數(shù)據(jù)恢復(fù)基礎(chǔ)知識(shí)

數(shù)據(jù)恢復(fù)實(shí)訓(xùn)課件數(shù)據(jù)恢復(fù)入門知識(shí)儲(chǔ)備第一章現(xiàn)代存儲(chǔ)設(shè)備的結(jié)構(gòu)介紹第二章磁盤體系結(jié)構(gòu)介紹第三章第四章目錄ContentsWindows中的文件系統(tǒng)第五章數(shù)據(jù)恢復(fù)基本工具介紹數(shù)據(jù)恢復(fù)入門知識(shí)儲(chǔ)備數(shù)據(jù)丟失的原因2數(shù)據(jù)恢復(fù)3數(shù)據(jù)存儲(chǔ)的方式1數(shù)據(jù)（Data）是表示客觀事物的、可以被記錄和能夠被識(shí)別的各種符號(hào)，包括字符、符號(hào)、表格、聲音、圖形和圖像等，它們被計(jì)算機(jī)加工、處理后存儲(chǔ)在物理介質(zhì)上，在物理介質(zhì)上已十六進(jìn)制的方式存放。在我們?nèi)粘Ｉ钪兄饕斐蓴?shù)據(jù)丟失的原因有：1.系統(tǒng)硬件故障2.應(yīng)用程序或操作系統(tǒng)出錯(cuò)3.人為錯(cuò)誤4.電腦病毒/黑客入侵5.自然災(zāi)害數(shù)據(jù)恢復(fù)（Datarecovery）是指通過技術(shù)手段，將保存在臺(tái)式機(jī)硬盤、筆記本硬盤、服務(wù)器硬盤、存儲(chǔ)磁帶庫、移動(dòng)硬盤、U盤、數(shù)碼存儲(chǔ)卡、Mp3等等設(shè)備上丟失的電子數(shù)據(jù)進(jìn)行搶救和恢復(fù)的技術(shù)?！爆F(xiàn)代存儲(chǔ)設(shè)備的結(jié)構(gòu)介紹目前市面上主要的存儲(chǔ)設(shè)備有硬盤、U盤以及SD卡等?，F(xiàn)代存儲(chǔ)設(shè)備的結(jié)構(gòu)介紹硬盤硬盤從品牌上分類，有希捷、西部數(shù)據(jù)、邁拓（已被希捷收購）、三星、日立等，從尺寸上分類，有3.5英寸、2.5英寸、1.8英寸等。不管是哪一種品牌和尺寸的硬盤，都會(huì)有一個(gè)金屬的外殼保護(hù)著硬盤內(nèi)部的重要構(gòu)造，并且在外殼上貼有一個(gè)盤標(biāo)，注明該硬盤的品牌、型號(hào)、容量、產(chǎn)地、序列號(hào)等信息。一塊希捷3.5英寸硬盤的外觀及盤標(biāo)信息的含義如下：① Seagate:硬盤的品牌，即“希捷”。② ST4000NM0024:硬盤的型號(hào)。③ DATE:16153:硬盤的出廠日期。（2016年第15周第3天）④ PN:1HT178-050:硬盤的零件號(hào)。⑤ S/N:Z4F0DF19:硬盤的序列號(hào)。⑥ WWN：5000C50087617DC0:硬盤的唯一名字。⑦ 4000Gbytes:硬盤的容量。⑧ ProductsofThailand:硬盤的產(chǎn)地。（泰國）一塊西部數(shù)據(jù)3.5英寸硬盤的外殼及盤標(biāo)信息的含義如下。① WesternDigital:硬盤的品牌，即“西部數(shù)據(jù)”。② WWN:50014ee2B779A7B1,硬盤的唯一名字。③ RPM：7200Class硬盤的轉(zhuǎn)速。④ DCM:HARNKT2CHB：磁盤配置組件。⑤ DCX:UZ0YR0T66硬盤的組件配置參數(shù)。

⑥ SN:WCC6SDEU5HY1:硬盤的序列號(hào)。⑦ MDL:WD5000AZLX-00ZR6A0:硬盤的型號(hào)。⑧ DATE:11NOV2015:硬盤的出廠日期。⑨ R/N:771829自動(dòng)檢測分析及報(bào)告技術(shù)⑩ ProductsofThailand:硬盤的產(chǎn)地。（泰國）

在硬盤的背面安裝著一塊電路板，用來實(shí)現(xiàn)硬盤電路的控制和信息的傳輸。

硬盤通常有兩個(gè)接頭與電路板連接。其中，一個(gè)是為主軸電機(jī)供電的三相中心抽頭電纜接頭：另一個(gè)是與前置放大器/轉(zhuǎn)接器及音圈電纜傳遞信號(hào)的電纜接頭。硬盤中驅(qū)動(dòng)磁頭沿盤面徑向位置運(yùn)動(dòng)以尋找目標(biāo)磁道的系統(tǒng)叫磁頭定位驅(qū)動(dòng)系統(tǒng)。精密、快速的磁頭驅(qū)動(dòng)定位系統(tǒng)是實(shí)現(xiàn)高密度存儲(chǔ)高速存取的最基本的技術(shù)保障。定位驅(qū)動(dòng)系統(tǒng)由驅(qū)動(dòng)部件和運(yùn)載部件（也稱為磁頭臂）組成。在硬盤存取數(shù)據(jù)時(shí)，磁頭臂的運(yùn)動(dòng)驅(qū)動(dòng)磁頭進(jìn)入指定磁道的中心位置，并精確地跟蹤該磁道。定位驅(qū)動(dòng)系統(tǒng)的驅(qū)動(dòng)方式主要有步進(jìn)電機(jī)驅(qū)動(dòng)和音圈電機(jī)驅(qū)動(dòng)兩種。步進(jìn)電機(jī)驅(qū)動(dòng)系統(tǒng)的結(jié)構(gòu)緊湊，控制簡申，但是整個(gè)驅(qū)動(dòng)定位系統(tǒng)是開環(huán)控制.步進(jìn)電機(jī)靠脈沖信號(hào)驅(qū)動(dòng)，因此定位精度比較低.一般用于軟磁盤驅(qū)動(dòng)器和道密度不高的硬盤驅(qū)動(dòng)器，其道密度在300TPI左右。步進(jìn)電機(jī)驅(qū)動(dòng)的另一個(gè)問題是尋道時(shí)間比較長，因此，存取時(shí)間較長?，F(xiàn)在的磁盎普遍采用音圈電機(jī)驅(qū)動(dòng)和伺服盤定位。音圈電機(jī)是線性電機(jī)，可以直接驅(qū)動(dòng)磁頭作直線運(yùn)動(dòng)。整個(gè)驅(qū)動(dòng)定位系統(tǒng)是一個(gè)帶有速度和位置反饋的閉環(huán)調(diào)節(jié)自動(dòng)控制系統(tǒng)，驅(qū)動(dòng)速度快，而且定位稍度高。盤片盤片是一種鋁制的圓盤（少置是陶瓷或特殊玻璃制成的），它擁有最高精度等級(jí)的光滑表面（除了停泊區(qū)）。由于分子吸引力的緣故，如此光滑的表面會(huì)將磁盤和磁頭粘連在一起。為了防止磁盤與磁頭粘連在一起，盤片生產(chǎn)商在磁頭和磁盤接觸的區(qū)域使用了特殊的激光防滑齒。盤片具有特殊的磁性質(zhì)，因?yàn)樵诒P片上覆蓋了由真空沉積工藝生成的氧化鉻（磁性物質(zhì)）或鈷，氧化鉻覆蓋層具有更高的硬度和抗磨損性；而以前的硬盤則使用氧化鐵做磁性物質(zhì)，然后在上面捜蓋一層軟涂層，這種盤片非常容易損壞。硬盤中的盤片個(gè)數(shù)有多有少，最少一個(gè)，多則可以達(dá)到十個(gè)以上。磁頭硬盤讀取數(shù)據(jù)的關(guān)鍵部件，它的主要作用就是將存儲(chǔ)在硬盤盤片上的磁信息轉(zhuǎn)化為電信號(hào)向外傳輸，而它的工作原理則是利用特殊材料的電阻值會(huì)隨著磁場變化的原理來讀寫盤片上的數(shù)據(jù)，磁頭的好壞在很大程度上決定著硬盤盤片的存儲(chǔ)密度?，F(xiàn)代存儲(chǔ)設(shè)備的結(jié)構(gòu)介紹U盤U盤是USB(universalserialbus)盤的簡稱，據(jù)諧音也稱“優(yōu)盤”。U盤是閃存的一種，故有時(shí)也稱作閃盤。U盤與硬盤的最大不同是，它不需物理驅(qū)動(dòng)器，即插即用，且其存儲(chǔ)容量遠(yuǎn)超過軟盤，極便于攜帶

。U盤集磁盤存儲(chǔ)技術(shù)、閃存技術(shù)及通用串行總線技術(shù)于一體。USB的端口連接電腦，是數(shù)據(jù)輸入/輸出的通道；主控芯片使計(jì)算機(jī)將U盤識(shí)別為可移動(dòng)磁盤?，F(xiàn)代存儲(chǔ)設(shè)備的結(jié)構(gòu)介紹SD卡SD片的技術(shù)是由MultiMediaCard(MMC)格式發(fā)展而來，大小為24mmX32mmX2.1mm,長寬與MMC卡相同，只是比MMC卡厚0.7mm。SD卡在MMC卡7針接U的基礎(chǔ)上增加到9針接U，增加的兩根用做數(shù)據(jù)線.另外，由于SD卡的厚度比MMC卡大，所以兼容性方面，SD設(shè)備可以讀取MMC卡，但MMC設(shè)備無法讀取SD卡。數(shù)據(jù)恢復(fù)基本工具介紹WinHex里由X-Ways軟件技術(shù)公司（官方網(wǎng)站)開發(fā)的一款專業(yè)的磁盤編輯工具，該工具文如其名，是在Windows下運(yùn)行的十六進(jìn)制（hex）編輯軟件，能夠支持Windows98、Windows2000、WindowsXP、Windows2003等操作系統(tǒng)，該軟件功能非常強(qiáng)大，有著完善的分區(qū)管理功能和文件管理功能，能自動(dòng)分析分區(qū)表鏈和文件簇鏈，并能以不同的方式進(jìn)行不同程度的備份，直至克隆整個(gè)硬盤。作為一款磁盤編輯軟件，具有所有編輯軟件所具有的通用功能如查找、替換等，它能夠完整地顯示和編輯任何一種文件類型的二進(jìn)制內(nèi)容（用十六進(jìn)制方式顯示），其磁盤編輯器可以編輯物理磁盤或邏輯磁盤的任一扇區(qū)，內(nèi)存編輯器可以直接編輯內(nèi)存，是非常好用的一款磁盤編輯軟件。啟動(dòng)WinHex后首先彈出“啟動(dòng)中心”對(duì)話框。可以在“啟動(dòng)中心”對(duì)話框選擇所要打開的項(xiàng)目，這里包括“打開文件”、“打開磁盤”、“打開RAM(內(nèi)存）”和“打開文件夾”，也可以直接從“最近打開的數(shù)據(jù)”中選擇所要打開的項(xiàng)目。左邊是“方案”和“腳本”選項(xiàng)，“方案”為用戶有選擇地保留操作成果提供便利條件：“腳本”是一個(gè)批處理腳本編輯系統(tǒng)，可以調(diào)用WinHex己經(jīng)開發(fā)并集成的各種函數(shù)指令進(jìn)行編程工作，在“啟動(dòng)中心”對(duì)話框中的四個(gè)選項(xiàng)中，“打開磁盤”是數(shù)據(jù)恢復(fù)中最常用的一項(xiàng)，選擇“打開磁盤”后出現(xiàn)如圖3-2所示的對(duì)話框。WinHex“啟動(dòng)中心”對(duì)話框磁盤編輯器這里可以選擇打開“邏輯驅(qū)動(dòng)器”，也可以選擇打開“物理驅(qū)動(dòng)器”。選擇打開“物理驅(qū)動(dòng)器”后彈出WinHex的主窗口界面。對(duì)WinHex主窗口中各個(gè)區(qū)域定義如下:① 詳細(xì)資源面板：② 偏移量的縱坐標(biāo)；③ 偏移量的橫坐標(biāo)；④ 菜單欄；⑤ 工具欄；⑥ 十六進(jìn)制數(shù)據(jù)編輯區(qū)；⑦ 文本區(qū)；⑧ 底邊欄；WinHex主窗口介紹(1)詳細(xì)資源面板WinHex主窗口的左邊是“詳細(xì)資源面板”，分為6個(gè)部分：硬盤參數(shù)、狀態(tài)、容量：、當(dāng)前位置、窗口情況和剪貼板情況。① 硬盤參數(shù)：包括硬盤的型號(hào)、序列號(hào)、固件版本號(hào)和接口類型。② 狀態(tài)：狀態(tài)為“原始的”。如果對(duì)內(nèi)容進(jìn)行過修改，這里就會(huì)顯示“被修改”。此外還有撤銷級(jí)別（0)、反向撤銷（由“n/a”“鍵盤輸入”).③ 容量：包括總?cè)萘浚?GB/1073741824字節(jié)，每扇區(qū)512字節(jié)，放棄尾部扇區(qū)2990(這里指因?yàn)榉謪^(qū)粒度的原因?qū)е掠脖P最后一個(gè)分區(qū)之后剩余的扇區(qū)）。④ 當(dāng)前位置：包括當(dāng)前位置之前的分區(qū)數(shù)、有關(guān)的扇區(qū)號(hào)。⑤ 窗口情況：包括當(dāng)前窗口號(hào)、窗口數(shù)、模式、字符集設(shè)盟、偏移地址、每一頁的字節(jié)數(shù)⑥ 剪貼板情況：包括剪貼板狀態(tài)、臨時(shí)文件夾可用大?。ㄖ饕Q于所在分區(qū)的空閑空間）。這些參數(shù)對(duì)把握整個(gè)硬盤的情況非常有幫助，其屬性值隨打開內(nèi)容的不同而變化，另外，在其上單擊鼠標(biāo)右鍵，可將“詳細(xì)資源面板”與編輯窗口對(duì)換位置，或關(guān)閉“詳細(xì)資源面板”(2)“訪問”功能菜單編輯窗口的右上角有一個(gè)向下的三角形，這就是“訪問”功能菜單，“訪問”功能菜單是恢復(fù)分區(qū)的最好工具，它把每一個(gè)分區(qū)按照順序排成一串。如果分區(qū)表有問題，該處也會(huì)有一定的反映，而且通過這個(gè)菜單可以直接?xùn)丝捶謪^(qū)文件系統(tǒng)類型、打開各個(gè)分區(qū)、直接轉(zhuǎn)移到各個(gè)分區(qū)的分區(qū)表、開始扇區(qū)等，并都有相應(yīng)模板，可以非常直觀地顯示分區(qū)和啟動(dòng)扇區(qū)參數(shù)，而且可直接在模板上修改、創(chuàng)建備份。對(duì)于每個(gè)區(qū)域，軟件都提供有右鍵彈出菜單。如在編輯區(qū)單擊鼠標(biāo)右鍵，會(huì)彈出定義選塊起始和編輯菜單。(3) WinHex的偏移量（Offset)偏移置（Offset)是指某個(gè)地址相對(duì)于一個(gè)指定的起始地址所發(fā)生的位移，也就是“距離”。WinHex的偏移量由橫坐標(biāo)和縱坐標(biāo)構(gòu)成，用來具體定位十六進(jìn)制數(shù)據(jù)編輯區(qū)中每個(gè)字節(jié)的地址。偏移置的橫坐標(biāo)和縱坐標(biāo)中的數(shù)值默認(rèn)為十六進(jìn)制，如果需要改成十進(jìn)制，只需在縱坐標(biāo)處的任意位置單擊鼠標(biāo)左鍵即可，(4) WinHex的十六進(jìn)制數(shù)據(jù)編輯區(qū)當(dāng)用WinHex打幵一個(gè)編輯目標(biāo)時(shí)，編輯目標(biāo)中存儲(chǔ)的所有數(shù)據(jù)都會(huì)以十六進(jìn)制的形式顯示在WinHex的十六進(jìn)制數(shù)據(jù)編輯區(qū)。編輯區(qū)的右側(cè)有滾動(dòng)條，可以上下拖動(dòng)，這樣就可以方便地査看和編輯這些數(shù)據(jù)了。(5) 文本區(qū)文本區(qū)的作用是將十六進(jìn)制數(shù)據(jù)編輯區(qū)中的數(shù)據(jù)按照一定的編碼解釋為相應(yīng)的字符。這里的編碼種類是可以在菜單中選擇的。(6) 底邊欄主窗口的最下邊一欄是一些非常有用的輔助信息，如左下角的“0/2097152”是指當(dāng)前的邏輯扇區(qū)號(hào)/總扇區(qū)數(shù)。“偏移地址”是光標(biāo)在十六進(jìn)制數(shù)據(jù)編輯區(qū)中停留處所在字節(jié)的偏移地址，后面等號(hào)處的數(shù)值是該光標(biāo)處十六進(jìn)制字節(jié)的十進(jìn)制值?！斑x塊”后的數(shù)據(jù)是指在十六進(jìn)制數(shù)據(jù)編輯區(qū)中所選擇的一片數(shù)據(jù)的起始偏移地址和結(jié)束偏移地址；“大小”后的數(shù)據(jù)是選擇的數(shù)據(jù)塊中包含的字節(jié)數(shù)。這些區(qū)域也都有相應(yīng)的快捷方式，如單擊扇區(qū)/總扇區(qū)區(qū)域的任一地方，都會(huì)彈出“跳至扇區(qū)”對(duì)話框。單擊“偏移地址”區(qū)域，會(huì)彈出“轉(zhuǎn)到偏移量”對(duì)話框。單擊“選塊”區(qū)域會(huì)彈出“定義選塊”對(duì)話框，。Winhex工具欄介紹WinHex工具欄中排列的都是WinHex最常用的一些功能，這些功能也是WinHex的使用基礎(chǔ).我們用大寫字母A?Y對(duì)應(yīng)給每一個(gè)功能編號(hào)，進(jìn)行一一講解，A、“新建”。單擊“新建”圖標(biāo)，出現(xiàn)“建立新文件”對(duì)話框，對(duì)話框中提示輸入要?jiǎng)?chuàng)建文件的大小，單位可以是字節(jié)、KB、MB、GB。如輸入512Bytes,單擊“OK”按鈕就創(chuàng)建了一個(gè)以“未命名”為文件名、大小為512個(gè)零值字的文件。此時(shí)就可以為這些零字節(jié)賦予有意義的值，然后另存為文件，B、“打開”單擊“打開”圖標(biāo)，出現(xiàn)一個(gè)文件選擇對(duì)話框，這時(shí)可以選擇一個(gè)任意文件，然后單擊右下角的“打開”按鈕，便可以瀏覽該文件的十六進(jìn)制編碼。打開文件后就可以進(jìn)行各種修改、査找、替換及銷毀工作了。需要注意的是，普通文件被打開后將不再按照扇區(qū)的結(jié)構(gòu)進(jìn)行顯示，而是采用“頁面”方式，就無法看到原本扇區(qū)之間的分割線。單個(gè)頁面沒有固定大小，純粹是顯示單位。如果打開的是一個(gè)原始磁盤鏡像文件，按頁面瀏覽就會(huì)產(chǎn)生諸多不便，會(huì)讓分析、定位扇區(qū)及解釋文件系統(tǒng)等常規(guī)工作無法完成，這時(shí)就需要將此文件強(qiáng)制按照每512字節(jié)/扇區(qū)進(jìn)行處理，WinHex的介質(zhì)管理器就會(huì)視此文件為一個(gè)標(biāo)準(zhǔn)磁盤，從而激活許多針對(duì)磁盤操作的特殊功能。該功能在菜單欄的“專業(yè)工具”“將鏡像文件轉(zhuǎn)換為磁盤”這個(gè)選項(xiàng)中，C、保存。在WinHex的默認(rèn)編輯模式，數(shù)據(jù)修改后不是直接存盤，而是寫入臨時(shí)文件中，編輯好后如果需要存盤，就單擊一下“保存”圖標(biāo)即可。WinHex的編輯模式有三種，分別為只讀模式、默認(rèn)編輯模式、替換模式：在只讀模式下不能修改只能查看；在替換模式下，所有的修改即時(shí)寫入立即生效。編輯模式可以在菜單欄的“選項(xiàng)”

“編輯模式”這個(gè)選項(xiàng)中設(shè)置，E.打開文件夾。這是WinHex的特色功能之一，可以對(duì)某一文件夾內(nèi)某類型的文件進(jìn)行批量展開，以方便后續(xù)的同步、對(duì)比、批雖修改等工作。打開此功能后出現(xiàn)打開文件夾對(duì)話框打開文件夾對(duì)話框?qū)I(yè)工具文件屬性編輯模式F、撤銷。該功能比較好理解，當(dāng)我們做了某些錯(cuò)誤的修改，想更正回來，就可以用到，這與Word軟件中的撤銷是一個(gè)意思，但是已經(jīng)保存的修改就不能撤銷了，G、復(fù)制扇區(qū)。該功能是最常用到的選項(xiàng)之一。在數(shù)據(jù)恢復(fù)工作中往往需要選定—定的字節(jié)并復(fù)制到合適的地方。例如，需要把6號(hào)扇區(qū)的內(nèi)容復(fù)制到0號(hào)扇區(qū)，可以先把6號(hào)扇區(qū)的全部字節(jié)選中，選中的方法可以采用拖動(dòng)鼠標(biāo)的方式選中整個(gè)扇區(qū)的字節(jié)，也可以采用定義“選塊開始”和“選塊結(jié)尾”的方式選中整個(gè)扇區(qū)的字節(jié)，選中后單擊一下“復(fù)制扇區(qū)”閣標(biāo)，就可以把選中的信息存入剪貼板中了，以備隨后的操作使用這些信息。H、寫入剪貼板。這是指將己經(jīng)復(fù)制到剪貼板中的數(shù)據(jù)寫入目標(biāo)位置。例如，剛才把6號(hào)扇區(qū)的全部字節(jié)選中后，返回到0號(hào)扇區(qū)，光標(biāo)放在該扇區(qū)第—個(gè)字節(jié)處，單擊鼠標(biāo)“寫入剪貼板”圖標(biāo)，就可以把6號(hào)扇區(qū)的信息寫入0號(hào)扇區(qū)了。I、修改數(shù)據(jù)。該功能可以改變數(shù)據(jù)的排列規(guī)律，打開此功能后出現(xiàn)修改數(shù)據(jù)對(duì)話框修改數(shù)據(jù)“修改數(shù)據(jù)”功能應(yīng)用到了邏輯數(shù)學(xué)的許多知識(shí)，具體功能有給單個(gè)或批量字節(jié)做指定加數(shù)（整數(shù)，可以是正負(fù)值或是16進(jìn)制數(shù)值）的加法、給單個(gè)或批置字節(jié)做反轉(zhuǎn)位(0?255元素集合內(nèi)的補(bǔ)碼運(yùn)算)、16位字節(jié)交換（每兩個(gè)字節(jié)左右交換位置)、32位字節(jié)交換（每四個(gè)字節(jié)左右交換位置）、XOR運(yùn)算、OR運(yùn)算、AND運(yùn)算、循環(huán)左移一位運(yùn)算、循環(huán)右移一位運(yùn)算、位移運(yùn)算、ROT13運(yùn)算和左旋圓運(yùn)算。J、査找文本。該功能的主要作用就是搜索、定位操作對(duì)象中存在的特定字符串。很多文件系統(tǒng)中的特殊結(jié)構(gòu)及大多數(shù)文件，如Office文檔、數(shù)據(jù)庫文件等，都是以某種字符串作為起始，此時(shí)只要査找這些字符串就可以在字節(jié)的海洋中輕易找到我們需要的結(jié)構(gòu)。在對(duì)話框的最上方是一個(gè)文本填寫框，用來輸入想要搜索的字符。下方都是為搜索任務(wù)量身定做的各種條件，用戶可以選擇搜索目標(biāo)大小寫的匹配要求、兩大字符編碼(ASCII和UNICODE)類型，可以在搜索表達(dá)式中加入一個(gè)通配符，可以要求完整語句搜索，可以選擇搜索方向或全局搜索，可以在指定范圍內(nèi)為搜索對(duì)象確定方位（偏移計(jì)算）、可以選擇只在選塊中搜索，可以在所有打開的窗口中進(jìn)行搜索，可以給出并保存搜索列表。其中“條件：偏移計(jì)算”這個(gè)設(shè)置很重要。這里設(shè)定得越精確，在搜索中效率越高。這個(gè)設(shè)置中有兩個(gè)表框需要我們填寫，第一個(gè)表框的含義是搜索單元包含的字節(jié)數(shù)(十進(jìn)制），第二個(gè)表框的含義是搜索的目標(biāo)字符在搜索單元中的起始偏移螢。例如，在一個(gè)硬盤某個(gè)扇區(qū)的前四個(gè)字節(jié)處有“file”這四個(gè)ASCII的字符，但我們不知道它在哪個(gè)扇區(qū)，需要去搜索，那么我們把“file”這四個(gè)ASCII的字符填入文本填寫框，“條件：偏移計(jì)算”的第一個(gè)表框填寫“512”，因?yàn)槲覀冃枰陨葏^(qū)為單位搜索，而每個(gè)扇區(qū)的字節(jié)數(shù)為512；第二個(gè)表框填寫“0”，因?yàn)樗阉髂繕?biāo)“file”這四個(gè)ASCII的字符開始于扇區(qū)的第一個(gè)字節(jié)處。K、査找十六進(jìn)制數(shù)值。這與“査找文本”用法非常相似L、同步搜索。該功能可以實(shí)現(xiàn)多字符串的同時(shí)搜索，也就是說它可以同時(shí)完成多個(gè)搜索任務(wù)。同步搜索的對(duì)象目前僅限于文本，文木框用來輸入字符串。這里對(duì)格式有一定要求，如果要進(jìn)行多任務(wù)搜索，每個(gè)任務(wù)必須占用獨(dú)立的一行。此外還可以從外部導(dǎo)入文本文件來定義搜索內(nèi)容。M、轉(zhuǎn)到偏移量。這是一個(gè)用來定位的跳轉(zhuǎn)工具，用法非常靈活。同步搜索查找十六進(jìn)制數(shù)最上面“新位置”表框填入想跳轉(zhuǎn)的目標(biāo)位置偏移值，這個(gè)值可以是十六進(jìn)制，也可以是十進(jìn)制，這里進(jìn)制的選擇跟主窗口的偏移量所用進(jìn)制保持一致。另外，這個(gè)值的單位可以選擇字節(jié)、字、雙字、扇區(qū)。跳轉(zhuǎn)的目標(biāo)位置可以選擇四個(gè)起始點(diǎn)，分別為從最開始處、從光標(biāo)當(dāng)前所在位置往后跳轉(zhuǎn)、從光標(biāo)當(dāng)前所在位置往前跳轉(zhuǎn)、從結(jié)尾處往前跳轉(zhuǎn)*N、跳至扇區(qū)。該功能的使用可謂是最多的，該功能用于絕對(duì)扇區(qū)號(hào)的跳轉(zhuǎn)，其中的“邏輯扇區(qū)”是指LBA地址的扇區(qū)號(hào)，“物理”則指C/H/S地址。O、向前。指讓光標(biāo)回到上一步的操作位置處。P、向后。指讓光標(biāo)回到后一步的操作位置處。Q、打開磁盤。該功能在WinHex中使用也很多。對(duì)話框中可以根據(jù)需求選擇需要編輯的邏輯磁盤或者物理磁盤。R、磁盤克隆。該工具可以很方便地將一塊硬盤或一個(gè)分區(qū)克隆到另一個(gè)硬盤上或做成鏡像文件。對(duì)話框中的來源和目標(biāo)可以是硬盤、分區(qū)或者文件，可以根據(jù)實(shí)際情況進(jìn)行進(jìn)擇?？寺r(shí)還能夠選擇完整復(fù)制或者自定義扇區(qū)進(jìn)行復(fù)制，另外，如果介質(zhì)中有壞扇區(qū)，司以選擇跳過的數(shù)目，還能定義壞扇區(qū)所對(duì)應(yīng)的目標(biāo)盤中填入的信息值。S、打開RAM。該功能也就是打幵內(nèi)存。這是一個(gè)很強(qiáng)大的功能，它可以對(duì)計(jì)算機(jī)系統(tǒng)當(dāng)前正在運(yùn)行的進(jìn)程進(jìn)行查看和編輯。T、計(jì)算器。該功能是直接調(diào)用操作系統(tǒng)下的計(jì)算器工具來進(jìn)行計(jì)算。U、常規(guī)設(shè)置。在該選項(xiàng)中可以進(jìn)行很多基本的設(shè)置。Y、目錄瀏覽器。“目錄瀏覽器”是對(duì)“磁盤快照”后所列目錄的設(shè)置。R-StudioR-Studio是功能超強(qiáng)的數(shù)據(jù)恢復(fù)、反刪除工具，采用全新恢復(fù)技術(shù)，為使用FAT12/16/32、NTFS、NTFS5(Windows2000系統(tǒng))和Ext2FS(Linux系統(tǒng))分區(qū)的磁盤提供完整數(shù)據(jù)維護(hù)解決方案！同時(shí)提供對(duì)本地和網(wǎng)絡(luò)磁盤的支持，此外大量參數(shù)設(shè)置讓高級(jí)用戶獲得最佳恢復(fù)效果。R-Studio新增加的版本增加了RAID重組功能，可以虛擬重組的RAID類型包括，RAID0，RAID5，其中重組RAID5可以支持缺少一塊硬盤。具體功能有：采用Windows資源管理器操作界面；R-studio最強(qiáng)大的功能就是掃描磁盤，首先我們選擇磁盤，使用鼠標(biāo)右鍵點(diǎn)擊后選擇掃描的功能，選擇對(duì)應(yīng)的分區(qū)大小和分區(qū)類型進(jìn)行掃描即可。DiskGeniusDiskGenius是一款硬盤分區(qū)及數(shù)據(jù)恢復(fù)軟件。它是在最初的DOS版的基礎(chǔ)上開發(fā)而成的。Windows版本的DiskGenius軟件，除了繼承并增強(qiáng)了DOS版的大部分功能外(少部分沒有實(shí)現(xiàn)的功能將會(huì)陸續(xù)加入)，還增加了許多新的功能。如：已刪除文件恢復(fù)、分區(qū)復(fù)制、分區(qū)備份、硬盤復(fù)制等功能。另外還增加了對(duì)VMWare、VirtualPC、VirtualBox虛擬硬盤的支持。對(duì)Diskgenius主窗口中各個(gè)區(qū)域定義如下:菜單欄快捷工具欄硬盤參數(shù)欄磁盤列表分區(qū)參數(shù)表扇區(qū)信息表菜單欄主要包含：文件、硬盤、分區(qū)、工具、查看、幫助。硬盤工具欄：備份分區(qū)表：備份各個(gè)分區(qū)的簡要信息，還原時(shí)不會(huì)還原分區(qū)內(nèi)數(shù)據(jù)，只還原原來備份時(shí)的分區(qū)樣子還原分區(qū)表：還原各個(gè)分區(qū)的簡要信息轉(zhuǎn)換分區(qū)表類型為MBR格式：轉(zhuǎn)換分區(qū)格式調(diào)整硬盤參數(shù)：更改磁頭、扇區(qū)和總扇區(qū)數(shù)壞道檢測與修復(fù)：修復(fù)磁盤壞道快速分區(qū)：快速進(jìn)行多個(gè)分區(qū)的規(guī)劃刪掉所有分區(qū)：刪除分區(qū)分區(qū)工具欄：格式化當(dāng)前分區(qū)：選中分區(qū)對(duì)其進(jìn)行格式化操作刪除當(dāng)前分區(qū)：刪除當(dāng)前所存在的分區(qū)表隱藏當(dāng)前分區(qū)：隱藏當(dāng)前所存在的分區(qū)表激活當(dāng)前分區(qū)：將該分區(qū)設(shè)置為引導(dǎo)分區(qū)取消分區(qū)的激活狀態(tài)：將該分區(qū)設(shè)置為非引導(dǎo)分區(qū)轉(zhuǎn)換成主分區(qū)：轉(zhuǎn)換成主分區(qū)轉(zhuǎn)換成邏輯分區(qū)：轉(zhuǎn)換成邏輯分區(qū)設(shè)置卷標(biāo)：設(shè)置卷標(biāo)名字工具菜單欄：檢查分區(qū)表錯(cuò)誤：檢查分區(qū)表項(xiàng)參數(shù)是否正確搜索已丟失分區(qū)：掃描分區(qū)內(nèi)的丟失分區(qū)表恢復(fù)已刪除文件：恢復(fù)已刪除文件克隆分區(qū)：對(duì)分區(qū)進(jìn)行克隆克隆磁盤：對(duì)磁盤進(jìn)行克隆清除扇區(qū)數(shù)據(jù)：對(duì)磁盤進(jìn)行底層抹除磁盤體系結(jié)構(gòu)介紹硬盤在邏輯上被劃分為磁道、柱面以及扇區(qū)。1.盤面

硬盤的盤片一般用鋁合金材料做基片，高速硬盤也可能用玻璃做基片。硬盤的每一個(gè)盤片都有兩個(gè)盤面（Side），即上、下盤面，一般每個(gè)盤面都會(huì)利用，都可以存儲(chǔ)數(shù)據(jù)，成為有效盤片，也有極個(gè)別的硬盤盤面數(shù)為單數(shù)。每一個(gè)這樣的有效盤面都有一個(gè)盤面號(hào)，按順序從上至下從“0”開始依次編號(hào)。在硬盤系統(tǒng)中，盤面號(hào)又叫磁頭號(hào)，因?yàn)槊恳粋€(gè)有效盤面都有一個(gè)對(duì)應(yīng)的讀寫磁頭。硬盤的盤片組在2～14片不等，通常有2～3個(gè)盤片，故盤面號(hào)（磁頭號(hào)）為0～3或0～5。

2.磁道

磁盤在格式化時(shí)被劃分成許多同心圓，這些同心圓軌跡叫做磁道（Track）。磁道從外向內(nèi)從0開始順序編號(hào)。硬盤的每一個(gè)盤面有300～1024個(gè)磁道，新式大容量硬盤每面的磁道數(shù)更多。信息以脈沖串的形式記錄在這些軌跡中，這些同心圓不是連續(xù)記錄數(shù)據(jù)，而是被劃分成一段段的圓弧，這些圓弧的角速度一樣。由于徑向長度不一樣，所以，線速度也不一樣，外圈的線速度較內(nèi)圈的線速度大，即同樣的轉(zhuǎn)速下，外圈在同樣時(shí)間段里，劃過的圓弧長度要比內(nèi)圈劃過的圓弧長度大。每段圓弧叫做一個(gè)扇區(qū)，扇區(qū)硬盤邏輯結(jié)構(gòu)從“1”開始編號(hào)，每個(gè)扇區(qū)中的數(shù)據(jù)作為一個(gè)單元同時(shí)讀出或?qū)懭搿Ｒ粋€(gè)標(biāo)準(zhǔn)的3.5寸硬盤盤面通常有幾百到幾千條磁道。磁道是“看”不見的，只是盤面上以特殊形式磁化了的一些磁化區(qū)，在磁盤格式化時(shí)就已規(guī)劃完畢。

3.柱面

所有盤面上的同一磁道構(gòu)成一個(gè)圓柱，通常稱做柱面（Cylinder），每個(gè)圓柱上的磁頭由上而下從“0”開始編號(hào)。數(shù)據(jù)的讀/寫按柱面進(jìn)行，即磁頭讀/寫數(shù)據(jù)時(shí)首先在同一柱面內(nèi)從“0”磁頭開始進(jìn)行操作，依次向下在同一柱面的不同盤面即磁頭上進(jìn)行操作，只在同一柱面所有的磁頭全部讀/寫完畢后磁頭才轉(zhuǎn)移到下一柱面，因?yàn)檫x取磁頭只需通過電子切換即可，而選取柱面則必須通過機(jī)械切換。電子切換相當(dāng)快，比在機(jī)械上磁頭向鄰近磁道移動(dòng)快得多，所以，數(shù)據(jù)的讀/寫按柱面進(jìn)行，而不按盤面進(jìn)行。也就是說，一個(gè)磁道寫滿數(shù)據(jù)后，就在同一柱面的下一個(gè)盤面來寫，一個(gè)柱面寫滿后，才移到下一個(gè)扇區(qū)開始寫數(shù)據(jù)。讀數(shù)據(jù)也按照這種方式進(jìn)行，這樣就提高了硬盤的讀/寫效率。Windows中的文件系統(tǒng)硬盤是用來存儲(chǔ)數(shù)據(jù)的，為了使用和管理的方便，這些數(shù)據(jù)以文件的形式存儲(chǔ)在硬盤上。任何操作系統(tǒng)都有自己的文件管理系統(tǒng)，不同的文件系統(tǒng)又有各自不同的邏輯組織方式，要對(duì)硬盤進(jìn)行高效的管理并對(duì)數(shù)據(jù)進(jìn)行有效恢復(fù)，就要求用戶必須深入了解文件在硬盤上是如何存儲(chǔ)的。微軟的文件系統(tǒng)主要有FAT、NTFS和ExFAT:FAT文件系統(tǒng)有FAT12（已淘汰）、FAT16（已淘汰）、FAT32三種類型；NTFS是目前微軟系統(tǒng)中主流的文件系統(tǒng)；ExFAT則是微軟2006年推出的一種新的文件系統(tǒng)，主要針對(duì)于移動(dòng)介質(zhì)。那么接下來我們將主要介紹FAT32、NTFS、EXFAT這三個(gè)主流的系統(tǒng)類型。常見分區(qū)類型目前主流的操作系統(tǒng)Windows,它能夠支持的分區(qū)結(jié)構(gòu)包括MBR磁盤分區(qū)、動(dòng)態(tài)磁盤分區(qū)及GPT磁盤分區(qū)：它能夠支持的文件系統(tǒng)結(jié)構(gòu)包括FAT12、FAT16、FAT32、NTFS和ExFAT。MBR磁盤分區(qū)類型MBR磁盤分區(qū)是使用最為廣泛的一種分區(qū)結(jié)構(gòu)，它也被稱為DOS分區(qū)，但它并不是一個(gè)僅僅應(yīng)用于微軟的操作系統(tǒng)平臺(tái)中的分區(qū)結(jié)構(gòu)。Linux系統(tǒng)、基于x86架構(gòu)的UNIX系統(tǒng)都能夠支持MBR磁盤分區(qū)。1.MBR的結(jié)構(gòu)MBR扇區(qū)位于整個(gè)硬盤的第一個(gè)扇區(qū)：按照C/H/S地址描述，即0柱面0磁頭1扇區(qū)；按照LBA地址描述即0扇區(qū)。它是一個(gè)特殊而重要的扇區(qū)。在總共512字節(jié)的MBR扇區(qū)中，由四部分結(jié)構(gòu)組成：(1)引導(dǎo)程序引導(dǎo)程序占用其中的前440字節(jié)，其地址在偏移0?偏移1B7H處。(2)Windows磁盤簽名Windows磁盤標(biāo)簽占用引導(dǎo)程序后的4字節(jié)，其地址在偏移1B8H?偏移1BBH處，是Windows系統(tǒng)對(duì)硬盤初始化時(shí)寫入的一個(gè)磁盤標(biāo)簽。(3) 分區(qū)表偏移1BEH?偏移1FDH的64字節(jié)為DPT(DiskPartitionTable,硬盤分區(qū)表），這是MBR中非常重要的一個(gè)結(jié)構(gòu)。(4) 結(jié)束標(biāo)志扇區(qū)最后的兩個(gè)字節(jié)“55AA”（偏移1FEH?偏移1FFH)是MBR的結(jié)束標(biāo)志用WinHex査看一塊硬盤的MBR扇區(qū).引導(dǎo)代碼計(jì)算機(jī)主板的BIOS程序在自檢通過后，會(huì)將MBR扇區(qū)整個(gè)讀取到內(nèi)存中，然后將執(zhí)行權(quán)交給內(nèi)存中MBR扇區(qū)的引導(dǎo)程序。引導(dǎo)程序首先會(huì)將自己整個(gè)搬到一個(gè)較為安全的地址中，目的是防止自己被隨后讀入的其他程序覆蓋，因?yàn)橐龑?dǎo)程序一旦被破壞，就會(huì)引起計(jì)算機(jī)死機(jī)，從而無法正常引導(dǎo)系統(tǒng)。系統(tǒng)下一步就會(huì)判斷讀入內(nèi)存的MBR扇區(qū)的最后兩個(gè)字節(jié)是否為“55AA”，如果不是則報(bào)錯(cuò)，在屏幕上會(huì)列出錯(cuò)誤信息。如果是“55AA”，接下來引導(dǎo)程序會(huì)到分區(qū)表中査找是否有活動(dòng)分區(qū)，若有活動(dòng)分區(qū)，則判斷活動(dòng)分區(qū)的引導(dǎo)扇區(qū)在磁盤中的地址，并將該引導(dǎo)扇區(qū)讀入內(nèi)存及判斷其合法性，如果是一個(gè)合法的引導(dǎo)扇區(qū)，隨后的引導(dǎo)權(quán)就交給這個(gè)引導(dǎo)扇區(qū)去引導(dǎo)操作系統(tǒng)了，MBR引導(dǎo)程序的使命也就完成了。磁盤簽名Windows磁盤簽名是Windows系統(tǒng)在對(duì)硬盤做初始化時(shí)寫入的一個(gè)標(biāo)簽，它是MBR扇區(qū)不可或缺的一個(gè)組成部分。Windows系統(tǒng)依靠這個(gè)簽名來識(shí)別硬盤，如果硬盤的簽名丟失，Windows系統(tǒng)就會(huì)認(rèn)為該硬盤沒有初始化。分區(qū)表項(xiàng)每塊硬盤在使用前都要先進(jìn)行分區(qū)，也就是將硬盤劃分為一個(gè)個(gè)的邏輯區(qū)域。每一個(gè)分區(qū)都有一個(gè)確定的起止位置。在起止位罝之間的那些連續(xù)的扇區(qū)都?xì)w該分區(qū)所有，不同分區(qū)的起止位置互不交錯(cuò)。MBR磁盤的分區(qū)形式一般有3種，即主分區(qū)、擴(kuò)展分區(qū)和非DOS分區(qū)。主分區(qū)又稱為主DOS分區(qū)（PrimaryDOSPartition)，目前也稱為主磁盤分區(qū)。擴(kuò)展分區(qū)又稱為擴(kuò)展DOS分區(qū)（ExtendedDOSPartition)。非DOS分區(qū)（Non-DOSPartition)是一種特殊的分區(qū)形式，它是將硬盤中的一塊區(qū)域單獨(dú)劃分出來供另一個(gè)操作系統(tǒng)使用?！獕K硬盤最多可以有4個(gè)主磁盤分區(qū)，被激活的主磁盤分區(qū)稱為活動(dòng)分區(qū),活動(dòng)分區(qū)在—塊硬盤中只能有一個(gè)。字節(jié)偏移字節(jié)長度值字節(jié)含義0x01BE1字節(jié)0x80引導(dǎo)標(biāo)志

(BowIndicator),說明該分區(qū)是否是活動(dòng)分區(qū)0x01BF1字節(jié)0x02開始磁頭（StartHead)0x01C06位0x03起始崩區(qū)（StartSector):只用了0?5位。后面的兩位（笫6位和笫7位）被開始柱面字段所使用0x01C110位0x00起始柱而（StartCylinder):占用1字節(jié)，最大值為10230x01C21字節(jié)0x0C分區(qū)的類犁描述（Partitiontypeindicator):定義了分區(qū)的類型.0x01C31字節(jié)0xFE結(jié)束磁頭（EndHead）0x01C46位0x3F結(jié)束扇區(qū)（EndSector):只使用了0?5位。最后兩位（第6、7位）被結(jié)束柱面字段所使用0x01C510位0x81結(jié)束柱面（EndCylinder），結(jié)束柱面是一個(gè)10位的數(shù)，最大值為1023。0x01C64字節(jié)0x00000080本分區(qū)之前使用的胡區(qū)數(shù)（Sectorsprecedingpartition):指從該磁盤開始到該分區(qū)幵始之間的偏移置，以崩區(qū)數(shù)來表示0x01CA4字節(jié)0x001FE800分區(qū)的總扇區(qū)數(shù)(Sectorsinpartition）指該分區(qū)所包含的期區(qū)總數(shù)剩余3個(gè)表單48字節(jié)。。。。。?；顒?dòng)與非活動(dòng)分區(qū)分區(qū)表項(xiàng)的第一個(gè)字節(jié)為分區(qū)的引導(dǎo)標(biāo)志，只能是00H和80H。80H為可引導(dǎo)的活動(dòng)分區(qū)，00H為不可引導(dǎo)的非活動(dòng)分區(qū)。其余值對(duì)Microsoft而言為非法值。字節(jié)讀取順序大于1字節(jié)的數(shù)值被以低字節(jié)在前的存儲(chǔ)格式（LittieEndian)順序保存下來。例如，“本分區(qū)之前使用的扇區(qū)數(shù)”字段的值3F000000H就是LittleEndian格式的，按照習(xí)慣的高位在前的方式表示為0000003FH，這個(gè)數(shù)值的十進(jìn)制值為63。磁頭、柱面、扇區(qū)在MBR分區(qū)中這些參數(shù)不影響分區(qū)正常啟動(dòng)，將不詳細(xì)解釋常見分區(qū)類型00HDOS或WINDOWS不允許使用，視為非法06HFAT16大于32MB07HHPFS/NTFSOBHWINDOWS95FAT32OCHWINDOWS95FAT320FHWINDOWS95Extended(大于8G)83HLinux分區(qū)起始位置與分區(qū)大小分區(qū)的起始位置是根據(jù)描述分區(qū)所在扇區(qū)而定的，而分區(qū)大小則通過該分區(qū)中的分區(qū)大小參數(shù)得知。擴(kuò)展分區(qū)由于MBR僅僅為分區(qū)表保留了64字節(jié)的存儲(chǔ)空間，而每個(gè)分區(qū)的參數(shù)占據(jù)16字節(jié)，所以MBR扇區(qū)中總計(jì)可以存儲(chǔ)4個(gè)分區(qū)表項(xiàng)的數(shù)據(jù)。如果說邏輯磁盤就是分區(qū)，則硬盤最多只能分出4個(gè)邏輯磁盤。對(duì)于具體的應(yīng)用，4個(gè)邏輯磁盤往往不能滿足實(shí)際需求。為了建立更多的邏輯磁盤供操作系統(tǒng)使用，系統(tǒng)引入了擴(kuò)展分區(qū)的概念。所謂擴(kuò)展分區(qū)，嚴(yán)格地講它不是一個(gè)實(shí)際意義的分區(qū)，它僅僅是一個(gè)指向下一個(gè)用來定義分區(qū)的參數(shù)的指針，這種指針結(jié)構(gòu)形成一個(gè)單向鏈表。這樣在主引導(dǎo)扇區(qū)中除了主磁盤分區(qū)外，僅需要存儲(chǔ)一個(gè)被稱為擴(kuò)展分區(qū)的分區(qū)信息，通過這個(gè)擴(kuò)展分區(qū)的信息就可以找到下一個(gè)分區(qū)（實(shí)際上也就是下一個(gè)邏輯磁盤）的起始位置，以此起始位置類推可以找到所有的分區(qū)，Windows中的文件系統(tǒng)FAT32文件系統(tǒng)是從微軟Windows95系統(tǒng)的0SR2版本開始使用的，它能夠支持大于32MB小于32GB的分區(qū)。雖然第三方的格式化程序可以把超過32GB的分區(qū)格式化為FAT32，但微軟自身的系統(tǒng)不允許將大于32GB的分區(qū)格式化為FAT32文件系統(tǒng)。FAT32文件系統(tǒng)由DBR及其保留扇區(qū)、FAT1、FAT2、DATA區(qū)四個(gè)部分組成，其結(jié)構(gòu)如下：這些結(jié)構(gòu)是在分區(qū)被格式化時(shí)創(chuàng)建出來的，它們的含義如下：① DBR及其保留扇區(qū)。DBR的全稱為DOSBootRecord,含義是DOS引導(dǎo)記錄，也稱為操作系統(tǒng)引導(dǎo)記錄，在DBR之后往往有一些保留扇區(qū)。② FAT1。FAT的全稱為FileAllocationTable,含義是文件分配表，F(xiàn)AT32一般有兩份FAT,FAT1是第一份，也是主FAT。③ FAT2。FAT2是FAT32的第二份文件分配表，也就是FAT1的備份，稱為備份FAT。④ DATA。DATA也就是數(shù)據(jù)區(qū)，是FAT32文件系統(tǒng)的主要區(qū)域，其中也包含目錄區(qū)。字節(jié)偏移字段長度字段含義字節(jié)偏移字段長度字段含義0x003跳轉(zhuǎn)指令0x244每FAT扇區(qū)數(shù)0x038OEM代號(hào)0x282標(biāo)記0x0B2每扇區(qū)字節(jié)數(shù)0x2A2版本0x0D1每簇扇區(qū)數(shù)0x2C4根目錄首簇號(hào)0x0E2DOS保留扇區(qū)數(shù)0x302文件系統(tǒng)扇區(qū)號(hào)0x101FAT表個(gè)數(shù)0x322DBR備份扇區(qū)號(hào)0x112未用0x3412保留0x132未用0x401BIOS驅(qū)動(dòng)器號(hào)0x151介質(zhì)描述符0x411未用0x162未用0x421擴(kuò)展引導(dǎo)標(biāo)記0x182每磁道扇區(qū)數(shù)0x434卷序列號(hào)0x1A2磁頭數(shù)0x4711卷標(biāo)0x1C4隱藏扇區(qū)0x528文件系統(tǒng)類型0x204該分區(qū)的扇區(qū)總數(shù)0x59H~0xFFH428引導(dǎo)代碼、結(jié)束DBR扇區(qū)分析（

DOS引導(dǎo)扇區(qū)）（1）00H~02H:跳轉(zhuǎn)指令跳轉(zhuǎn)指令本身占用2字節(jié)，它將程序執(zhí)行流程跳轉(zhuǎn)到引導(dǎo)程序處，比如當(dāng)前DBR中

的“EB58”，就是代表匯編語言的“JMP58”。需要注意該指令本身占用2字節(jié)，計(jì)算跳轉(zhuǎn)目標(biāo)地址時(shí)以該指令的下一字節(jié)為基準(zhǔn)，所以實(shí)際執(zhí)行的下一條指令應(yīng)該位于5A。緊接著跳轉(zhuǎn)指令的是一條空指令NOP(90H)。（2）03H~0AH:OEM版本號(hào)這部分分占8字節(jié)，其內(nèi)容由創(chuàng)建該文件系統(tǒng)的OEM廠商具體安排。當(dāng)前DBR中的OEM代號(hào)為“MSDOS5.0”，說明這個(gè)FAT32分區(qū)是由微軟的Windows2000以上的操作系統(tǒng)格式化創(chuàng)建的。（3）OBH~OCH:每扇區(qū)字節(jié)數(shù)記錄每個(gè)邏輯扇區(qū)的大小，一般為512字節(jié)，但512并不是固定值，該值可以由程序定義，合法值包括512、1024、2048和4096字節(jié)。（4）0DH?0DH:每簇扇區(qū)數(shù)每簇扇區(qū)數(shù)記錄著文件系統(tǒng)的簇大小，即由多少個(gè)扇區(qū)組成一個(gè)簇。FAT32最大支持128扇區(qū)的簇。在FAT32文件系統(tǒng)中所有的簇從2開始進(jìn)行編號(hào)，每個(gè)簇都有一個(gè)自己的地址編號(hào)，并且所有的簇都位于數(shù)據(jù)區(qū)內(nèi)，在數(shù)據(jù)區(qū)之前是沒有簇的。（5）0EH?OFH:DBR保留扇區(qū)數(shù)DBR保留扇區(qū)數(shù)是指DBR本身占用的扇區(qū)以及其后保留扇區(qū)的總和，也就是DBR到FAT1之間的扇區(qū)總數(shù)，或者說是FAT1的開始扇區(qū)號(hào)。對(duì)于FAT32文件系統(tǒng)來說，該值的取值范圍是32扇區(qū)到38扇區(qū)之間。（6） 10H?10H:FAT個(gè)數(shù)FAT個(gè)數(shù)描述了該文件系統(tǒng)中有幾個(gè)FAT表，一般在FAT文件系統(tǒng)中都有兩個(gè)FAT,即FAT1和FAT2,FAT2是FAT1的備份。（7）11H?12H:未用這兩個(gè)字節(jié)在FAT16中用來表示FDT中最大所能容納的目錄項(xiàng)數(shù)，F(xiàn)AT32沒有固定的FDT,所以不用這個(gè)參數(shù)，（8）13H?14H:未用這兩個(gè)字節(jié)在FAT16中用來表示小于32MB的分區(qū)的扇區(qū)總數(shù)，F(xiàn)AT32的總是大于32MB,所以不用這個(gè)參數(shù)。（9） 15H?15H:介質(zhì)描述符介質(zhì)描述符是描述磁盤介質(zhì)的參數(shù)，根據(jù)磁盤性質(zhì)的不同，取不同的值?具體取值見表4~2K（10）

1冊(cè)?17H:未用這兩個(gè)字節(jié)在FAT16中用來表示每個(gè)FAT表包含的扇區(qū)數(shù)，F(xiàn)AT32不用這個(gè)位置。（11） 18H?19H:每磁道扇區(qū)數(shù)這是邏輯C/H/S中的一個(gè)參數(shù)，其值一般為63。（12）1AH?1BH:磁頭數(shù)這也是邏輯C/H/S中的一個(gè)參數(shù)，其值一般為255。（13）1CH?1FH:隱藏扇區(qū)數(shù)隱藏扇區(qū)數(shù)是指本分區(qū)之前使用的扇區(qū)數(shù)，該值與分區(qū)表中所描述的該分區(qū)的起始扇區(qū)號(hào)一致。對(duì)于主磁盤分區(qū)來講，是MBR到該分區(qū)DBR之間的扇區(qū)數(shù)：對(duì)于擴(kuò)展分區(qū)中的邏輯驅(qū)動(dòng)器來講，是其EBR到該分區(qū)DBR之間的扇區(qū)數(shù)。（14） 20H?23H:扇區(qū)總數(shù)扇區(qū)總數(shù)是指分區(qū)的總扇區(qū)數(shù)，也就是FAT32分區(qū)的大小。（15）

24H~27H:每FAT扇區(qū)數(shù)這四個(gè)字節(jié)用來記錄FAT32分區(qū)中每個(gè)FAT表占用的扇區(qū)數(shù)。（16） 28H?29H:標(biāo)志這兩個(gè)字節(jié)用于表示FAT2是否可用，當(dāng)其二進(jìn)制最高位置1時(shí)，表示只有FAT1可用，否則FAT2也可用。（17） 2AH?2BH:版本這兩個(gè)字節(jié)通常都為0。（18） 2CH?2FH:根目錄首簇號(hào)分區(qū)在格式化為FAT32文件系統(tǒng)時(shí)，格式化程序會(huì)在數(shù)據(jù)區(qū)中指派一個(gè)蔟作為FAT32的根目錄區(qū)的開始，并把該簇號(hào)記錄在BPB中。通常都是把數(shù)據(jù)區(qū)的第一個(gè)簇分配給根目錄使用，也就是2號(hào)簇。（19）30H?31H:文件系統(tǒng)信息扇區(qū)號(hào)FAT32文件系統(tǒng)在DBR的保留扇區(qū)中安排了一個(gè)文件系統(tǒng)信息扇區(qū)，用以記錄數(shù)據(jù)區(qū)中空閑簇的數(shù)量及下一個(gè)空閑簇的簇號(hào)，該扇區(qū)一般在分區(qū)的1號(hào)扇區(qū)，也就是緊跟著DBR后的一個(gè)扇區(qū)。（20）32H?33H:DBR備份扇區(qū)號(hào)FAT32文件系統(tǒng)在DBR的保留扇區(qū)中安排了一個(gè)DBR的備份，一般在6號(hào)扇區(qū)，也就是分區(qū)的第7個(gè)扇區(qū)。該備份扇區(qū)與原DBR扇區(qū)的內(nèi)容完全一樣，如果原DBR遭到破壞，可以用備份扇區(qū)修復(fù)。（21） 34H?3FH:未用這12個(gè)字節(jié)保留不用*（22） 40H?40H:BIOS驅(qū)動(dòng)器號(hào)這是BIOS的INT13H所描述的設(shè)備號(hào)碼，一般把硬盤定義為8xH。（23） 41H?41H:未用這一個(gè)字節(jié)不使用，為0。（24） 42H?42H:擴(kuò)展引導(dǎo)標(biāo)記擴(kuò)展引導(dǎo)標(biāo)記用來確認(rèn)后面的三個(gè)參數(shù)是否有效，一般值為29H。（25） 43H?46H:卷序列號(hào)卷序列號(hào)是格式化程序在創(chuàng)建文件系統(tǒng)時(shí)生成的一組4字節(jié)的隨機(jī)數(shù)值。（26）47H?51H:卷標(biāo)卷標(biāo)是由用戶在創(chuàng)建文件系統(tǒng)時(shí)指定的一個(gè)卷的名稱，原來的系統(tǒng)把卷標(biāo)記錄在這個(gè)地址處，現(xiàn)在的系統(tǒng)己經(jīng)不再使用這個(gè)地址記錄卷標(biāo)，而是由一個(gè)目錄項(xiàng)來管理卷標(biāo)。（27）52H?59H:文件系統(tǒng)類型BPB的最后一個(gè)參數(shù)，直接用ASCII碼記錄當(dāng)前分區(qū)的文件系統(tǒng)類型。引導(dǎo)程序FAT32的DBR引導(dǎo)程序占用420字節(jié)（5AH?1FDH),在Windows98之前的系統(tǒng)之下，這段代碼負(fù)責(zé)完成DOS三個(gè)系統(tǒng)文件的裝入，在Windows2000之后的系統(tǒng)中，其負(fù)責(zé)完成將系統(tǒng)文件NTLDR裝入，對(duì)于一個(gè)沒有安裝操作系統(tǒng)的分區(qū)來講，這段程序沒有用處，結(jié)束標(biāo)志DBR的結(jié)束標(biāo)志與MBR、MR的結(jié)束標(biāo)志都相同，為“55AA”，以上3個(gè)部分共占用512字節(jié)，正好是一個(gè)扇區(qū)。因此稱它為DOS引導(dǎo)扇區(qū)。該部分的內(nèi)容中除了第3部分結(jié)束標(biāo)志是固定不變之外，其余2個(gè)部分都是不完全確定的，都因操作系統(tǒng)版本的不同而不同，也因硬盤的邏輯盤參數(shù)的變化而變化。FAT表FAT表的作用及結(jié)構(gòu)特點(diǎn)FAT(FileAllocationTable)即文件分配表，對(duì)于FAT文件系統(tǒng)來講是至關(guān)重要的一個(gè)組成部分，其主要作用及結(jié)構(gòu)特點(diǎn)如下：（1） FAT文件系統(tǒng)一般有兩份FAT,它們由格式化程序在對(duì)分區(qū)進(jìn)行格式化時(shí)創(chuàng)建，F(xiàn)AT1是活動(dòng)FAT,FAT2是備份FAT。（2）FAT1跟在DBR之后，其具體地址由DBR的BPB參數(shù)中偏移量為0EH?0FH的兩字節(jié)描述；FAT2跟在FAT1之后，其地址可以用FAT1的所在扇區(qū)號(hào)加上每個(gè)FAT所占的扇區(qū)數(shù)獲得。（3）FAT表是由FAT表項(xiàng)構(gòu)成的，我們把FAT表項(xiàng)簡稱為FAT項(xiàng)，F(xiàn)AT32的FAT表項(xiàng)為32位。（4）每個(gè)FAT項(xiàng)都有一個(gè)固定的編號(hào)，這個(gè)編號(hào)從0開始，也就是說，第一個(gè)FAT項(xiàng)是0號(hào)FAT項(xiàng)，第二個(gè)FAT項(xiàng)是1號(hào)FAT項(xiàng)，以此類推。（5） FAT表的前兩個(gè)FAT項(xiàng)有專門的用途：0號(hào)FAT項(xiàng)通常用來存放分區(qū)所在的介質(zhì)類型，例如硬盤的介質(zhì)類型為“F8”，那么硬盤上分區(qū)的FAT表第一個(gè)FAT項(xiàng)就以“F8”開始；1號(hào)FAT項(xiàng)則用來存儲(chǔ)文件系統(tǒng)的骯臟標(biāo)志，表明文件系統(tǒng)被非法卸載或者磁盤表面存在錯(cuò)誤。根目錄區(qū)FAT32文件系統(tǒng)根目錄區(qū)的內(nèi)容主要由三部分組成：根目錄、子目錄和文件內(nèi)容。在數(shù)據(jù)區(qū)中是以“簇”為單位來管理這段空間的，第一個(gè)簇的編號(hào)為“2”。根據(jù)該例子中DBR的BPB所記錄的“根目錄首簇號(hào)”為2,可以確定2號(hào)簇被分配給根目錄使用了。

下面這個(gè)圖分析來看，前面6行是系統(tǒng)文件，第7~8行是用戶文件的長文件名，9~10行是短文件名。目錄項(xiàng)分析在FAT32文件系統(tǒng)下，分區(qū)根目錄下的文件及文件夾的目錄項(xiàng)存放在根目錄區(qū)中，分區(qū)子目錄下的文件及文件夾的目錄項(xiàng)存放在子目錄區(qū)中，根目錄區(qū)和子目錄區(qū)都在數(shù)據(jù)區(qū)中。FAT32的目錄項(xiàng)與FAT16的目錄項(xiàng)一樣，都可以分為四類：短文件名目錄項(xiàng)。長文件名目錄項(xiàng)。“.”目錄項(xiàng)和“..”目錄項(xiàng)。卷標(biāo)目錄項(xiàng)字節(jié)偏移字段長度字段含義字節(jié)偏移字段長度字段含義0x008主文件名0x122文件最近訪問日期0x083擴(kuò)展名0x142文件起始簇號(hào)高位0x0B1文件屬性0x162文件修改時(shí)間0x0C1未用0x182文件修改日期0x0D1文件創(chuàng)建時(shí)間0x1A2文件起始簇號(hào)低位0x0E2文件創(chuàng)建時(shí)間0x1C4文件大小0x102文件創(chuàng)建日期短文件名目錄項(xiàng)長文件名目錄項(xiàng)從在Windows95開始，文件名“8.3”格式的限制被打破了，文件名可以超過8個(gè)字符，并且可以使用中文了，擴(kuò)展名也可以超過3字節(jié)，這種格式的文件名就稱為長文件名。不過在Windows95以上的系統(tǒng)中創(chuàng)建的長文件名需要考慮與DOS和Windows3.x的兼容問題，所以在Windows95以上的系統(tǒng)中，超過8.3格式的文件或目錄實(shí)際存儲(chǔ)著兩個(gè)名宇，一個(gè)短文件名和一個(gè)長文件名。如果是短文件名，則存儲(chǔ)在短文件名目錄項(xiàng)中。當(dāng)創(chuàng)建一個(gè)長文件名時(shí)，其對(duì)應(yīng)短文件名的存儲(chǔ)有以下三個(gè)處理原則。①系統(tǒng)取長文件名的前6個(gè)字符加上形成短文件名，其擴(kuò)展名不變：② 如果己存在這個(gè)名字的文件，則符號(hào)“?”后的數(shù)字自動(dòng)增加：③ 如果有DOS和Windows3.x非法的字符，則以下畫線“_”替代。每個(gè)長文件名目錄項(xiàng)也占用32字節(jié)，一個(gè)目錄項(xiàng)作為長文件名目錄項(xiàng)使用時(shí)，其屬性字節(jié)值為OFH,能夠存儲(chǔ)13個(gè)字符，如果文件名很長，一個(gè)長文件名就需要多個(gè)目錄項(xiàng)，這些目錄項(xiàng)按倒序排列在其短文件名目錄項(xiàng)之前。字節(jié)偏移字段長度字段含義字節(jié)偏移字段長度字段含義0x001序列號(hào)0x0D1短文件的校驗(yàn)和0x0110文件名1~5字符0x0E12文件名6~11字符0x0B1屬性標(biāo)識(shí)0x1A2始終為00x0C1保留未用0x1C2文件名12~13字符“.”目錄項(xiàng)和“..”目錄項(xiàng)在子目錄所在的文仵目錄項(xiàng)區(qū)域中，總有兩個(gè)特殊的目錄，它們就是“.”目錄和“..”目錄。這兩個(gè)目錄可以用DOS命令“DIR”査看到，使用DIR列目錄后，可以看到前兩個(gè)就是“.”目錄和“..”目錄，其中① “.”表示當(dāng)前目錄。② “..”表示上級(jí)目錄。卷標(biāo)目錄項(xiàng)卷標(biāo)就是一個(gè)分區(qū)的名字，可以在格式化分區(qū)時(shí)創(chuàng)建，也可以隨時(shí)修改。

在DOS時(shí)代，卷標(biāo)記錄在DBR的BPB中，目前的系統(tǒng)則把卷標(biāo)當(dāng)做文件，用文件目錄項(xiàng)進(jìn)行管理，系統(tǒng)為卷標(biāo)建一個(gè)目錄項(xiàng)，放在根目錄區(qū)中。卷標(biāo)的目錄項(xiàng)屬于短文件名目錄項(xiàng)，它有如下特點(diǎn)：①對(duì)于FAT格式的分區(qū)，卷標(biāo)的長度最多允許達(dá)到11字節(jié)，如果卷標(biāo)為中文，則最多支持5個(gè)字符。② 卷標(biāo)的目錄項(xiàng)中不記錄起始簇號(hào)和大小。③ 卷標(biāo)的目錄項(xiàng)中不記錄創(chuàng)建時(shí)間和最后訪問時(shí)間，只記錄修改時(shí)間。NTFSNTFS文件系統(tǒng)是隨著WindowsNT操作系統(tǒng)的誕生而產(chǎn)生的，并隨著WindowsNT4跨入主力文件系統(tǒng)的行列。它的優(yōu)點(diǎn)是安全性和穩(wěn)定性極其出色，在使用中不易產(chǎn)生文件碎片；同時(shí)它還提供了容錯(cuò)結(jié)構(gòu)日志，可以將用戶的操作全部記錄下來，從而保護(hù)了系統(tǒng)的安全。NTFS文件系統(tǒng)由$Boot及其備份扇區(qū)、$MFT、$MFTMirr、元文件、DATA區(qū)四個(gè)部分組成，其結(jié)構(gòu)如下：在分區(qū)的第一個(gè)扇區(qū)（引導(dǎo)扇區(qū)DBR)后是15個(gè)扇區(qū)的NTLDR區(qū)域，這16個(gè)扇區(qū)共同構(gòu)成$BOOT文件。在NTLDR后（但不一定是物理上相連的）是主文件表(MasterFi丨eTable,MFT)區(qū)域，主文件表由文件記錄構(gòu)成，每個(gè)文件記錄占2個(gè)扇區(qū)，文件記錄簡稱為FR(FileRecord)。在FAT文件系統(tǒng)中是通過FAT表和文件目錄項(xiàng)存儲(chǔ)文件數(shù)據(jù)和記錄文件的文件名、擴(kuò)展名、建立時(shí)間、訪問時(shí)間、修改時(shí)間、文件屬性、文件大小、文件在磁盤中所占用的簇等信息進(jìn)行管理的，而在NTFS文件系統(tǒng)中這些信息被稱為屬性，包括文件的內(nèi)容在NTFS中也稱為屬性，各種屬性被放入文件記錄中進(jìn)行管理。當(dāng)一個(gè)屬性太大，文件記錄中存放不下時(shí)，就會(huì)分配多個(gè)文件記錄進(jìn)行存放：而當(dāng)一個(gè)文件非常小時(shí)，可能這個(gè)文件的所有屬性都包含在一個(gè)文件記錄中了，甚至包括這個(gè)文件的數(shù)據(jù)，也會(huì)作為屬性存放在其文件記錄中，這樣做的好處是節(jié)約了磁盤空間并且提高了文件訪問效率。NTFS文件系統(tǒng)的主文件表中還記錄了一些非常重要的系統(tǒng)數(shù)據(jù)，這些數(shù)據(jù)被稱為元數(shù)據(jù)（metadata)文件，簡稱為“元文件”，其中包括了用于文件定位和恢復(fù)的數(shù)據(jù)結(jié)構(gòu)、引導(dǎo)程序數(shù)據(jù)及整個(gè)卷的分配位圖等信息。NTFS文件系統(tǒng)將這些數(shù)據(jù)都當(dāng)做文件進(jìn)行管理，這些文件用戶是不能訪問的，它們的文件名的第一個(gè)字符都是“$”，表示該文件是隱藏的。在NTFS文件系統(tǒng)中，這樣的文件主要有16個(gè)，包括MFT本身（$Mft)、^FT^鏡像（$MftMirr)、日志文件（$LogFile)、卷文件（$Volume)、屬性定義表（SAttrDef)、根目錄（$Root)、位圖文件（$Bitmap)、引導(dǎo)文件（$Boot)、壞簇文件（SBaddus)、安全文件（$Securc)、大寫文件（$UpCase)、擴(kuò)展元數(shù)據(jù)文件（$Extendedmetadatadirectory)、重解析點(diǎn)文件（$Extend\$Reparse)、變更日志文件（$Extend\$UsnJml)、配額管理文件（$Extend\$Quota)、對(duì)象ID文件（$Extend\$ObjId)等。這16個(gè)元數(shù)據(jù)文件總是占據(jù)著MFT的前16項(xiàng)記錄，在這16項(xiàng)以后就是用戶建立的文件和文件夾的記錄了，每個(gè)文件記錄在主文件表中占據(jù)的磁盤空間一般為1KB,也就是兩個(gè)扇區(qū)，NTFS文件系統(tǒng)分配給主文件表的區(qū)域大約占據(jù)了磁盤空間的12.5%,剩余的磁盤空間用來存放其他元文件和用戶的文件。元文件在圖中只體現(xiàn)了一部分，沒有畫完整，并且除了$BOOT文件以外，其他元文件的位置不是固定的，例如$MFT文件也可以在$MFTMirr文件之后。在NTFS文件系統(tǒng)所在分區(qū)的最后一個(gè)扇區(qū)是DBR的備份，但該扇區(qū)并不屬于NTFS文件系統(tǒng)。NTFS文件系統(tǒng)引導(dǎo)扇區(qū)NTFS文件系統(tǒng)的引導(dǎo)扇區(qū)是$Boot的第一個(gè)扇區(qū)，它的結(jié)構(gòu)與FAT文件系統(tǒng)的DBR類似，所以習(xí)慣上也稱該扇區(qū)為DBR扇區(qū)。DBR扇區(qū)在操作系統(tǒng)的引導(dǎo)過程起著非常重要的作用，如果這個(gè)扇區(qū)遭到破壞，系統(tǒng)將不能正常啟動(dòng)。NTFS文件系統(tǒng)的DBR扇區(qū)與FAT文件系統(tǒng)的結(jié)構(gòu)一樣，也包括跳轉(zhuǎn)指令、OEM代號(hào)、BPB參數(shù)、引導(dǎo)程序和結(jié)束標(biāo)志。字節(jié)偏移字段長度字段含義字節(jié)偏移字段長度字段含義0x003跳轉(zhuǎn)指令0x204未用0x038OEM代號(hào)0x244總為800080000x0B2每扇區(qū)字節(jié)數(shù)0x288扇區(qū)總數(shù)0x0D1每簇扇區(qū)數(shù)0x308$MFT的起始簇號(hào)0x0E2保留扇區(qū)數(shù)(NTFS不用)0x388$MFTMirr的起始簇號(hào)0x103總是000x401文件記錄的大小描述0x132未用0x413未用0x151介質(zhì)描述符0x441索引緩存的大小描述0x162總是000x453未用0x182每磁道扇區(qū)數(shù)0x488卷序列號(hào)0x1A2磁頭數(shù)0x504校驗(yàn)和0x1C4隱藏扇區(qū)（1）00H~02H:跳轉(zhuǎn)指令跳轉(zhuǎn)指令本身占用2字節(jié)，它將程序執(zhí)行流程跳轉(zhuǎn)到引導(dǎo)程序處，比如當(dāng)前DBR中

的“EB52”，就是代表匯編語言的“JMP52”。需要注意該指令本身占用2字節(jié)，計(jì)算跳轉(zhuǎn)目標(biāo)地址時(shí)以該指令的下一字節(jié)為基準(zhǔn)，所以實(shí)際執(zhí)行的下一條指令應(yīng)該位于5A。緊接著跳轉(zhuǎn)指令的是一條空指令NOP(90H)。（2）03H~0AH:OEM版本號(hào)這部分分占8字節(jié)，其內(nèi)容由創(chuàng)建該文件系統(tǒng)的OEM廠商具體安排。當(dāng)前DBR中的OEM代號(hào)為“NTFS”，說明這個(gè)NTFS分區(qū)是由微軟的Windows95以上的操作系統(tǒng)格式化創(chuàng)建的。（3）OBH?OCH:每扇區(qū)字節(jié)數(shù)每扇區(qū)字節(jié)數(shù)記錄每個(gè)邏輯扇區(qū)的大小，其常見值為512宇節(jié)，但512并不是固定值，該值可以由程序定義，合法值包括512字節(jié)、1024字節(jié)、2048字節(jié)和4096字節(jié)，（4）0DH?0DH:每簇扇區(qū)數(shù)每簇扇區(qū)數(shù)記錄著文件系統(tǒng)的簇大小，即由多少個(gè)扇區(qū)組成一個(gè)簇。如果這個(gè)分區(qū)是在系統(tǒng)安裝前被格式化而來的，一般大于2GB的分區(qū)每簇默認(rèn)占用8個(gè)扇區(qū)，也就是每簇大小為4KB,這個(gè)字節(jié)的內(nèi)容就為十六進(jìn)制值“08”。如果這個(gè)分區(qū)是由一個(gè)FAT分區(qū)轉(zhuǎn)換而來，則每個(gè)簇一般占用1個(gè)扇區(qū)的空間，也就是每簇大小為512字節(jié)，這個(gè)字節(jié)的內(nèi)容就是“01H”。在NTFS文件系統(tǒng)中所有的簇從0開始進(jìn)行編號(hào)，每個(gè)簇都有一個(gè)自己的地址編號(hào)，并且從分區(qū)的第一個(gè)扇區(qū)就開始編簇。（5）OEH?OFH:DBR保留扇區(qū)數(shù)NTFS文件系統(tǒng)中DBR沒有保留扇區(qū)，該值常為“0000”。（6）10H?12H:總是0這3個(gè)字節(jié)總是“000000”。（7）13H?14H:未用這兩個(gè)字節(jié)不用。（8）15H?15H:介質(zhì)描述符這個(gè)字節(jié)為介質(zhì)描述字節(jié)，一般硬盤為“F8H”；雙面5.25英寸軟盤為“F9H”；雙面3.5英寸軟盤RAM虛擬盤為“FAH”；3.5英寸、1.44MB的軟盤一般為“F0H”。因?yàn)镹TFS分區(qū)一定在硬盤上，所以此處常為16進(jìn)制數(shù)“F8”。（9）16H?17H:未用這兩個(gè)字節(jié)不用，（10）18H?19H:每磁道扇區(qū)數(shù)這是邏輯C/H/S中的一個(gè)參數(shù)，其值一般為63,NTFS己經(jīng)不用此參數(shù)。（11）1AH?1BH:磁頭數(shù)這是邏輯C/H/S中的一個(gè)參數(shù)，其值一般為255,NTFS已經(jīng)不用此參數(shù)。（12）1CH?1FH:隱藏扇區(qū)數(shù)隱藏扇區(qū)數(shù)是指本分區(qū)之前使用的扇區(qū)數(shù)，該值與分區(qū)表中所描述的該分區(qū)的起始扇區(qū)號(hào)一致。對(duì)于主磁盤分區(qū)來講，是MBR到該分區(qū)DBR之間的扇區(qū)數(shù)：對(duì)于擴(kuò)展分區(qū)中的邏輯驅(qū)動(dòng)器來講，是其EBR到該分區(qū)DBR之間的扇區(qū)數(shù)。（13）20H?23H:未用這4字節(jié)不用。（14）24H?27H:未用 這4字節(jié)不用，但總為80008000。（15）28H?2FH:扇區(qū)總數(shù)扇區(qū)總數(shù)是指分區(qū)的總扇區(qū)數(shù)。NTFS的BPB中記錄的分區(qū)大小比分區(qū)表中記錄的少一個(gè)扇區(qū)，因?yàn)榉謪^(qū)最后一個(gè)扇區(qū)留給DBR備份使用了。（16）30H?37H:$MFT的起始簇號(hào)這8字節(jié)為$MFT的起始簇號(hào)，注意這個(gè)位置使用簇號(hào)定義的，而不是扇區(qū)號(hào)，并且該地址不是固定值。（17）38H?3FH:$MFTMirr的起始簇號(hào)這8字節(jié)為$MFTMirr的起始簇號(hào)，這個(gè)位置也使用簇號(hào)定義，而不是扇區(qū)號(hào)。$MFTMirr的地址也不是固定值的，可以在$MFT之后，也可以在$MFT之前。本例中，$MFTMirr的地址就在$MFT之前。（18）40H?40H：文件記錄的大小描述這一個(gè)字節(jié)描述每個(gè)文件記錄的簇?cái)?shù)。注意該參數(shù)為帶符號(hào)數(shù)，當(dāng)其是負(fù)數(shù)時(shí)，說巧每個(gè)文件記錄的大小要小于每簇扇區(qū)數(shù)，在這種情況下，文件記錄的大小用字節(jié)數(shù)表示，計(jì)算方法為：2-1x每個(gè)文件記錄的簇?cái)?shù)。假如DBR中該參數(shù)值為“F6H”，換算為十進(jìn)制等于“-10”，所以每個(gè)文件記錄的大小是2-1x-10=210=1024字節(jié)。（19）41H?43H:未用這3字節(jié)不用，（20）44H?44H:索引緩沖的大小描述這一個(gè)字節(jié)描述每個(gè)索引緩沖的簇?cái)?shù)。注意該參數(shù)也是帶符號(hào)數(shù)，當(dāng)其是負(fù)數(shù)時(shí)，說明每個(gè)索引緩沖的大小要小于每簇扇區(qū)數(shù)，在這種情況下，索引緩沖的大小用字節(jié)數(shù)表示，計(jì)算方法為：2-1x每個(gè)索引緩沖的簇?cái)?shù)。（21）45H?47H:未用這3字節(jié)不用。（22）48H?4FH:卷序列號(hào)這8字節(jié)為分區(qū)的邏輯序列號(hào)，也就是在命令行下輸入dir命令后顯示的一排數(shù)據(jù)，這個(gè)序列號(hào)是硬盤格式化時(shí)隨機(jī)產(chǎn)生的。（23）50H?51H:校驗(yàn)和BPB的最后四個(gè)字節(jié)是其校驗(yàn)和，一般都為0；引導(dǎo)程序NTFS的DBR引導(dǎo)程序占用426字節(jié)（54H?1FDH),其負(fù)責(zé)完成將系統(tǒng)文件NTLDR裝入。對(duì)于一個(gè)沒有安裝操作系統(tǒng)的分區(qū)來講，這段程序沒有用處。結(jié)束標(biāo)志DBR的結(jié)束標(biāo)志與MBR、EBR的結(jié)束標(biāo)志都相同，為“55AA”。以上幾個(gè)部分共占用512字節(jié)，正好是丨個(gè)扇區(qū)，這個(gè)扇區(qū)屬于$Boot文件的組成的部分。該部分的內(nèi)容中除了結(jié)束標(biāo)志是固定不變之外，其余的部分都是不完全確定的，都因操作系統(tǒng)版本的不同而不同，也因硬盤的邏輯盤參數(shù)的變化而變化。元文件分析將一個(gè)分區(qū)格式化為NTFS后，格式化程序會(huì)往該分區(qū)中寫入很多重要的系統(tǒng)信息，這些系統(tǒng)信息在NTFS文件系統(tǒng)中稱為元文件。這些元文件用戶是不能訪問的，它們的文件名的第一個(gè)字符都是“$”，表示該文件是隱藏的，用戶無法訪問和修改。在NTFS文件系統(tǒng)中，元文件主要有16個(gè)，包括MFT($MFT、MFT鏡像($MFTMirr)、日志文件（$LogFile)、卷文件（$Volume)、屬性定義表（$AttrDef)、根目錄（SRoot)、位圖文件（$Bitmap)、弓|導(dǎo)文件（$Boot)、壞簇文件（$BadClus)、安全文件（SSecure)、大寫文件（$UpCase)、擴(kuò)展元數(shù)據(jù)文件（$Extendedmetadatadirectory)、

重解析點(diǎn)文件（$Extend\$Reparse)、變更日志文件（$Extend\$UsnJml)、配額管理文件($Extend\$Quota)、對(duì)象ID文件（$Extend\$ObjId)等。序號(hào)元文件名功能序號(hào)元文件名功能0$MFT主文件表本身6$Bitmap位圖文件1$MFTMirr主文件表部分鏡像7$Boot引導(dǎo)文件2$LogFile事務(wù)型日志文件8$BadClus壞簇列表文件3$Volume卷文件9$Quota磁盤配額文件4$AttrDef屬性定義文件10$Secure安全文件5$Root根目錄文件11$UpCase大小寫字符轉(zhuǎn)換表序號(hào)元文件名功能序號(hào)元文件名功能12$Extendmetadatadirectory擴(kuò)展元數(shù)據(jù)目錄13$Extend\$Reparse重解析點(diǎn)文件14$Extend\UsnJml加密日志文件15$Extend\Quota配額管理文件16$Extend\ObjID對(duì)象ID文件在NTFS文件系統(tǒng)中，磁盤上的所有數(shù)據(jù)都是以文件的形式出現(xiàn)的，即使是文件系統(tǒng)的管理信息也是以一組文件的形式存儲(chǔ)的，即元文件。16個(gè)元文件中主文件表($MFT)是一個(gè)非常重要的元文件，它由文件記錄構(gòu)成，每個(gè)文件記錄占用2個(gè)扇區(qū)。每個(gè)文件都有一個(gè)文件記錄，包括元文件本身，而主文件表（$MFT)就是專門用來存儲(chǔ)文件記錄的一個(gè)元文件，在$MFT中前16個(gè)文件記錄總是元文件的紀(jì)錄。系統(tǒng)通過$MFT來確定文件在磁盤上的位置以及文件的所有屬性，所以$MFT是非常重要的。系統(tǒng)為了防止$MFT出現(xiàn)過多的碎片，在它周圍保留了一個(gè)緩沖區(qū)，當(dāng)其他磁盤空間滿的時(shí)候緩沖區(qū)里才會(huì)產(chǎn)生新的文件。這個(gè)緩沖區(qū)的大小是可調(diào)的，可以是磁盤空間的12.5%、25%、37.5%或50%,每當(dāng)其余磁盤空間變滿時(shí)，緩沖區(qū)大小減半。由于$MFT文件本身的重要性，為了確保文件系統(tǒng)結(jié)構(gòu)的可靠性，系統(tǒng)專門為它準(zhǔn)備了一個(gè)鏡像文件（SMFTMirr),也就是$MFT中的第2個(gè)記錄。不過這并不是$MFT的完整鏡像，而是一個(gè)小部分鏡像，一般只鏡$MFT文件介紹像$MFT中的前四個(gè)文件記錄。$MFT中前丨6個(gè)文件記錄總是元文件的記錄.并且這16個(gè)文件記錄的順序是固定的，下面對(duì)這16個(gè)記錄簡單做一個(gè)介紹：第1個(gè)記錄就是$MFT自身的記錄，也就是說$MFT首先對(duì)自己進(jìn)行管理。第2個(gè)記錄的記錄，也就是$MFT前4個(gè)文件記錄的鏡像。第3個(gè)記錄是日志文件（$LogFile)的記錄，該文件是NTFS為實(shí)現(xiàn)可恢復(fù)性和安全性而設(shè)計(jì)的。當(dāng)系統(tǒng)運(yùn)行時(shí)，NTFS就會(huì)在日志文件中記錄所有影響NTFS卷結(jié)構(gòu)的操作，包括文件的創(chuàng)建和改變目錄結(jié)構(gòu)的命令，從而可在系統(tǒng)失敗時(shí)能夠恢復(fù)NTFS卷。第4個(gè)記錄是，文件（$Volume)的記錄，它包含卷名、NTFS的版本和一個(gè)標(biāo)明該磁盤是否損壞的標(biāo)志位，NTFS文件系統(tǒng)以此決定是否需要調(diào)用Chkdsk程序來進(jìn)行修復(fù)。第5個(gè)記錄是屬性定義表（$AttrDef,attributedefinitiontable)的記錄，其中存放著卷所支持的所有文件屬性，并指出它們是否可以被索引和恢復(fù)等。第6個(gè)記錄是根目錄（$Root)的記錄，其中保存著該卷根目錄下的所有文件和目錄的索引。在訪問一個(gè)文件后，NTFS就保留該文件的MFT引用，第二次就能夠直接訪問該文件。第7個(gè)記錄是位圖文件（$Bitmap)的記錄，NTFS卷的簇使用情況都保存在這個(gè)位圖文件中，其中每一位（bit)代表卷中的一簇，標(biāo)識(shí)該簇是空閑還是已分配。由于該文件可以很容易被擴(kuò)大，所以，NTFS的卷可以很方便地動(dòng)態(tài)擴(kuò)大，而FAT格式的文件系統(tǒng)由于涉及FAT表的變化，所以不能隨意對(duì)分區(qū)大小進(jìn)行調(diào)整。第8個(gè)記錄是引導(dǎo)文件（$Boot)的記錄，該文件中存放著操作系統(tǒng)的引導(dǎo)程序代碼，該文件必須位于特定的磁盤位置才能夠正確地引導(dǎo)系統(tǒng)，一般都是位于卷的最前面。第9個(gè)記錄是壞簇文件（SBadChis)的記錄，它記錄著該卷中所有損壞的簇號(hào)，防止系統(tǒng)對(duì)其進(jìn)行分配使用。第10個(gè)記錄是安全文件（$Secure)的記錄，它存儲(chǔ)著整個(gè)卷的安全描述符數(shù)據(jù)庫。NTFS文件和目錄都有各自的安全描述符，為節(jié)省空間，ntfs將文件和目錄的相同描述符存放在此公共文件中》第11個(gè)記錄為大寫文件（$UpCase.uppercasefile)的記錄，該文件包含一個(gè)大小寫字符轉(zhuǎn)換表。第12個(gè)記錄是擴(kuò)展元數(shù)據(jù)目錄（$Extendedmetadatadirectory)的記錄。第13個(gè)記錄是重解析點(diǎn)文件（$Extend\$Reparse)的記錄。第14個(gè)記錄是變更日志文件（$Extend\$UsnJml)的記錄。第15個(gè)記錄是配額管理文件（$Extend\$Quota)的記錄。第16個(gè)記錄是對(duì)象ID文件（$Extend\$ObjId)的記錄。第17?23記錄是系統(tǒng)保留的記錄，暫時(shí)不用，用于將來擴(kuò)展。從第24個(gè)記錄開始存放用戶文件的記錄。ExFAT全稱為Exte