本實(shí)驗(yàn)是XMU網(wǎng)安系小學(xué)期電子數(shù)據(jù)擦除與恢復(fù)技術(shù)實(shí)驗(yàn)三构回,主要是學(xué)會(huì)看EBR和DBR分區(qū)表的結(jié)構(gòu)。使用的軟件有Winhex和DiskGenius纤掸。
一、實(shí)驗(yàn)?zāi)康?/h3>
理解EBR政己、DBR在磁盤中的作用掏愁;
熟悉EBR、DBR分區(qū)表結(jié)構(gòu),能熟練找到磁盤中的EBR分區(qū)表沦泌。
二辛掠、實(shí)驗(yàn)平臺(tái)
操作系統(tǒng):Windows X;
VHD虛擬磁盤
三回挽、實(shí)驗(yàn)要求
- 創(chuàng)建VHD虛擬磁盤猩谊;
- 創(chuàng)建虛擬磁盤500MB预柒;
- 創(chuàng)建主分區(qū)80MB FAT32;
- 創(chuàng)建主分區(qū)100MB NTFS憔古;
- 創(chuàng)建主分區(qū)50MB FAT32淋袖;
- 剩余空間創(chuàng)建擴(kuò)展分區(qū)
- 創(chuàng)建邏輯分區(qū)90MB FAT32
- 創(chuàng)建邏輯分區(qū)110MB FAT32
- 剩余空間創(chuàng)建邏輯分區(qū) FAT32
- 請(qǐng)找出以上分區(qū)的MBR鸿市、EBR、DBR所在的扇區(qū),并在以下表格中標(biāo)記出相關(guān)扇區(qū)數(shù)的十進(jìn)制值
| MBR | 文件系統(tǒng)類型 | EBR | DBR | 扇區(qū)數(shù) | 保留扇區(qū) | FAT表長(zhǎng)度 | |
|---|---|---|---|---|---|---|---|
| 主分區(qū) | 分區(qū)1 | FAT32 | |||||
| 分區(qū)2 | NTFS | ||||||
| 分區(qū)3 | FAT32 | ||||||
| 擴(kuò)展分區(qū) | 邏輯分區(qū)1 | FAT32 | |||||
| 邏輯分區(qū)2 | FAT32 | ||||||
| 邏輯分區(qū)3 | FAT32 |
那就開(kāi)始愉快地操作吧即碗!
首先按要求創(chuàng)建VHD創(chuàng)建虛擬磁盤
右鍵此電腦打開(kāi)管理
打開(kāi)磁盤管理剥懒,選擇創(chuàng)建VHD
接著打開(kāi)DiskGenius創(chuàng)建創(chuàng)建主分區(qū)80MB FAT32初橘、100MB NTFS充岛、50MB FAT32
點(diǎn)擊新建分區(qū)
接著用剩余空間創(chuàng)建擴(kuò)展分區(qū)
點(diǎn)擊保存更改(一定要點(diǎn))!全部點(diǎn)“是”“是”“是”【滑稽.jpg】
接著在擴(kuò)展分區(qū)創(chuàng)建邏輯分區(qū)90MB FAT32蒜魄、110MB FAT32,用剩余空間創(chuàng)建邏輯分區(qū) FAT32
這邊只能選擇邏輯分區(qū)
全部建完后保存更改3∏M剖ⅰ!
效果如下
打開(kāi)Winhex榔昔,點(diǎn)擊工具撒会,打開(kāi)磁盤师妙,打開(kāi)已建立的虛擬磁盤
在扇區(qū)0可以看到整個(gè)磁盤的MBR(PS:MBR既可以指第一個(gè)扇區(qū)默穴,又可以指第一個(gè)扇區(qū)的前446字節(jié),要根據(jù)上下文分析)
補(bǔ)充知識(shí)
MBR:又稱主引導(dǎo)記錄薛训,位于0柱面0磁道1扇區(qū)仑氛,是整個(gè)磁盤的第一個(gè)扇區(qū)(一個(gè)扇區(qū)是512字節(jié))锯岖,整個(gè)磁盤的第一個(gè)512字節(jié),是【數(shù)據(jù)恢復(fù)的基礎(chǔ)】
一個(gè)硬盤只有一個(gè)MBR遇伞,一個(gè)MBR對(duì)應(yīng)三部分:
1捶牢、引導(dǎo)代碼(MBR):前446字(節(jié)無(wú)論是哪種系統(tǒng),都差不多)
2跳芳、磁盤分區(qū)表(DPT): 64字節(jié)(80-55前之間飞盆,不同系統(tǒng)有區(qū)別)
3次乓、2字節(jié)的結(jié)束標(biāo)志: 55AA
下圖是第一分區(qū)表項(xiàng)的各項(xiàng)信息
共16字節(jié)票腰,80是引導(dǎo)標(biāo)記符,2 3 4字節(jié)是CHS起始尋址地址(無(wú)用)测柠,5字節(jié)是分區(qū)類型值(83 linux分區(qū) 07 NTFS)轰胁,6 7 8字節(jié)是CHS尋址方式扇區(qū)總數(shù)(無(wú)用) ,9 10 11 12字節(jié)是分區(qū)起始扇區(qū)數(shù) ,13 14 15 16字節(jié)是分區(qū)總扇區(qū)數(shù)
可以看到2這一排對(duì)下來(lái)的0B 07 0B 05,分別表示FAT32 NTFS FAT32 擴(kuò)展分區(qū)這四個(gè)分區(qū)赃阀, 然后可以看到9-12的各個(gè)分區(qū)的分區(qū)起始扇區(qū)擎颖,13-16是各個(gè)分區(qū)的分區(qū)總扇區(qū)數(shù),(PS:選取數(shù)據(jù)要從右往左驮俗,采用大頭位序法(數(shù)據(jù)的高位是放在內(nèi)存的低位))异旧,可以發(fā)現(xiàn)吮蛹,第二個(gè)分區(qū)的起始扇區(qū)是第一個(gè)分區(qū)的起始扇區(qū)+第一個(gè)分區(qū)的分區(qū)總扇區(qū)數(shù),其他分區(qū)亦是如此术荤。
由于硬盤僅僅為分區(qū)表保留了64個(gè)字節(jié)的存儲(chǔ)空間瓣戚,而每個(gè)分區(qū)的參數(shù)占據(jù)16個(gè)字節(jié),故主引導(dǎo)扇區(qū)中總計(jì)只能存儲(chǔ)4個(gè)分區(qū)的數(shù)據(jù)舱权,最多只能建立四個(gè)分區(qū)仑嗅!但是微軟想到一個(gè)絕妙的方案仓技,它讓前三個(gè)分區(qū)都做主分區(qū),后一個(gè)分區(qū)做擴(kuò)展分區(qū)阔逼,然后可在擴(kuò)展分區(qū)建新的邏輯分區(qū)地沮,實(shí)現(xiàn)建立多個(gè)分區(qū)
EBR扇區(qū)和MBR非常類似周伦,一個(gè)EBR扇區(qū)對(duì)應(yīng)一個(gè)邏輯分區(qū)未荒,其有用部分僅有其DPT(即64字節(jié)區(qū))前兩個(gè)表項(xiàng),第一個(gè)表項(xiàng)表示本擴(kuò)展分區(qū)(圖中邏輯驅(qū)動(dòng)器P)的起始地址和扇區(qū)數(shù)量寨腔,但是該地址為相對(duì)偏移迫卢,實(shí)際的起始扇區(qū)為本扇區(qū)的實(shí)際地址加上相對(duì)偏移量冶共,這個(gè)起始扇區(qū)其實(shí)是第一個(gè)邏輯驅(qū)動(dòng)器的DBR扇區(qū)捅僵,第二個(gè)表項(xiàng)記錄了下一個(gè)擴(kuò)展分區(qū)(邏輯驅(qū)動(dòng)器Q)的EBR扇區(qū)的起始地址和扇區(qū)總數(shù)量。每個(gè)邏輯分區(qū)的DBR扇區(qū)(即用Winhex直接點(diǎn)擊分區(qū)跳轉(zhuǎn)到的扇區(qū))之前都有一個(gè)EBR扇區(qū)上荡,對(duì)于最后一個(gè)扇區(qū)馒闷,其EBR僅有第一表項(xiàng),因?yàn)樗鼪](méi)有后繼EBR扇區(qū)捺疼,也就沒(méi)有所謂的第二表項(xiàng)永罚。
各個(gè)邏輯分區(qū)用類似鏈表的EBR扇區(qū)鏈接起來(lái),不受四個(gè)分區(qū)表項(xiàng)的限制尤蛮,因此可以創(chuàng)建超過(guò)四個(gè)的(邏輯)磁盤分區(qū)产捞。
尋找邏輯分區(qū)EBR的方法:
1)利用計(jì)算公式哼御,在MBR分區(qū)表找到擴(kuò)展分區(qū)的起始扇區(qū)恋昼,這個(gè)起始扇區(qū)就是第一個(gè)擴(kuò)展分區(qū)的EBR所在扇區(qū),每個(gè)EBR均有也僅有兩個(gè)有效表項(xiàng)挟炬,上面有提到嗦哆,第二個(gè)表項(xiàng)記錄著下一個(gè)EBR的起始位置老速,但是該位置是相對(duì)偏移地址,需要加上當(dāng)前EBR所在扇區(qū)方可的到下一個(gè)EBR的起始扇區(qū)额湘,以此類推旁舰。
2)在上課做上機(jī)實(shí)驗(yàn)時(shí)箭窜,我突然發(fā)現(xiàn)鄰座同學(xué)填EBR所在扇區(qū)位置很快,原來(lái)EBR位置是可以直接查看的芥丧!
注意Winhex這個(gè)大小為分區(qū)間隙续担,其實(shí)這個(gè)分區(qū)間隙的第一個(gè)扇區(qū)就是EBR所在扇區(qū)。其地址可以通過(guò)點(diǎn)擊分區(qū)間隙通過(guò)左下角扇區(qū)位置查看乖仇,也可以直接看分區(qū)間隙后的鏈接地址乃沙。
MBR最大可以識(shí)別最大2TB的分區(qū)诗舰,GPT可以識(shí)別最大256TB的分區(qū)
接下來(lái)看文件系統(tǒng)結(jié)構(gòu)
對(duì)于文件系統(tǒng)眶根,用扇區(qū)這個(gè)最小單位來(lái)衡量已經(jīng)過(guò)于龐大,而是用簇來(lái)衡量记劝,文件系統(tǒng)的最小單位是簇族扰。
扇區(qū):是硬盤的最小單位
簇:是文件系統(tǒng)的最小單位
若簇的大小是4kb=4096字節(jié)=8個(gè)扇區(qū)(不同文件不一定一樣)
18kb的文件要5個(gè)簇存
文件殘留區(qū):刪除文本后剩下的空間
由上圖可以看到渔呵,雖然只有3字節(jié)厘肮,但是卻占用4kb的空間,除3kb外剩余的空間被稱為文件殘留區(qū)
上圖FAT表作用:指向文件存儲(chǔ)位置耍属,fat32有兩個(gè)完全相同的FAT表(另一個(gè)作為副本)
DBR只看前三行:
1)在DBR前有三個(gè)字節(jié)代表文件系統(tǒng)跳轉(zhuǎn)指令:
??FAT32文件系統(tǒng)跳轉(zhuǎn)指令:EB 58 90
??FAT16文件系統(tǒng)跳轉(zhuǎn)指令:EB 3C 90
??NTFS 文件系統(tǒng)跳轉(zhuǎn)指令:EB 52 90
??exfat 文件系統(tǒng)跳轉(zhuǎn)指令:EB 76 90
2)各結(jié)構(gòu)聯(lián)系
第一個(gè)FAT表起始位置=當(dāng)前位置+FAT表前保留扇區(qū)數(shù)
第二個(gè)起始位置=第一個(gè)+每個(gè)FAT表扇區(qū)數(shù)
數(shù)據(jù)區(qū)起始位置=第二個(gè)+每個(gè)FAT表扇區(qū)數(shù)
3)文件系統(tǒng)總扇區(qū)數(shù)
由上圖可知是4個(gè)字節(jié)厚骗,由此可知其最大可有FF FF FF FFh個(gè)扇區(qū)=fffffffh512字節(jié)=2047GB<2TB兢哭,所以fat32文件系統(tǒng)最大容量不可超過(guò)2TB
熟悉以上內(nèi)容于是我們可以開(kāi)始愉快地填表啦
| MBR | 文件系統(tǒng)類型 | EBR | DBR | 扇區(qū)數(shù) | FAT表前保留扇區(qū)數(shù) | FAT表長(zhǎng)度(字節(jié)數(shù)) | |
|---|---|---|---|---|---|---|---|
| 主分區(qū) | 分區(qū)1 | FAT32 | 無(wú) | 2048 | 00028000h= |
38 | 027Bh*512=325120 |
| 分區(qū)2 | NTFS | ||||||
| 分區(qū)3 | FAT32 | ||||||
| 擴(kuò)展分區(qū) | 邏輯分區(qū)1 | FAT32 | 473088 | 475136 | |||
| 邏輯分區(qū)2 | FAT32 | ||||||
| 邏輯分區(qū)3 | FAT32 |
填了一個(gè),剩下自己填吧排霉。民轴。后裸。
