匿名投稿
投稿指南
RSS订阅核心提示:优盘上的数据按照其不同的特点和作用大致可分为5 部分:MBR区、DBR 区、FAT区、FDT区和DATA 区。 |
主引导记录(MBR)
绝对扇区号为:MBR_LBA=0x00000000 处是主引导记录,等同位于硬盘的0 磁道0 柱面1 扇区。在总共512 字节的主引导扇区中,MBR只占用了其中的446 个字节(ofs:0 - ofs:1BDH), 另外的64 个字节(ofs:1BEH -o fs:1FDH)交给了DPT(Disk Partition Table 盘分区表), 最后两个字节“55 AA”(ofs:1FEH - o fs:1FFH)是分区的结束标志。
|
MBR 定义如下: | ||
|---|---|---|
| typedef struct { | ||
| uchar bootcode[446]; | //ofs:0.启动代码。“FA 33 C0 8E D0 BC…”. | |
| PartitionTable PT[4]; //ofs:446. 分区表length=4*16. | ||
| uint EndingFlag; | //ofs:510. 结束标识:0xAA55. | |
| }MBR_tag; | ||
Bootcode[446]启动代码一般是固定的,用于引导x86,不用管分区表项的定义如下:
typedef struct {
uchar BootFlag; //启动标志
CHS StartCHS; //分区开始的柱面、磁头、扇区
uchar SystemID; //分区类型 CHS EndCHS; //分区结束的柱面、磁头、扇区
ulong RelativeSectors; //分区起始扇区数,指分区相对于记录该分区的分区表的扇区位置之差 (该分区表:LBA=0x0)。
ulong TotalSec tors;//分区总扇区数
}PartitionTable;
其中CHS 为一个柱面、磁头、扇区的结构,定义如下:
struct CHS {
uchar Head; // 磁头。
unsigned Sector : 6; //扇区。
unsigned CyH2 : 2; //柱面(高两位)。
uchar CyL8; //柱面(低八位)。
ulong Cylinder() {return (uint(CyH2)*256+CyL8 );} //返回柱面值
void SetCylinder(u int Cylinder) //设置柱面值 { CyH2=(Cylinder>>8)&0x3; CyL8=(Cylinder&0xff);
}
}; 例:80 01 01 00 0B FE BF FC 3F 00 00 00 7E 86 BB 00
在这里我们可以看到: z “80”是一个分区的激活标志,表示系统可引导; z “01 01 00”表示分区开始的磁头号为01,开始的扇区号为01,开始的柱面号为00; z “0B” 表示分区的系统类型是FAT32, 其他比较常用的有04(FAT16)、06(bigFAT16)、
01(FAT12)、07(NTFS); z “FE BF F C”表示分区结束的磁头号为254,分区结束的扇区号为63、分区结束的柱面号为764; z “3F 00 00 00”表示首扇区的相对扇区号为63; z “7E 86 BB 00 ”表示总扇区数为12289622。
系统引导记录(DBR)
绝对扇区号为:DBR_LBA=MBR.PT[0].RelativeSectors 处是D BR,等同位于硬盘的0 磁道1 柱面1 扇区(512 字节),是操作系统可以直接访问的第一个扇区,它包括一个引导程序和一个被称为BPB(Bios Parameter Block) 的本分区参数记录表。引导程序的主要任务是当MBR 将系统控制权交给它时,判断本分区跟目录前两个文件是不是操作系统的引导文件(以DOS 为例,即是Io.sys 和Msdos.sys)。如果确定存在,就把其读入内存,并把控制权交给该文件。BPB 参数块记录着本分区的起始扇区、结束扇区、文件存储格式、硬盘介质描述符、根目录大小、FAT个数,分配单元的大小等重要参数。
|
|
DBR 定义如下: | ||||
|---|---|---|---|---|---|
| typedef struct { | |||||
| uchar bJmpBoot[3]; | //o fs:0.典型的如:0xEB,0x3E,0x90。 | ||||
| char | bOEMName[8]; | / /ofs:3.典型的如:“MSWIN4. 1”。 | |||
| uint | BPB_wBytesPerSec; | //ofs:11.每扇区字节数。 | |||
| uchar BPB_bSecPerClus; | //ofs:13.每簇扇区数。 | ||||
| uint | BPB_wReservedSec; | //ofs:14.保留扇区数,从DBR 到FAT 的扇区数。 | |||
| uchar BPB_bNumFATs; | //ofs:16.FAT 的个数。 | ||||
| uint | BPB_wRootEntry; | / /ofs:17.根目录项数。 | |||
| uint | BPB_wTotalSec; | / /ofs:19.分区总扇区数(<32M时用)。 | |||
| uchar BPB_bMedia; | / /ofs:21.分区介质标识,优盘一般用0xF8。 | ||||
| uint | BPB_wSecPerFAT; | / /ofs:22.每个FAT 占的扇区数。 | |||
| uint | BPB_wSecPerTrk; | / /ofs:24.每道扇区数。 | |||
| uint | BPB_wHeads; | / /ofs:26.磁头数。 | |||
| ulong BPB_dHiddSec; | / /ofs:28.隐藏扇区数,从MBR 到DBR 的扇区数。 | ||||
| ulong BPB_dBigTotalSec; | //ofs:32.分区总扇区数(>=32M时用) 。 | ||||
| uchar bDrvNum; | //ofs:36. 软盘使用0x00,硬盘使用0x80。 | ||||
| uchar bReserved1; | //ofs:3 7.保留。 | ||||
| uchar bBootSig; | / /ofs:38.扩展引导标记:0x29。 | ||||
| uchar bVolID[4]; | / /ofs:39.盘序列号。 | ||||
| char | bVolLab[11]; | //ofs:43.“Msdos | ”。 | ||
| char | FileSysType[8]; | //ofs:54.“FAT16 | ”。 | ||
| uchar ExecutableCode[448]; | //ofs:62.引导代码。 | ||||
| uint | EndingFlag; | //ofs:510. 结束标识:0xAA55。 | |||
| }DBR_tag; | |||||
DOS 引导记录公式:
| 文件分配表≡保留扇区数 | |
| 根目录≡保留扇区数+FAT的个数×每个FAT 的扇区数 | |
| 数据区≡根目录逻辑扇区号+(32×根目录中目录项数)/ 每扇区字节数 | |
| 绝对扇区号≡逻辑扇区号+隐含扇区数 | |
| 扇区号≡(绝对扇区号 % 每磁道扇区数)+1 | |
| 磁头号≡(绝对扇区号 / 每磁道扇区数)% 磁头数 | |
| 磁道号≡(绝对扇区号 / 每磁道扇区数)/ 磁头数 |
要点:
1) DBR 位于柱面0,磁头1,扇区1,其逻辑扇区号为0
2) DBR 包含DOS 引导程序和BPB。
3) BPB 十分重要,由此可算出逻辑地址与物理地址。
文件分配表(FAT)
绝对扇区号为:FAT_LBA = DBR_LBA + BPB_wReservedSec 处是文件分配表,是DOS 文件组织结构的主要组成部分。我们知道DOS 进行分配的最基本单位是簇。文件分配表是反映硬盘上所有簇的使用情况,通过查文件分配表可以得知任一簇的使用情况。DOS 在给一个文件分配空间时总先扫描FAT, 找到第一个可用簇,将该空间分配给文件,并将该簇的簇号填到目录的相应段内。即形成了“簇号链”。FAT 就是记录文件簇号的一张表。FAT 的头两个域为保留域,对FAT12 来说是3 个字节,FAT16 来说是4 个字节。其中头一个字节是用来描述介质的,其余字节为FFH。介质格式与BPB 相同。
FAT 结构含义 :一般FAT 表的第一项为FF8H 或 FFF8H。
| FAT12 | FAT16 | 意义 |
|---|---|---|
| 000H | 0000H | 可用 |
| FF0H-FF6H | FFF0H-FFF6H | 保留 |
| FF7H | FFF7H | 坏 |
| FF8H-FFFH | FFF8H-FFFFH | 文件最后一个簇 |
| ×××H | ××××H | 文件下一个簇 |
对于FAT16,簇号×2作偏移地址,从FAT 中取出一字即为FAT 中的域。
| 逻辑扇区号 = 数据区起始逻辑扇区号+(簇号-2)×每簇扇区数 | |
|---|---|
| 簇号 =(逻辑扇区号-数据区起始逻辑扇区号)/ 每簇扇区数+2 | |
|
要点: | |
| 1) | FAT 反映硬盘上所有簇的使用情况,它记录了文件在硬盘中具体位置(簇)。 |
| 2) | 文件第一个簇号(在目录表中)和FAT 的该文件的簇号串起来形成文件的“簇号链”, |
| 修复被破坏的文件就是根据这条链。 | |
| 3) | 由簇号可算逻辑扇区号,反之,由逻辑扇区号也可以算出簇号,公式如上。 |
| 4) | FAT 位于DBR 之后,其DOS 扇区号从1 开始。 |
文件目录表(FDT)
绝对扇区号为:FDT_LBA = FAT_LBA + BPB_bNumFATs * BPB_wSecPerFAT 处是文件目录表, DOS 文件组织结构的又一重要组成部分。文件目录分为两类:根目录,子目录。根目录有一个,子目录可以有多个。子目录下还可以有子目录,从而形成“树状”的文件目录结构。子目录其实是一种特殊的文件,DOS 为目录项分配32 字节。目录项定义如下:
typedef struct{
char FileName[8]; //ofs:0. 文件名
char ExtName[3]; //ofs:8. 扩展名
uchar attribute; //ofs: 11.文件属性。典型值:存档(0x20)、卷标(0x08)。
char reserved[10]; //ofs:2 1.保留
uint time; //ofs:2 2.时间
uint data; //ofs:2 4.日期
uint StartClus; //ofs:26.开始簇号
ulong FileLength; //ofs:28.文件长度
}DIR_tag;
