物理位置:0面0道1扇区(clindyer 0, side 0, sector 1) 大小: 512字节0 其中:MBR 446字节(0000--01BD),DPT 64字节(01BE--01FD),结束标志2字节(55 AA) 功能:MBR通过检查DPT分区信息引导系统跳转至DBR; 读取: 使用NORTON DISKEDIT, 在OBJECT菜单中选择DRIVE——>PHYSICAL DISK-—HARD DISK, 然后, 在OBJECT菜单中选择DISK PARTITION TABLE即可读取, 并使用TOOLS菜单中的WRITE OBJECT TO 选项存入指定文件备份; 写入: 使用NORTON DISKEDIT, 在OBJECT菜单中选择DRIVE——>FLOOPY DISK, 选择备份的DPT 文件, 然后使用TOOLS菜单中的WRITE OBJECT TO——>PHYSICAL SECTOR 选项写入001 (clindyer 0, side 0, sector 1); 详解: 000H--08AH MBR启动程序(寻找开机分区) 08BH--0D9H MBR启动字符串 0DAH--1BCH 保留("0") 1BEH--1FDH 硬盘分区表 1FEH--1FFH 结束标志(55AA) 活动分区主引导扇区(DBR) -------------------------- 物理位置:1面0道1扇区(clindyer 0, side 1, sector 1) 大小: FAT16 1扇区 512字节 FAT32 3扇区 1536字节 功能:包含机器CMOS等信息(0000--0059), 核对该信息并引导指定的系统文件, 如NTLDR等; 读取: 使用NORTON DISKEDIT, 在OBJECT菜单中选择DRIVE——>LOGICAL DISK-—DISK C, 然后, 在OBJECT菜单中选择BOOT RECORD即可读取, 并使用TOOLS菜单中的 WRITE OBJECT TO 选项存入指定文件备份; 写入: 使用NORTON DISKEDIT, 在OBJECT菜单中选择DRIVE——>FLOOPY DISK, 选择备份的DBR 文件, 然后使用TOOLS菜单中的WRITE OBJECT TO——>PHYSICAL SECTOR 选项写入011 (clindyer 0, side 1, sector 1); 详解: 000H--002H 3 BYTE的跳转指令(去启动程序, 跳到03EH) 003H--03DH BIOS参数区 03EH--19DH DOS启动程序 19EH--1E5H 开机字符串 1E6H--1FDH 文件名(IO.SYS, MSDOS.SYS) 1FEH--1FFH 结束标记(55AA) 硬盘分区表(DPT) --------------------- 偏移地址 字节数 含义分析 01BE 1 分区类型:00表示非活动分区:80表示活动分区;其他为无效分区。 01BF~01C1 3 *分区的起始地址(面/扇区/磁道),通常第一分区的起始地址开始 于1面0道1扇区,因此这三个字节应为010100 01C2 1 #分区的操作系统的类型。 01C3~01C5 3 *该分区的结束地址(面/扇/道) 01C6~01C9 4 该分区起始逻辑扇区 01CA~01CD 4 该分区占用的总扇区数 注释: * 注意分区的起始地址(面/扇区/磁道)和结束地址(面/扇/道)中字节分配: 00000000 01000001 00010101 ~~~~~~~~ ==^^^^^^ ======== ~ 面(磁头) 8 位 ^ 扇区 6 位 = 磁道 10 位 # 分区的操作系统类型(文件格式标志码) 4---DOS FAT16<32M 5---EXTEND 6---DOS FAT16>32M 7---NTFS(OS/2) 83---LINUX>64M DPT 总共64字节(01BE--01FD), 如上所示每个分区占16个字节, 所以可以表示四个分区, 这也 就是为什么一个磁盘的主分区和扩展分区之和总共只能有四个的原因. 逻辑驱动器 ----------- 扩展分区的信息位于以上所示的硬盘分区表(DPT)中, 而逻辑驱动器的信息则位于扩展分区的 起始扇区, 即该分区的起始地址(面/扇区/磁道)所对应的扇区, 该扇区中的信息与硬盘主引导 扇区的区别是不包含MBR, 而16字节的分区信息则表示的是逻辑驱动器的起始和结束地址等. 所以, 在磁盘仅含有一个主分区, 一个扩展分区(包含多个逻辑驱动器)的情况下, 即使由于病毒 或其他原因导致硬盘主引导扇区的数据丢失(包括DPT), 也可以通过逻辑驱动器的数据来恢复整个硬盘. 例如: 以下是一个硬盘的分区情况. 道 面 扇 道 面 扇 起始扇(逻辑) 结束扇 总共扇区 MBR 0 0 1 - - - - - - C 0 1 1 276 239 63 63 4,188,239 4,188,177 扩 277 0 1 554 239 63 4,188,240 8,391,599 4,203,360 D 277 1 1 554 239 63 4,188,303 8,391,599 4,203,297 如果主分区表损坏, 则可以通过手工查找扩展分区表中所包含的逻辑驱动器数据, 在本例中就是D盘所对应的数据, 然后将其起始扇(逻辑)减去63就是所对应的扩展分区的起始扇(逻辑), 将其起始地址(面/扇区/磁道)改为0面就是扩展分区的起始地址. 然后通过扩展分区就可以得到主分区C的信息, 然后就可以使用FDISK/MBR命令和手工填写分区表恢复整个硬盘. 实际使用这种方法比较麻烦, 如果知道每个分区的大小, 则可以通过使用PQ MAGIC 5 将磁盘重新分区为原来大小(注意: 千万不能应用, 我们只是通过它来获得数据), 并查看INFO来获得以上 数据, 记录以后取消该分区操作, 然后使用NORTON DISK2000手工修改DPT表, 恢复整个硬盘. 该例所对应的分区表数据: 80 01 01 00 06 EF 7F 14 3F 00 00 00 11 E8 3F 00 00 00 41 15 05 EF BF 2A 50 E8 3F 00 60 23 40 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA 扩展分区表数据: 00 01 41 15 07 EF BF 2A 8F E8 3F 00 21 23 40 00 注意: 逻辑起始扇区和总共分区数是左边为低位, 如该例的扩展分区的起始地址为50 E8 3F 00转换十进制时要先变为00 3F E8 50, 总共占用分区数60 23 40 00要先变为00 40 23 60, 同理当手工填写该值时也要进行高低位转换. /*定义分区表项的结构*/ typedef struct { BYTE BootFlag; /*启动标志*/ CHS StartCHS; /*分区开始的柱面、磁头、扇区*/ BYTE SystemID; /*分区类型*/ CHS EndCHS; /*分区结束的柱面、磁头、扇区*/ DWORD RelativeSectors; /*分区相对扇区数,指分区相对于记录该分区的分区表的扇区位置之差*/ DWORD TotalSectors; /*分区总扇区数*/ }PartitionTable; /*定义主引导扇区结构*/ typedef struct { CHAR bootcode[0x1be]; /*启动代码*/ PartitionTable PT[4]; /*分区表*/ WORD EndingFlag; /*结束标识*/ }MBR; /* 引导扇区是文件系统的第一个扇区,其中包含分区重要的数据信息——BPB(BIOS Paramenter Block-磁盘参数表)。磁盘参数表中包含分区总大小、磁盘参数等重要信息。其C语言定义为: */ typedef struct { BYTE JMPCode[3]; /*引导跳转代码*/ CHAR System_ID[8]; /*厂商标志和版本号*/ WORD SectorBytes; /*每扇区字节数*/ BYTE SectorsPerCluster; /*每簇扇区数*/ WORD ReservedSectors; /*保留扇区数*/ BYTE NbrFat; /*FAT的个数*/ WORD RootEntry; /*根目录项数*/ WORD TotalSectors; /*分区总扇区数(分区小于32M时)*/ BYTE Media; /*分区介质标识*/ WORD SectorsPerFAT; /*每个FAT占的扇区数*/ WORD SectorsPerTrack; /*每道扇区数*/ WORD Heads; /*磁头数*/ DWORD HiddenSectors; /*隐含扇区数*/ DWORD BigTotalSectors; /*分区总扇区数(分区大于32M时)*//*end of 23 Bytes*/ BYTE Drive; /*驱动器号*/ BYTE Head; /*磁头号*/ BYTE boot_rec_sig; /*含义未知*/ WORD Vol_Serial_NoL; /*磁盘序列号*/ WORD Vol_Serial_NoH; CHAR Label[11]; /*磁盘卷标号*/ CHAR FileSys_ID[8]; /*文件系统标识号*/ BYTE BootCode[450]; /*启动代码*/ }BPB_FAT16; /*定义驱动器参数块,方便文件管理*/ typedef struct { BYTE DriveNo; /* 驱动器号,A = 1,B = 2,etc.*/ BYTE PhyDrive; /* 物理驱动器号*/ WORD BytePerSec; /*每扇区字节数*/ WORD SectorsPerTrack; /*每道扇区号*/ BYTE SecPerClu; /*每簇扇区数,以零为基数*/ WORD FirstFATSec; /*包含第一个FAT的扇区号*/ BYTE NbrFAT; /*FAT份数*/ WORD RootEntry; /*根目录项数*/ WORD FirstDataSec; /*第一个数据扇区号*/ WORD LastClu; /*最后一个簇*/ WORD SecPreFAT; /*每FAT扇区数*/ WORD RootStartSec; /*根目录起始扇区号*/ BYTE MediaID; /*介质描述字节*/ WORD FirstFreeClu; /*第一个自由的簇号,= -1 未知*/ WORD FreeClu; /*自由簇数*/ DWORD RelativeSectors; /*指BOOT扇区以前的扇区数*/ DWORD TotalSectors; /*本分区总的扇区数*/ } DPB; /*目录项中的时间和日期定义*/ typedef struct { WORD Sec:5; WORD Min:6; WORD Hour:5; } FILEMIDTIME; typedef struct { WORD Day:5; WORD Mon:4; WORD Year:7; } FILEMIDDATE; /*目录表项的含义*/ typedef struct { CHAR FileName[FILENAMELEN]; /*主文件名*/ CHAR ExtName[FILEXTNAMELEN]; /*扩展文件名*/ BYTE ReadOnly:1; /*文件属性,只读位*/ BYTE Hidden:1; /*隐含*/ BYTE System:1; /*系统*/ BYTE Volume:1; /*卷标*/ BYTE Directory:1; /*目录*/ BYTE Archives:1; /*档案*/ CHAR Reserived[10]; /*保留*/ FILEMIDTIME FileMidTime; /*文件创建时间*/ FILEMIDDATE FileMidDate; /*日期*/ WORD StartCluster; /*起始簇*/ DWORD FileLength; /*文件长度*/ }Directory_FAT12_16; /*目录项首字节含义*/ enum DirFirstChar { DirUnUsed = 0x00, /*本表项没有使用*/ DirCharE5 = 0x05, /*首字符为0xe5*/ DirisSubDir = 0x2e, /*是一个子目录 .,..为父目录*/ DirFileisDeleted = 0xe5 /*文件已删除*/ }; /*文件结点*/ typedef struct { WORD UserCount; /*文件用户数*/ WORD Mode; /*打开模式,读,写*/ struct { BOOL DirIsModified:1; /*目录项是否已改变*/ BOOL DirIsNew:1; /*目录项是新建的*/ BOOL DirIsFull:1; /*目录是否已满*/ } DirFlag; Directory_FAT12_16 DirImg; /*本文件目录映像*/ DWORD DirOffset; /*本目录项偏移*/ DWORD DirStart; /*本目录起始扇区*/ DPB *FileDPB; /*文件设备块*/ DWORD ByteOffset; /*当前文件指针字节偏移*/ DWORD LargeOffset; /*文件最大偏移量*/ WORD BackClu; /*前一个簇*/ WORD CurrClu; /*当前簇*/ BYTE SectorInClu; /*簇中的扇区*/ WORD ByteInClu; /*在簇中的字节数*/ } FILENODE; /*磁盘介质类型*/ enum MediaType { HardDisk = 0xf8, /*硬盘*/ RAMDisk = 0xfa /*RAM盘*/ }; /*分区类型*/ enum PartionType { ParUNUsed = 0x00,/*分区没有使用*/ FAT12 = 0x01, XENIX = 0x02, FAT16 = 0x04, Extend = 0x05, BigDOS = 0x06, HPFS = 0x07, SPLIT = 0x08, FAT32 = 0x0b, DM = 0x50, GB = 0x56, SPEED = 0x61, ix386 = 0x63, Novell286 = 0x64, Novell386 = 0x65, PCIX = 0x75, CPM = 0xdb, BBT = 0xff }; /*FAT16 FAT表项的含义*/ enum FAT16TYPE { FATUnUsed = 0, /*尚未分配*/ FATReserved = 0xFFF0, /*保留*/ FATReserved1 = 0xFFF0, FATReserved2 = 0xFFF1, FATReserved3 = 0xFFF2, FATReserved4 = 0xFFF3, FATReserved5 = 0xFFF4, FATReserved6 = 0xFFF6, FATBADClu = 0xFFF7, /*表示坏簇,即该簇中磁盘有损坏;*/ FileEnd = 0xFFFF, /*文件结束标识*/ FileEnd1 = 0xFFF8, FileEnd2 = 0xFFF9, FileEnd3 = 0xFFFA, FileEnd4 = 0xFFFB, FileEnd5 = 0xFFFC, FileEnd6 = 0xFFFD, FileEnd7 = 0xFFFE, FileEnd8 = 0xFFFF }; /*硬盘缓存结构*/ #define BUFFERSIZE 512 typedef struct { struct BUFFER *p_B_next; /* 指向下一个缓存块 */ BYTE uc_DiskNo; /* 硬盘号 */ BYTE uc_Flag; /* 缓存标志,净、不净 */ DWORD ui_SectorNo; /* 缓存对应的逻辑扇区号 */ BYTE uc_Buffer [BUFFERSIZE]; /* 数据缓存BUFFERSIZE=512字节 */ } BUFFER; typedef struct { DWORD Sector; /*当前扇区*/ WORD CluInSec; /*簇在扇区中的偏移*/ }CLUINFAT; typedef struct { DWORD Sector;/*当前扇区*/ WORD DirInSec;/*目录项在扇区中的偏移*/ }DIRINSEC; typedef struct { DWORD Sector; BYTE IsMided:1; BYTE Buf[512]; }ABSSECBUFFER; typedef struct { DWORD Sector; BYTE IsMided:1; WORD Buf[256]; }FATBUFFER;