磁盘底层操作及数据恢复
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一、磁盘的基本知识
� 簇: (1) DOS进行分配的最小单位。 (2)当创建一个很小的文件时,如是一个字节,则 它在磁盘上并不是只占一个字节的空间,而是占 有整个一簇。 DOS视不同的存储介质(如软盘,硬盘),不 同容量的硬盘,簇的大小也不一样。簇的大小可 在称为磁盘参数块( BPB)中获取。 (3)簇的概念仅适用于数据区。
2 . 扇区编号定义
� 绝对扇区:我们可以用柱面 /磁头/扇区来唯一定位磁盘上
每一个区域,或是说柱面 /磁头/扇区与磁盘上每一个扇区有 一一对应关系,通常 DOS将柱面/磁头/扇区这样表示法称为 绝对扇区表示法。 � 与DOS扇区:但DOS不能直接使用绝对扇区进行磁盘上 的信息管理,而是用所谓相对扇区或 DOS扇区。 � 相对扇区只是一个数字,如柱面 140,磁头3,扇区4对应的 相对扇区号为 2757。该数字与绝对扇区柱面 /磁头/扇区具有 一一对应关系。当使用相对扇区编号时, DOS是从柱面0, 磁头1,扇区1开始
� 目录项属性区域的这个字节各个位的意义如下:
7 6 5 4 3 2 1 未 修 修 子 卷 系 隐 用 改 改 目 标 wk.baidu.com 藏 标 标 录 属 属 志 志 性 性 0 只 读 属 性
� 注意:WINDOWS的长文件名使用了上表中所说的保留这片区域。 � 要点: (1)文件目录是记录所有文件,子目录名,扩展名属性,建立或 删除最后修改日期。文件开始簇号及文件长度的一张登记表 . (2)DOS中DIR列出的内容训是根据文件目录表得到的。 (3)文件起始簇号填在文件目录中,其余簇都填在 FAT中上一簇的 位置上。
簇尺寸的缩小不但降低了磁盘空间的浪费,还减少 • 随着大容量硬盘的出现,从 Windows 98开始,FAT32开始 65525个簇(簇是磁盘空间的配置单位)。 了产生磁盘碎片的可能。 流行。它是 FAT16的增强版本,可以支持大到 2TB的分区。 •缺点:随着硬盘或分区容量的增大,每个簇所占的空间将 •NTFS 支持文件加密管理功能,可为用户提供更高层次的 •FAT32 使用的簇比 FAT16小,从而有效地节约了硬盘空间。 越来越大,从而导致硬盘空间的浪费。 安全保证。
二、存储的原理
物理层 转化 磁盘 上的一片 区域 介质的 状态 不同 低级 磁盘 内容 引 导 记 录 初级文件
RAID转化 系统 接口 真正意义 上的文件 系统文件
高级磁盘 文件
还原
三、文件被访问的原理
病毒
用户层
应用层
应用软件:Word Picasa 、TTplayer
强力注入: Eg:冰刀
系统层
� 由于目前大多数硬盘采用的是一种 “垂直分区结构“,故左图 一磁头数为2、盘片数为 1的硬盘,图中0磁头所对扇区的表 示方法就有2种,即:0柱面 0磁头1扇区=绝对0扇区,而 1磁 头所对扇区的表示方法也有 2种,即: 1柱面0磁头1扇区=绝 对63扇区。如果是如右图所示磁头数为 4、盘片数为 2的硬 盘,那么则顺着垂直于盘片的箭头线方向进行如图的绝对扇 区的编号。 � 上面,我们说了物理扇区、绝对扇区的编号方式,而逻辑扇 区编号由于是操作系统采用的扇区编号方式,而操作系统只 能读取分区内部的数据内容,故逻辑扇区是从各分区内的第 一个扇区开始编号,如我们下文对 mbr的说明能知道: mbr 这个扇区所在硬盘磁道是不属于分区范围内的,紧接着他后 面的才是分区的内容 ,因此一般来说绝对 63扇区= c:分区逻辑 1扇区。
一、磁盘的基本知识
� 公式:DH--第一个 DOS扇区的磁头号 DC--第一个 DOS扇区的柱面号 DS--第一个DOS扇区的扇区号 NS--每磁道扇区数 NH--磁盘总的磁头数 则某扇区(柱面 C,磁头H,扇区S)的相对扇区号 RS 为:
� RS=NH×NS×(C-DC)+NS×(H-DH)+(S-DS) 若已知 RS,DC,DH,DS,NS和NH则 � S=(RS MOD NS)+DS � H=((RS DIV NS)MOD NH)+DH � C=((RS DIV NS)DIV NH)+DC 要点:(1)以柱面 /磁头/扇区表示的为绝对扇区又称物理磁盘地址 (2)单一数字表示的为相对扇区或 DOS扇区,又称逻辑扇区号 (3)相对扇区与绝对扇区的转换公式
3 . 引导记录 • 文件分配表(FAT:File Assign Table)
• 文件分配表是DOS文件组织结构的主要组成部分。 我们知道 DOS 进行分配的最基本单位是簇。 (1)FAT 反映硬盘上所有簇的使用情况, • 文件分配表是反映硬盘上所有簇的使用情况,通过 它记录了文件在硬盘中具体位置(簇)。 查文件分配表可以得知任一簇的使用情况。 在给一个文件分配空间时总先扫描 FAT ,找到 • DOS (2)文件第一个簇号(在目录表中)和 的 FAT 第一个可用簇,将该空间分配给文件,并将该簇的 该文件的簇号串起来形成文件的簇号链, 簇号填到目录的相应段内。即形成了簇号链。 恢复被破坏的文件就是根据这条链。 FAT 就是记录文件簇号的一张表。 • 介质格式与BPB相同
(注:柱面0,磁头0,扇区1没有DOS扇区编号,DOS下不能访 问,只能调用BIOS访问),第一个DOS扇区编号为0,该磁道上 剩余的扇区编号为1到16(设每磁道17个扇区),然后是磁头号 为2,柱面为0的17个扇区,形成的DOS扇区号从17到33。直到该 柱面的所有磁头。然后再移到柱面1,磁头1,扇区1继续进行 DOS扇区的编号,即按扇区号,磁头号,柱面号(磁道号)增长 的顺序连续地分配DOS扇区号。
� 目录项的格式
字节偏移 意义 占字节数 00H 文件名 8B 08H 扩展名 3B 0BH 文件属性 1B 保留 0CH 10B 16H 时间 2B 18H 日期 2B 1AH 开始簇号 2B 1CH 文件长度 4B � 目录项文件名区域中第一个字节还有特殊的意义: 00H代表 未使用 � 05H代表实际名为 E5H � EBH代表此文件已被删除
第一讲、磁盘底层操作 及数据恢复
张运磾
9–5-2
一、磁盘的基本知识
1.磁盘的结构
由坚硬金属材料制成的涂以磁性介质的盘片,不同 容量硬盘的盘片数不等。每个盘片有两面,都可记 录信息。
磁性介质 坚硬金属材料 盘片
…………
机械硬盘
………… ………… ……
一、磁盘的基本知识
� 扇区:盘片被分成许多扇形的区域,每个区域叫一个扇区 每个扇区可存储 128×2的N次方字节信息。 在DOS中每扇区是 128×2的2次方=512字节。 � 磁道:盘片表面上以盘片中心为圆心,不同半径的同心圆 为磁道。 � 柱面:不同盘片相同半径的磁道所组成的圆柱。 � 磁道与柱面都是表示不同半径的圆,在许多场合,磁道和柱 面可以互换使用,我们知道,每个磁盘有两个面,每个面都 有一个磁头,习惯用磁头号(扇面)来区分。扇区,磁道 (或柱面)和磁头数构成了硬盘结构的基本参数,
explorer
系统 日志
物理层
磁盘上的数据
四、磁盘底层操作的利器
DiskGen
PE
五、数据恢复
在虚拟机里实验
谢谢!!
3 . 引导记录
� Dos引导记录(DBR:DosBoot Record)
� DBR位于柱面0,磁头1,扇区1,即逻辑扇区 0。DBR分为 两部分:DOS引导程序和 BPB(BIOS参数块)。其中 DOS 引导程序完成 � DOS系统文件( IO.SYS,MSDOS.SYS)的定位与装载, 而BPB用来描述本 DOS分区的磁盘信息,它包含逻辑格式化 时使用的参数,可供 DOS计算磁盘上的文件分配表,目录区 和数据区的起始地址。 � BPB之后三个字提供物理格式化(低格)时采用的一些参数。 引导程序或设备驱动程序根据这些信息将磁盘逻辑地址 (DOS扇区号)转换成物理地址(绝对扇区号)。
� “物理扇区编号”+“绝对扇区编号”+“逻辑扇区编号 ” 1. 直接按柱面、磁头、扇区 3者的组合来定位(按这种编号方
式得到的扇区编号称为物理扇区编号); 2. 按扇区编号来定位(又分 “绝对扇区编号 “和“逻辑扇区编号 “两种)。
这两种定位办法的换算 关系如右图: (设图中所示硬盘每道扇 区数均为63)
前4个重要信息在磁盘的外磁道上 . 原因:是外圈周长总大于内圈周长, 也即外圈存储密度要小些, 可伤心性高些。
3 . 引导记录
• 主引导记录(MBR:Main Boot Record) MBR位于硬盘第一个物理扇区(绝对扇区)柱面 0,磁头0,扇区1处。由于DOS是由柱面0,磁头1, 扇区1开始,故MBR不属于DOS扇区,DOS不能直接 访问。 MBR中包含硬盘的主引导程序和硬盘分区表。 分区表有4个分区记录区。记录区就是记录有关分区 信息的一张表。
3 . 引导记录
整个磁盘按所记录数据的作用不同可分为
� � � � �
主引导记录(MBR:Main Boot Record) Dos引导记录(DBR:DosBoot Record) 文件分配表(FAT:File Assign Table) 根目录(BD:Boot Directory) 数据区(DA:Data area)
3 . 引导记录
� 根目录(BD:Boot Directory)
�文件目录是 DOS文件组织结构的又一重要组成部分。 �文件目录分为两类:根目录,子目录。 �根目录有一个,子目录可以有多个。子目录下还可以有子目录, �从而形成树状的文件目录结构。子目录其实是一种特殊的文件, �DOS为目录项分配 32字节。 �目录项分为三类:文件,子目录(其内容是许多目录项), 卷标(只能在根目录,只有一个)。 目录项中有文件(或子目录,或卷标)的名字,扩展名, 属性,生成或最后修改日期,时间,开始簇号,及文件大小。
选择何种文件系统 ?
普通用户在决定采用什么样的文件系统时应从以下几点出发: 1) 单一系统还是多启动的系统(即多操作系统); 2) 硬件平台; 3) 硬盘的大小与数量; 4) 安全性考虑。 在系统的安全性方面, NTFS文件系统具有很多 FAT32/FAT16文件系统所不具备 的特点,而且基于 NTFS文件系统的 Windows 2000/XP/2003 运行要快于基于 FAT文件系统的;而在与 Win 9X的兼容性方 面,FAT优于NTFS。
一、磁盘的基本知识
4.格式分类:意义在于对硬盘分区的管理。
常见的有: FAT16、FAT32、NTFS
NTFS:保密性好 FAT16 :最常用 •以簇为单位来存储数据文件, • DOS 、Windows 95、 Windows 98/2000/ XP等系统均支持 •优点:但 NTFS 中簇的大小并不依赖于磁盘或分区的大小。 FAT32 :过度作用 •最大可以管理大到 2GB的分区,但每个分区最多只能有