数据恢复技术学习研究体会

数据恢复核心知识

一、 硬盘数据结构

C 盘

D 盘

E 盘 ….. …..

二、主引导扇区

（一）、主引导扇区组成：由440个字节的MBR 引导程序、4个字节的磁盘签名、2个字节的保留扇区、64个字节的分区结构信息、2个字节结束标志55 AA 组成。

1、 MBR 中的磁盘分区表组成：1个字节的引导指示符、3个字节的开始磁头、开始扇区、

3（1）、系统激活标志为80H ，非激活为00H 。 （2）、微软常见的文件系统即分区类型标识

Ⅰ、主分区中FA T12为01H,FA T16为06H 表示大于32M 的分区而04H 表示小于32M 的分区，FA T32为0BH 表示小于8.4G 的分区而0CH 却表示大于8.4G 的分区，NTFS 为07H ； Ⅱ、扩展分区大于8.4G 时用0FH 而小于8.4G 时用05H

三、操作系统引导扇区（FA T32的DBR 备份为第一个DBR 向下数6个扇数

NTFS 的DBR 备份为该分区扇区总数减去1.即该分区最后一个扇区。）

（一）、操作系统引导扇区组成：跳转指令，厂商标志和操作系统版本号，主BPB 参数表，扩展BPB 参数表， DOS 引导程序，结束标志几部分组成。

1、FA T16分区中的DBR 扇区由六部分组成：3个字节的跳转指令（EB 3C 90）、8个字节的厂商标志及OS 版本号、25字节的主BPB 参数表、26个节的扩展BPB 参数表、448个字节的DOS 引导代码、2个字节的有效结束标志。

（1）、FAT16分区的DBR 中25个字节的主BPB 参数表(主BPB 参数是从DBR 的12

字节开始的)的含义详解： 12至13字节为每扇区字节数,

14字节为每簇的扇区数，

15至16字节为dos保留扇区（第一个FAT表开始之前的扇区数即DBR到FAT的距离。），

17字节为FAT表个数，

18字节至19字节为根目录项数（根目录最多存放512个文件），

20字节至21字节为扇区总数(小于32M的分区在此存放）

22字节为媒体描述符(媒体描述符要用于MS-DOS FAT16磁盘），

23字节至24字节为每个FAT扇区数一般为250(只被FAT12/FAT16)，

25字节至26字节为每磁道扇区数63，

27字节至28字节为磁头数（在一张1.44MB 3.5英寸的软盘上，本字段的值为2），

29字节至32字节为隐藏扇区数（该分区上引导扇区之前的扇区数。在没有分区的媒体上它必须总是为0。），

33字节至36字节为该分区的总扇区数（大于32M的分区在此存放），

FAT16分区的DBR中26个字节的扩展BPB参数表(扩展BPB参数是从DBR的37字节开始的)的含义详解：

37字节为BIOS设备一般是80

38字节为保留

39字节为扩展引导标志

40字节至43字节为卷序列号，随机产生

44字节至最54字节为卷标

55字节至62字节为文件系统格式的AS CⅡ码。

2、FAT32分区中的DBR扇区由六部分组成：3个字节的跳转指令(EB 58 90)、8个字节的厂商标志及OS版本号、53字节的BPB参数表、26个节的扩展BPB参数表、420个字节的DOS 引导代码、2个字节的有效结束标志。

（1）、FAT32分区的DBR中53个字节的主BPB参数表(主BPB参数是从DBR的12字节开始的)的含义详解：

12至13字节为每扇区字节数一般为512

14字节为簇大小，即每个簇占用的扇区数，

15至16字节为dos保留扇区（即DBR到FAT表的距离），

17字节为FAT表的个数，

18字节至19字节为根目录项数一般为00 00(不用了。)

20字节至21字节为小于此32M的分区扇区数一般为00 00（不用了。）

22字节为媒体描述符一般硬盘为F8

23字节至24字节为每FAT扇区数一般为00 00（不用了）

25字节至26字节为每磁道扇区数，

27字节至28字节为磁头数一般为255，

29字节至32字节为隐含扇区数（从零到DBR的扇区数。），

33字节至36字节为该分区的总扇区数，即分区的大小

37字节至40字节为每个FAT扇区数

41字节至42字节为：扩展标志(只被FAT32使用)该两个字节结构中各位的值为：

位0-3：活动FAT数(从0开始计数，而不是1).

只有在不使用镜像时才有效

位4-6：保留

位7：0值意味着在运行时FAT被映射到所有的FAT

1值表示只有一个FAT是活动的

位8-15：保留

43字节至44字节为文件系统版本(只供FAT32使用,高字节是主要的修订号，而低字节是次要的修订号。本字段支持将来对该FAT32媒体类型进行扩展。如果本字段非零，以前的Windows版本将不支持这样的分区)，

45字节至48字节为引导目录的第一簇，即根目录所在的位置。

49字节至最50字节为文件系统信息扇区号(只供FAT32使用，FAT32分区的保留区中的文件系统信息(File System Information, FSINFO)结构的扇区号。其值一般为1。在备份引导扇区(Backup Boot Sector)中保留了该FSINFO结构的一个副本，但是这个副本不保持更新)

51字节至52字节为DBR的备份扇区（是从DBR所在的位置63向下数的扇区数即为备份扇区）

FAT32分区的DBR中26个字节的扩展BPB参数表(扩展BPB参数表是从DBR的66字节开始的)的含义详解：

66字节为物理驱动器号( 与BIOS物理驱动器号有关。软盘驱动器被标识为0x00，物理硬盘被标识为0x80，而与物理磁盘驱动器无关。一般地，在发出一个INT13h BIOS调用之前设置该值，具体指定所访问的设备。只有当该设备是一个引导设备时，这个值才有意义)，

67字节为保留FAT32分区总是将本字段的值设置为0，

68字节为扩展引导标签( 本字段必须要有能被Windows 2000所识别的值0x28或0x29)

69字节至72字节为分区序号( 在格式化磁盘时所产生的一个随机序号，它有助于区分磁盘)，

73字节至83字节为卷标(本字段只能使用一次，它被用来保存卷标号。现在，卷标被作为一个特殊文件保存在根目录中)，

84字节至91字节为系统ID(System ID) FAT32文件系统中一般取为"FAT32"，

3、NTFS分区中的DBR扇区由六部分组成：3个字节跳转指令(EB 52 90)、8个字节的文件系统标识ASCⅡ码形式、73个字节的BPB参数表、426个字节的DOS引导代码、2个字节的有效结束标志。（如果NTFS分区中的DBR损坏后用备份DBR恢复时要看紧挨DBR后NTLDR 扇区在没有，否则不起作用。）

（1）、Ⅲ、NTFS分区的DBR中73个字节的BPB参数表(主BPB参数是从DBR的12字节开始的)的含义详解：

12至13字节为每扇区字节数，

14字节为每簇的扇区数，

15至16字节为dos保留扇区为0

17字节至19字节常常为0

20字节至21字节为未使用

22字节为介质描述符F8

23字节至24字节为未使用

25字节至26字节为每磁道的扇区数