码、2个字节的有效结束标志。(如果NTFS分区中的DB

10、R损坏后用备份DBR恢复时要看紧挨DBR后NTLDR扇区在没有,否则不起作用。)(1)、NTFS分区的DBR中73个字节的BPB参数表(主BPB参数是从DBR的12字节开始的)的含义详解:12至13字节为每扇区字节数,14字节为每簇的扇区数,15至16字节为dos保留扇区为017字节至19字节常常为020字节至21字节为未使用22字节为介质描述符F823字节至24字节为未使用25字节至26字节为每磁道的扇区数27字节至28字节为磁头数29字节至32字节为隐含扇区数33字节至36字节未使用37字节至40字节常为80 00 80 0041字节至48字节为该分区的总扇区数49字节至56字节为主文件表

11、的起始簇号($MFT存储的起始位置)57字节至64字节为备份的主文件表起始簇号($MFTMirr存储的起始位置)65字节至68字节每个MFT的簇数69字节至72字节为每个索引的簇数73字节至80字节为分区的逻辑序列号81字节84字节为总和检验码四、NTFS文件存储原理偏移长度(字节)含义00-03H4FILE,文件记录的标志04-05H2更新的序列号的偏移06-07H2更新序列号的大小与数组08-0FH8日志文件的序列号10-11H2序列号12-13H2连接数,有多少个目录指向该文件14-15H2第一个属性的起始位置2003、xp为38 2000及NT,为3016-17H2标志(flags)0

12、0,表示文件已经删除,01表示正在使用,02表示这个文件记录为文件夹18-1BH4记录头和属性的总长度,也就是文件记录的总长度 4081C-1FH4分配给记录的长度20-27H8基本文件记录的文件索引号28-29H2下一个属性的ID30-31H2边界* 2C-2FH4文件记录的编号NTFS分区中数据的结构:($MFT存储的起始位置30H至37H)BOOT(DBRNTLDR)$MFT数据$MFT中前16个元文件的备份数据DBR备份 $MFT存储的起始位置30H至37H 8个字节,$MFTMirr存储的起始位置38H至3FH.$MFT_$MFTmirr_日记_卷标。六、MS的不同文件系统分区大小与

13、簇及每簇的扇区数关联性文件系统是操作系统与驱动器之间的接口,扇区是磁盘最小的物理存储单元。微软操作系统(DOS、WINDOWS等)中磁盘文件存储管理的最小单位叫做“簇”。( 簇(CLUST)的本意就是“一群”、“一组”,即一组扇区(一个磁道可以分割成若干个大小相等的圆弧,叫扇区)的意思。因为扇区的单位太小,因此把它捆在一起,组成一个更大的单位更方便进行灵活管理。簇的大小通常是可以变化的,是由操作系统在所谓“(高级)格式化”时规定的,因此管理也更加灵活。)每个簇可以包括2、4、8、16、32或64个扇区等。显然,簇是操作系统所使用的逻辑概念,而非磁盘的物理特性。 为了更好地管理磁盘空间和更高效地

14、从硬盘读取数据,操作系统规定一个簇中只能放置一个文件的内容,因此文件所占用的空间,只能是簇的整数倍;如果文件实际大小小于一簇,它也要占一簇的空间。如果文件实际大小大于一簇,根据逻辑推算,那么该文件就要占两个簇的空间。1、FAT16分区大小与对应簇的关系表:分区大小默认每簇的扇区数(SPC)默认簇大小(C)=32M且=64M且=128M且=256M且=512M且=1G且=2G且=4G且=8G且16G(仅用于NT4.0)512 SPC256K2、 FAT32分区大小与对应簇的关系表:分区大小默认每簇的扇区数(SPC)默认簇大小(C)=8G且=16G且=32G64 SPC32K3、 NTFS分区大小与对应簇的关系表:分区大小默认每簇的扇区数(SPC)默认簇大小(C)=512M且=1G且=2G且4G8 SPC

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 生活休闲 > 社会民生

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号