硬盘分区相关资料

硬盘分区相关资料 基本定义 硬盘分区记录 MBR 表 位于硬盘分区第 0 扇区用于引导硬盘分区的含有分区表的扇区 硬盘引导记录 I O 表 位于硬盘分区第 63 扇区用于引导逻辑磁盘且含有磁盘 I O 参数 的扇 区 硬盘主引导分区 用于引导操作系统的分区 一个硬盘只能有一个主引导分区 硬盘扩展分区 用于管理一个或多个逻辑磁盘分区的分区 系统不能直接使用 硬盘逻辑分区 可供系统直接使用其扇区的硬盘分区 硬盘逻辑磁盘 被系统利用的硬盘逻辑分区的系统管理部分 基础知识 1 硬盘 0 扇区及硬盘总扇区倒数的第 100 个扇区备份有硬盘的主引导分区表 2 硬盘 63 扇区及硬盘总扇区倒数的第 99 扇区备份有硬盘的主引导扇区 即磁盘的 I 0 参 数 表 3 一般用 FDISK 分区的 FAT32 类型的硬盘在此分区的第 69 扇区处会有一个备份的引导 扇区的 信息 4 硬盘分区结构顺序 PART BOOT 保留扇区 FAT 2 ROOT DATA 5 文件分配表 FAT 首部含有十六进制数 0000F8FFFF0F 不含前导符 0000 6 文件目录表 FDT 中含有分区根目录下的目录名和文件名 如 command 和 recycled 7 被 FDISK 处理后的 BOOT 区 内容全为十六进制 F6 同时 FDISK 所备份 FAT32 的 BOOT 扇区 也被清空为 F6 再翻到 BOOT 扇区 32 位置 会有 FAT 表标志 F8FFFF0F 分区记录 80 01 01 00 0B FE 7F BE 3F 00 00 00 C0 92 6D 00 00 00 41 BF 0F FE FF FE FF 92 6D 00 FC 0C F5 01 每个表项 16 字节 低位在前高位在后 各字节的含义如下 第 00 字节 为引导标志项 值应为 00 或 80 第 01 03 字节 为分区开始的磁头 扇区 柱面号 第 04 字节 为分区系统标志 值 05 为逻辑分区记录中的扩展分区 06 为 FAT16 分区 0B 为 FAT32 分区 0F 为主分区记录中的扩展分区 第 05 07 字节 分区结束的磁头 扇区 柱面号 第 08 11 字节 逻辑分区前隐藏的扇区数或扩展分区前已用的扇区数 第 12 15 字节 所指向的分区所含的扇区数 扩展分区项应包含隐藏的 63 个扇区 引导记录 1 引导记录各字节的含义 第 00 02 字节 一个 JMP jump 跳转 指令 使启动的程序跳过磁盘 I O 数据而继续进行 一般为 EB5890 第 03 0A 字节 OEM 名称和版本号 传送系统即可解决 第 0B 0C 字节 每个扇区的字节数 一般为 0002 表示每个扇区有 512 字节 把十进制 512 转换成十六进制 0200h 字组内前后位 byte 交换 即 0002 所以此处为 0002 第 0 D 字节 20 为每个簇的扇区数 目录扇区数 得出方法 按 F4 搜索字符串 Comm and 此为 C 盘根目录下的一个文件名 最后在 28705 扇区找到了这字符串 然后往后翻 页 数一下有几个目录扇区数 结果在 28737 扇区发现已经不是目录区了 所以 目录扇 区 数 28737 28075 32 个扇区 十进制 32 转换成十六进制 20h 所以此处为 20 第 0E 0F 字节 2000 为保留扇区数 保留扇区为引导记录 BOOT 至 FAT1 间的扇区 此数算 法 95 FAT1 的开始扇区 按 F4 搜索字符串 0000F8FFFF0F 即 FAT 表前几个字节 63 隐 含扇区 32 把十进制 32 转换成十六进制 0020h 字组内前后位 byte 交换得 200 0 所以此处为 2000 第 1 0 字节 02 为 FAT 表的份数 一般 FAT32 位的有 2 份 所以为 02 第 11 12 字节 根目录项数 第 13 14 字节 磁盘分区的总扇区数 小于 2G 的分区 FAT32 位时应为 0 第 1 5 字节 F8 为介质描述 第 16 17 字节 每个文件分配表的扇区数 FAT32 位的此处应为 0 第 18 19 字节 每个磁道的扇区数 3F00 为每道的扇区数 开头显示 Sector 63 此 6 3 即每道的扇区数 将十进制 63 转换成十六进制 003Fh 字组内前后位 byte 交换得 3F 00 所以此处为 3F00 第 1A 1B 字节 磁头数 FF00 为磁头数目 开头显示 Head 25 此数即为物理磁头数 但大于 8G 硬盘其逻辑磁头数为 255 将十进制 255 转换成十六进制 00FFh 字组内前后位 byte 交换得 FF00 所以此处为 FF00 第 1C 1F 字节 隐藏扇区数 3F000000 为隐藏扇区数 这里记录着分区记录及其后面 空 扇区的总数 有 63 个扇区 把十进制 63 转换成十六进制 0000003Fh 字组内前后位 byt e 交换得 3F000000 所以此处为 3F000000 第 20 23 字节 为分区的扇区总数 大于 2G 的分区 此数值和分区记录中的分区扇区 数 是一样的 第 24 27 字节 在 FAT32 中为每个 FAT 的扇区数 算法 目录扇的开始扇区号 隐含 扇区 63 保留扇区 32 2 1405 此数就是每个 FAT 的扇区数 再将此十进制 1405 转换成十 六 进制 37E1h 字组内前后位 byte 交换 得 E1370000 所以此处为 E1370000 在 FAT 16 中其四个字节先后表示为驱动器数 保留区 扩展引导记录标识 系列号 第 28 2B 字节 FAT32 中此处应为 0 第 2C 2F 字节 FAT32 中为根目录所在簇数 02000000 簇计数从 2 开始 根目录所在 的簇 值一般为 2 簇 为 00000002h 字组内前后位 byte 交换得 02000000 所以此处为 02000 000 第 30 31 字节 FAT32 中为文件系统信息扇区数 0100 此文件系统信息扇区为 1 扇区 为 0001h 字组内前后位 byte 颠倒得 0100 所以此处为 0100 第 32 33 字节 FAT32 中为系统每个引导扇区的扇区数 0600 系统引导扇区位于系统的 保 留扇区范围之内且有一个副本 一般 FAT32 中引导扇区有 6 2 个扇区 即 63 至 75 为 0006h 字组内前后位 byte 颠倒得 0600 所以此处为 0600 第 34 3F 字节 FAT32 中为系统保留 FAT16 中第 28 35 字节为卷标 第 36 3D 字节为文件系统类型 第 3E FF 字节为 DOS 加载代 码 第 4 0 字节 FAT32 中为磁盘编号 80 第一个硬盘为 80h 第 4 1 字节 FAT32 中为系统保留 第 42 46 字节 FAT32 中为扩展的引导扇区特征码及系统安装序列号等 29 这部份可用 标 准的硬盘照搬过来 第 47 51 字节 FAT32 中为系统的卷标号 第 52 59 字节 FAT32 中为文件分配表 FAT 的类型提示符 文件分配表 FAT 文件分配表 FAT 扇区数的计算 假设 E 盘分区表位置 33077835 扇区及 E 盘 BOOT 区 33077898 扇 又知道了 E 盘 FAT 表 1 的起始位置 是第 33077930 扇区 FAT 表 2 的起始位置是第 33087718 扇区 还有 ROOT 区的起始位置 是 3309 7506 扇区 最简单的方法是 ROOT 区的起始位置减去 FAT2 的起始位置 33097506 33087718 9788 道 ROOT 区所在位置的情况下 用 FAT2 的起始位置减去 FAT1 的起始位置 33087718 33077930 9788 还有一种方法是 ROOT 区的起始位置减去 FAT 表 1 的起始位置 再除以 2 33097506 33077930 2 9788 文件目录表 FDT 按下回车查看该页是否为目录区 若是则记下该页扇区数 若不是则继续查找 文件目录 表 FDT 最明显的特征是可以看到分区根目录下的目录名和文件名 如 command 和 recycled 汉字为乱码 如果目录区在第 19625 扇区 需做如下计算 扇区数 63 32 2 196 25 63 32 2 9765 换算为十六进制 用 F7 2625 高低换位 2526 将所得到的 2526 与表二中第 24 25 字节 142D 比较 发现表二中该数错误 此时将 142D 改为 252 6 FAT32 如上计算 FAT16 有所不同 故障分析 硬盘分有 C 盘 3 676G 装操作系统 D 盘 6 292G 装办公软件 E 盘 6 292G 存有大量文档数 据 F 盘 4 227G 备份软件和系统的 Ghost 镜像文件 系统引导进入 windows 时 C D E F 四个 盘均 可见 且操作正常 一次用克隆软件恢复 C 盘系统时出现错误后 系统不能从硬盘引导启 动 系统启动时出现 em disk disk i o error 等提示信息 用干净的 A 盘引导可以看到 C D 两盘 但 C 盘上的文件全无且容量变大了许多 E F 盘不可见 且查看 E F 分区时 系 统 提示 Invalid drive specfication 无法判断硬盘规格 用 Fdisk 查看分区表 显 示主分区与扩展分区项的值正常 而查看逻辑盘时则显示 No logical drivers defined 根据这些提示 判断可能是硬盘分区表有问题 或 C 盘引导记录的 I O 参数出错 由于 C 盘 的容量变大 若直接对 C 盘格式化可能会影响到 D 盘上的数据 故不能直接采用格式化 C 盘重 装系统 根据经验分析 要修复该硬盘可以考虑如下方案 1 重新对硬盘分区 格式化并重装操作系统和应用软件 2 重新修正 C 盘引导记录上的磁盘 I O 参数 重新格式化 C 盘后重装系统 即手工清除 C 盘上 引导记录扇区数据 将它的值用 F6 填充 重新启动后再格式化 C 盘并重装系统 或找回 C 盘 正确的引导记录扇区在硬盘上的备份 并用它修复而后重新启动格式化 C 盘再重装系统 3 检查修复各分区的分区记录扇区数据 使 E F 盘在 DOS 下可见 再用克隆软件调出 在 F 盘 上的镜像文件来修复 C 盘系统 从而使得 C 盘系统正常运行 前面两种方法的工作量大 且可能造成丢失数据 第 3 种方法可以确保原 D E F 盘数据 完 整及 C 盘系统正常运行 且技术难度和时间要求不大 只是要求掌握分区记录的相关知识 因此在这里将采用第 3 种方法修复硬盘 故障修复 以下将使用 KV3000 杀毒工具软件来检查修复各分区的分区记录内容 1 用 KV3000 启动系统并进入 F6 的 磁盘救护箱 功能 再按 F6 和 F1 进入 Test Logical Hard Disk Partition 将显示如下 分区容量 分区扇区数 分区字节数 分区记录位置 Disk C 3 676G 07180992 3676667904 in 0 Disk D 6 292G 12289662 6399235584 in 07181055 Disk E 6 292G 12289662 6399235584 in 19470780 Disk F 4 227G 08257347 4013904384 in 31760505 2 根据以上提供的分区记录的位置 再用 F3 功能查看各分区记录的内容 查看过程发现各 分区位置正确 各分区记录内容如下 Part C 主引导分区记录 80010100 0BFE7FBE 3F000000 C0926D00 主分区项 000041BF 0FFEFFFF FF926D00 FC0CF501 主扩展分区项 Part D 1 逻辑分区记录 000141BF 0BFE3FBB 3F000000 7E86BB00 逻辑盘分区项 000001BC 0FFEFFB8 BD86BB00 BD86BB00 逻辑扩展区项 Part E 2 逻辑分区记录 000101BC 0BFEFFB8 3F000000 7E86BB00 逻辑盘分区项 0000C1B9 0FFE7FBA 7A0D7701 82FF7D00 逻辑扩展区项 Part F 3 逻辑分区记录 0001C1B9 0BFE7FBA 3F000000 43FF7D00 逻辑盘分区项 3 检查各分区记录内容的准确性 看看是否是因为分区记录表中指定的分区信息正确与否 对于扩展分区记录中的扩展分区项各选项的特点说明如下 1 开始和结束的磁头 扇区 柱面与下一扩展分区记录中的逻辑分区项的值基本一致 2 分区前扇区数 第 08 11 字节 为该扩展分区项所确定的逻辑分区之前的各分区扇 区数之和 含各分区前部的 63 个隐含扇区 3 容量大小等于其所确定的逻辑分区的容量与对应逻辑分区前的 63 个隐含扇区数之和 对于主分区记录上的扩展分区项说明如下 1 结束扇区 磁头 柱面对于大于 8G 的分区一般为 FEFFFF 2 扩展分区的容量为所有逻辑分区即 D E F 分区的磁盘容量之和 经检查各分区项的开始和结束的磁头 扇区 柱面及分区前扇区数 容量大小等项的数值 正确 分区记录各数据项的关系如下 07181055 6D92FFH 6D92FFH 3FH 6D92C0H 19470780 6D92FFH BB86BDH BB86BDH 3FH BB867EH 31760505 6D92FFH 01770D7AH 01770D7A 2 3FH BB867EH 4 检查各分区引导记录中各分区项的系统标志 发现分区表中的 1 2 处的内容为 0F 与主分区记录中扩展分区项的系统标志一致 将它们改为 05 存盘重新启动后 在 DOS 下 可见 E F 盘的内容 5 用 ghost 的恢复镜像文件的功能恢复系统 重新启动后可以正常使用 注 如果分区 表无误 则引导记录中的磁盘 I O 参数出错也可能导致 E F 盘不可见 补充材料 凡是用过一次 KV3000 EXE 杀毒软件的用户 会发现在 C 盘根目录下产生了两个隐含文件 即 在 DOS 下用命令 DIR C A 回车 这时 你就会发现 C 盘根目录下多出了两个文件 DISKC DAT ROOTC DAT 用工具软件查看其内容 原来 DISKC DAT 文件内保存了硬盘最为关健的 硬盘分区表 硬 盘进出 I O 表 等关键数据 而 ROOTC DAT 文件内保存了 C 盘根目录表 ROOT 表 原来 这两个文件是用户用 KV3000 查完硬盘后自动产生的 在用户不知不觉的情况下就 完 成了对硬盘重要数据的建档备份 而这些重要数据原存放的区域都是病毒经常破坏的区域 如果用户每天用 KV3000 查一次硬盘 那么 这两个文件就每天被更新一次 这些重要的数据用文件的形式被保存在硬盘内的某一区域 一旦灾难突降 即可大有用来 死而复生之用途 可是 当 硬盘分区表 日后突然被病毒破坏或是系统崩溃 或是破坏了 硬盘进出 I O 表 造成硬盘进不去了 自然 这两个文件也根本看不到它在哪里 那怎么能用来起死复 生呢 既然备份文件的数据影象在硬盘内 当今的硬盘容量可称之为海量 要一个一个扇区的去 找 这好比象大海捞针一样 谈何容易 但 这早已考虑好了 有两种方法可轻松的找到其位置 方法一 利用 KV3000 硬盘救护箱 F6 功能内的 F4 磁盘扇区字符串搜索 功能 搜索 DISKC BACKUP 字符串 注意 该字符串中间没有空格 约需搜索几分钟到几十分钟就可找到 找到后记下所在位置的扇区值 再向后翻一页 就是硬盘分区表 主引导扇区 再向后 翻一页 就是 硬盘进出 I O 表 将这两个表用 KV3000 移写扇区功能 分别写到硬盘 0 扇区 硬盘主引导扇区 与 63 扇区