金年会 金字招牌诚信至上,金年会 金字招牌诚信至上,金年会 金字招牌诚信至上,金年会 金字招牌诚信至上

 找回密碼
 注冊

QQ登錄

只需一步,快速開(kāi)始

查看: 602|回復: 0
打印 上一主題 下一主題

[數據恢復] 硬盤(pán)數據結構

跳轉到指定樓層
1#
sungnie 發(fā)表于 2013-6-26 16:27:33 | 只看該作者 回帖獎勵 |倒序瀏覽 |閱讀模式 來(lái)自 中國重慶

馬上注冊,結交更多好友,享用更多功能。

您需要 登錄 才可以下載或查看,沒(méi)有帳號?注冊

x
硬盤(pán)數據結構



初買(mǎi)來(lái)一塊硬盤(pán),我們是沒(méi)有辦法使用的,你需要將它分區、格式化,然后再安裝上操作系統才可以使用。就拿我們一直沿用到現在的Win9x/Me系列來(lái)說(shuō),我們一般要將硬盤(pán)分成主引導扇區、操作系統引導扇區、FAT、DIR和Data等五部分(其中只有主引導扇區是唯一的,其它的隨你的分區數的增加而增加)。



主引導扇區數據恢復


主引導扇區位于整個(gè)硬盤(pán)的0磁道0柱面1扇區,包括硬盤(pán)主引導記錄MBR(Main Boot Record)和分區表DPT(Disk Partition Table)。其中主引導記錄的作用就是檢查分區表是否正確以及確定哪個(gè)分區為引導分區,并在程序結束時(shí)把該分區的啟動(dòng)程序(也就是操作系統引導扇區)調入內存加以執行。至于分區表,很多人都知道,以80H或00H為開(kāi)始標志,以55AAH為結束標志,共64字節,位于本扇區的最末端。值得一提的是,MBR是由分區程序(例如DOS 的Fdisk.exe)產(chǎn)生的,不同的操作系統可能這個(gè)扇區是不盡相同。如果你有這個(gè)意向也可以自己去編寫(xiě)一個(gè),只要它能完成前述的任務(wù)即可,這也是為什么能實(shí)現多系統啟動(dòng)的原因(說(shuō)句題外話(huà):正因為這個(gè)主引導記錄容易編寫(xiě),所以才出現了很多的引導區病毒)。



操作系統引導扇區數據恢復



OBR(OS Boot Record)即操作系統引導扇區,通常位于硬盤(pán)的0磁道1柱面1扇區(這是對于DOS來(lái)說(shuō)的,對于那些以多重引導方式啟動(dòng)的系統則位于相應的主分區/擴展分區的第一個(gè)扇區),是操作系統可直接訪(fǎng)問(wèn)的第一個(gè)扇區,它也包括一個(gè)引導程序和一個(gè)被稱(chēng)為BPB(BIOS Parameter Block)的本分區參數記錄表。其實(shí)每個(gè)邏輯分區都有一個(gè)OBR,其參數視分區的大小、操作系統的類(lèi)別而有所不同。引導程序的主要任務(wù)是判斷本分區根目錄前兩個(gè)文件是否為操作系統的引導文件(例如MSDOS或者起源于MSDOS的Win9x/Me的IO.SYS和MSDOS.SYS)。如是,就把第一個(gè)文件讀入內存,并把控制權交予該文件。BPB參數塊記錄著(zhù)本分區的起始扇區、結束扇區、文件存儲格式、硬盤(pán)介質(zhì)描述符、根目錄大小、FAT個(gè)數、分配單元(Allocation Unit,以前也稱(chēng)之為簇)的大小等重要參數。OBR由高級格式化程序產(chǎn)生(例如DOS 的Format.com)。



文件分配表數據恢復



FAT(File Allocation Table)即文件分配表,是DOS/Win9x系統的文件尋址系統,為了數據安全起見(jiàn),FAT一般做兩個(gè),第二FAT為第一FAT的備份, FAT區緊接在OBR之后,其大小由本分區的大小及文件分配單元的大小決定。關(guān)于FAT的格式歷來(lái)有很多選擇,Microsoft 的DOS及Windows采用我們所熟悉的FAT12、FAT16和FAT32格式,但除此以外并非沒(méi)有其它格式的FAT,像Windows NT、OS/2、UNIX/Linux、Novell等都有自己的文件管理方式。



目錄區數據恢復



DIR是Directory即根目錄區的簡(jiǎn)寫(xiě),DIR緊接在第二FAT表之后,只有FAT還不能定位文件在磁盤(pán)中的位置,FAT還必須和DIR配合才能準確定位文件的位置。DIR記錄著(zhù)每個(gè)文件(目錄)的起始單元(這是最重要的)、文件的屬性等。定位文件位置時(shí),操作系統根據DIR中的起始單元,結合FAT表就可以知道文件在磁盤(pán)的具體位置及大小了。在DIR區之后,才是真正意義上的數據存儲區,即DATA區。



數據區數據恢復



DATA雖然占據了硬盤(pán)的絕大部分空間,但沒(méi)有了前面的各部分,它對于我們來(lái)說(shuō),也只能是一些枯燥的二進(jìn)制代碼,沒(méi)有任何意義。在這里有一點(diǎn)要說(shuō)明的是,我們通常所說(shuō)的格式化程序(指高級格式化,例如DOS下的Format程序),并沒(méi)有把DATA區的數據清除,只是重寫(xiě)了FAT表而已,至于分區硬盤(pán),也只是修改了MBR和OBR,絕大部分的DATA區的數據并沒(méi)有被改變,這也是許多硬盤(pán)數據能夠得以修復的原因。但即便如此,如MBR/OBR/FAT/DIR之一被破壞的話(huà),也足夠咱們那些所謂的DIY老鳥(niǎo)們忙乎半天了……需要提醒大家的是,如果你經(jīng)常整理磁盤(pán),那么你的數據區的數據可能是連續的,這樣即使MBR/FAT/DIR全部壞了,我們也可以使用磁盤(pán)編輯軟件(比如DOS下的DiskEdit),只要找到一個(gè)文件的起始保存位置,那么這個(gè)文件就有可能被恢復(當然了,這需要一個(gè)前提,那就是你沒(méi)有覆蓋這個(gè)文件……)。



硬盤(pán)分區恢復



我們平時(shí)說(shuō)到的分區概念,不外乎三種:主分區、擴展分區和邏輯分區。



主分區是一個(gè)比較單純的分區,通常位于硬盤(pán)的最前面一塊區域中,構成邏輯C磁盤(pán)。在主分區中,不允許再建立其它邏輯磁盤(pán)。



擴展分區的概念則比較復雜,也是造成分區和邏輯磁盤(pán)混淆的主要原因。由于硬盤(pán)僅僅為分區表保留了64個(gè)字節的存儲空間,而每個(gè)分區的參數占據16個(gè)字節,故主引導扇區中總計可以存儲4個(gè)分區的數據。操作系統只允許存儲4個(gè)分區的數據,如果說(shuō)邏輯磁盤(pán)就是分區,則系統最多只允許4個(gè)邏輯磁盤(pán)。對于具體的應用,4個(gè)邏輯磁盤(pán)往往不能滿(mǎn)足實(shí)際需求。為了建立更多的邏輯磁盤(pán)供操作系統使用,系統引入了擴展分區的概念。



所謂擴展分區,嚴格地講它不是一個(gè)實(shí)際意義的分區,它僅僅是一個(gè)指向下一個(gè)分區的指針,這種指針結構將形成一個(gè)單向鏈表。這樣在主引導扇區中除了主分區外,僅需要存儲一個(gè)被稱(chēng)為擴展分區的分區數據,通過(guò)這個(gè)擴展分區的數據可以找到下一個(gè)分區(實(shí)際上也就是下一個(gè)邏輯磁盤(pán))的起始位置,以此起始位置類(lèi)推可以找到所有的分區。無(wú)論系統中建立多少個(gè)邏輯磁盤(pán),在主引導扇區中通過(guò)一個(gè)擴展分區的參數就可以逐個(gè)找到每一個(gè)邏輯磁盤(pán)。



需要特別注意的是,由于主分區之后的各個(gè)分區是通過(guò)一種單向鏈表的結構來(lái)實(shí)現鏈接的,因此,若單向鏈表發(fā)生問(wèn)題,將導致邏輯磁盤(pán)的丟失。



數據存儲原理



既然要進(jìn)行數據恢復,當然數據的存儲原理我們不能不提,在這之中,我們還要介紹一下數據的刪除和硬盤(pán)的格式化相關(guān)問(wèn)題……



文件的數據讀取與數據恢復



操作系統從目錄區中讀取文件信息(包括文件名、后綴名、文件大小、修改日期和文件在數據區保存的第一個(gè)簇的簇號),我們這里假設第一個(gè)簇號是0023。



操作系統從0023簇讀取相應的數據,然后再找到FAT的0023單元,如果內容是文件結束標志(FF),則表示文件結束,否則內容保存數據的下一個(gè)簇的簇號,這樣重復下去直到遇到文件結束標志。



文件的寫(xiě)入與數據恢復



當我們要保存文件時(shí),操作系統首先在DIR區中找到空區寫(xiě)入文件名、大小和創(chuàng )建時(shí)間等相應信息,然后在Data區找到閑置空間將文件保存,并將Data區的第一個(gè)簇寫(xiě)入DIR區,其余的動(dòng)作和上邊的讀取動(dòng)作差不多。



文件的刪除數據恢復



看了前面的文件的讀取和寫(xiě)入,你可能沒(méi)有往下邊繼續看的信心了,不過(guò)放心,Win9x的文件刪除工作卻是很簡(jiǎn)單的,簡(jiǎn)單到只在目錄區做了一點(diǎn)小改動(dòng)――將目錄區的文件的第一個(gè)字符改成了E5就表示將改文件刪除了。



Fdisk和Format的一點(diǎn)小說(shuō)明



和文件的刪除類(lèi)似,利用Fdisk刪除再建立分區和利用Format格式化邏輯磁盤(pán)(假設你格式化的時(shí)候并沒(méi)有使用/U這個(gè)無(wú)條件格式化參數)都沒(méi)有將數據從DATA區直接刪除,前者只是改變了分區表,后者只是修改了FAT表,因此被誤刪除的分區和誤格式化的硬盤(pán)完全有可能恢復……

偉特電腦科技,您身邊的數據恢復專(zhuān)家。聯(lián)系電話(huà)023-68962257


您需要登錄后才可以回帖 登錄 | 注冊

本版積分規則

快速回復 返回頂部 返回列表
商洛市| 万山特区| 大邑县| 丹凤县| 宣汉县| 洪泽县| 大荔县| 翁源县| 双辽市| 中山市| 汉沽区| 江阴市| 竹山县| 天等县| 锦屏县| 张北县| 仁布县| 紫阳县| 淄博市| 怀仁县| 堆龙德庆县| 德江县| 溧水县| 宜君县| 凉城县| 莲花县| 贞丰县| 安化县| 盐边县| 石渠县| 武宣县| 鲁山县| 舞钢市| 时尚| 浦城县| 洛浦县| 河南省| 玛沁县| 大厂| 冕宁县| 安阳市|