硬盘主引导扇区 = 硬盘主引导记录(MBR)+ 硬盘分区表(DPT)
--------------------------------------------------------------
物理位置:0面0道1扇区(clindyer 0, side 0, sector 1)
大小: 512字节0
其中:MBR 446字节(0000--01BD),DPT 64字节(01BE--01FD),结束标志2字节(55 AA)
功能:MBR通过检查DPT分区信息引导系统跳转至DBR;
读取: 使用NORTON DISKEDIT, 在OBJECT菜单中选择DRIVE——>PHYSICAL DISK-—HARD DISK,
然后, 在OBJECT菜单中选择DISK PARTITION TABLE即可读取, 并使用TOOLS菜单中的WRITE OBJECT TO 选项存入指定文件备份;
写入: 使用NORTON DISKEDIT, 在OBJECT菜单中选择DRIVE——>FLOOPY DISK, 选择备份的DPT
文件, 然后使用TOOLS菜单中的WRITE OBJECT TO——>PHYSICAL SECTOR 选项写入001
(clindyer 0, side 0, sector 1);
详解:
000H--08AH MBR启动程序(寻找开机分区)
08BH--0D9H MBR启动字符串
0DAH--1BCH 保留("0")
1BEH--1FDH 硬盘分区表
1FEH--1FFH 结束标志(55AA)
活动分区主引导扇区(DBR)
--------------------------
物理位置:1面0道1扇区(clindyer 0, side 1, sector 1)
大小: **T16 1扇区 512字节
**T32 3扇区 1536字节
功能:包含机器CMOS等信息(0000--0059), 核对该信息并引导指定的系统文件, 如NTLDR等;
读取: 使用NORTON DISKEDIT, 在OBJECT菜单中选择DRIVE——>LOGICAL DISK-—DISK C,
然后, 在OBJECT菜单中选择BOOT RECORD即可读取, 并使用TOOLS菜单中的
WRITE OBJECT TO 选项存入指定文件备份;
写入: 使用NORTON DISKEDIT, 在OBJECT菜单中选择DRIVE——>FLOOPY DISK, 选择备份的DBR
文件, 然后使用TOOLS菜单中的WRITE OBJECT TO——>PHYSICAL SECTOR 选项写入011
(clindyer 0, side 1, sector 1);
详解:
000H--002H 3 BYTE的跳转指令(去启动程序, 跳到03EH)
003H--03DH BIOS参数区
03EH--19DH DOS启动程序
19EH--1E5H 开机字符串
1E6H--1FDH 文件名(IO.SYS, MSDOS.SYS)
1FEH--1FFH 结束标记(55AA)
---------------------
01BE 1 分区类型:00表示非活动分区:80表示活动分区;其他为无效分区。
01BF~01C1 3 *分区的起始地址(面/扇区/磁道),通常第一分区的起始地址开始
于1面0道1扇区,因此这三个字节应为010100
01C2 1 #分区的操作系统的类型。
01C3~01C5 3 *该分区的结束地址(面/扇/道)
01C6~01C9 4 该分区起始逻辑扇区
01CA~01CD 4 该分区占用的总扇区数
注1:此处第一个字节存放磁头号(01、0B),第二字节低六位存放扇区号01=00(00 0001)=00(01)、FE=11(11 1110)=11(3F),第二字节高2位+第三字节为柱面号00(00)=000、11(7F)=37F。
面(磁头) 8 位,扇区 6 位,磁道 10 位
还需要说明的是01BF—01C1这3个字节在分区表里面,视后面01C2字节所示分区类型的不同而代表不同的含义。如果01C2是代表主分区的01、 04、06或0B,那么01BF—01C1所表示的就是该分区DBR所在的位置,如果01C2是代表扩展分区的05或0F,那么01BF—01C1所表示 的就是该分区MBR所在的位置。第一个分区表项(01BE—01CD)描述的是C:盘的信息,第二个分区表项(01CE—01DD)描述的是整个扩展分区的信息,它把剩下的D:、E:全部包含在里面了!第二个分区表项的分区类型符为0F,也就是说是扩展分区,那么分区类型符前面3个字节所代表的应该是扩展分区MBR所在的位置。可见不光是全盘最前面的0磁头0柱面1扇区有一份主MBR,扩展分区的最前面也有一份MBR!
分区文件系统标志:
分区未用: 0x00H.
扩展分区: 0x05H, 0x0FH.
FAT16分区: 0x06H.
FAT32分区: 0x0BH, 0x1BH, 0x0CH, 0x1CH.
NTFS分区: 0x07H.
DPT 总共64字节(01BE--01FD), 如上所示每个分区占16个字节, 所以可以表示四个分区, 这也
就是为什么一个磁盘的主分区和扩展分区之和总共只能有四个的原因.
逻辑驱动器
-----------
扩展分区的信息位于以上所示的硬盘分区表(DPT)中, 而逻辑驱动器的信息则位于扩展分区的
起始扇区, 即该分区的起始地址(面/扇区/磁道)所对应的扇区, 该扇区中的信息与硬盘主引导
扇区的区别是不包含MBR, 而16字节的分区信息则表示的是逻辑驱动器的起始和结束地址等.
所以, 在磁盘仅含有一个主分区, 一个扩展分区(包含多个逻辑驱动器)的情况下, 即使由于病毒
或其他原因导致硬盘主引导扇区的数据丢失(包括DPT), 也可以通过逻辑驱动器的数据来恢复整个硬盘.
例如: 以下是一个硬盘的分区情况.
道 面 扇 道 面 扇 起始扇(逻辑) 结束扇 总共扇区
MBR 0 0 1 - - - - - -
C 0 1 1 276 239 63 63 4,188,239 4,188,177
扩 277 0 1 554 239 63 4,188,240 8,391,599 4,203,360
D 277 1 1 554 239 63 4,188,303 8,391,599 4,203,297
如果主分区表损坏, 则可以通过手工查找扩展分区表中所包含的逻辑驱动器数据, 在本例中就是D盘所对应的数据, 然后将其起始扇(逻辑)减去63就是所对应的扩展分区的起始扇(逻辑), 将其起始地址(面/扇区/磁道)改为0面就是扩展分区的起始地址. 然后通过扩展分区就可以得到主分区C的信息, 然后就可以使用FDISK/MBR命令和手工填写分区表恢复整个硬盘.
实际使用这种方法比较麻烦, 如果知道每个分区的大小, 则可以通过使用PQ MAGIC 5 将磁盘重新分区为原来大小(注意: 千万不能应用, 我们只是通过它来获得数据), 并查看INFO来获得以上
数据, 记录以后取消该分区操作, 然后使用NORTON DISK2000手工修改DPT表, 恢复整个硬盘.
该例所对应的分区表数据:
80 01
01 00 06 EF 7F 14 3F 00 00 00 11 E8 3F 00 00 00
41 15 05 EF BF 2A 50 E8 3F 00 60 23 40 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA
扩展分区表数据:
00 01
41 15 07 EF BF 2A 8F E8 3F 00 21 23 40 00
注意: 逻辑起始扇区和总共分区数是左边为低位, 如该例的扩展分区的起始地址为50 E8 3F 00转换十进制时要先变为00 3F E8 50, 总共占用分区数60 23 40 00要先变为00 40 23 60, 同理当手工填写该值时也要进行高低位转换.
/*定义分区表项的结构*/
typedef struct
{
BYTE BootFlag; /*启动标志*/
CHS StartCHS; /*分区开始的柱面、磁头、扇区*/
BYTE SystemID; /*分区类型*/
CHS EndCHS; /*分区结束的柱面、磁头、扇区*/
DWORD RelativeSectors; /*分区相对扇区数,指分区相对于记录该分区的分区表的扇区位置之差*/
DWORD TotalSectors; /*分区总扇区数*/
}PartitionTable;
/*定义主引导扇区结构*/
typedef struct
{
CHAR bootcode[0x1be]; /*启动代码*/
PartitionTable PT[4]; /*分区表*/
WORD EndingFlag; /*结束标识*/
}MBR;
/*
引导扇区是文件系统的第一个扇区,其中包含分区重要的数据信息——BPB(BIOS Paramenter
Block-磁盘参数表)。磁盘参数表中包含分区总大小、磁盘参数等重要信息。其C语言定义为:
*/
typedef struct
{
BYTE JMPCode[3]; /*引导跳转代码*/
CHAR System_ID[8]; /*厂商标志和版本号*/
WORD SectorBytes; /*每扇区字节数*/
BYTE SectorsPerCluster; /*每簇扇区数*/
WORD ReservedSectors; /*保留扇区数*/
BYTE Nbr**t; /***T的个数*/
WORD RootEntry; /*根目录项数*/
WORD TotalSectors; /*分区总扇区数(分区小于32M时)*/
BYTE Media; /*分区介质标识*/
WORD SectorsPer**T; /*每个**T占的扇区数*/
WORD SectorsPerTrack; /*每道扇区数*/
WORD Heads; /*磁头数*/
DWORD HiddenSectors; /*隐含扇区数*/
DWORD BigTotalSectors; /*分区总扇区数(分区大于32M时)*//*end of 23 Bytes*/
BYTE Drive; /*驱动器号*/
BYTE Head; /*磁头号*/
BYTE boot_rec_sig; /*含义未知*/
WORD Vol_Serial_NoL; /*磁盘序列号*/
WORD Vol_Serial_NoH;
CHAR Label[11]; /*磁盘卷标号*/
CHAR FileSys_ID[8]; /*文件系统标识号*/
BYTE BootCode[450]; /*启动代码*/
}BPB_**T16;
/*定义驱动器参数块,方便文件管理*/
typedef struct
{
BYTE DriveNo; /* 驱动器号,A = 1,B = 2,etc.*/
BYTE PhyDrive; /* 物理驱动器号*/
WORD BytePerSec; /*每扇区字节数*/
WORD SectorsPerTrack; /*每道扇区号*/
BYTE SecPerClu; /*每簇扇区数,以零为基数*/
WORD First**TSec; /*包含第一个**T的扇区号*/
BYTE Nbr**T; /***T份数*/
WORD RootEntry; /*根目录项数*/
WORD FirstDataSec; /*第一个数据扇区号*/
WORD LastClu; /*最后一个簇*/
WORD SecPre**T; /*每**T扇区数*/
WORD RootStartSec; /*根目录起始扇区号*/
BYTE MediaID; /*介质描述字节*/
WORD FirstFreeClu; /*第一个*的簇号,= -1 未知*/
WORD FreeClu; /**簇数*/
DWORD RelativeSectors; /*指BOOT扇区以前的扇区数*/
DWORD TotalSectors; /*本分区总的扇区数*/
} DPB;
/*目录项中的时间和日期定义*/
typedef struct
{
WORD Sec:5;
WORD Min:6;
WORD Hour:5;
} FILEMIDTIME;
typedef struct
{
WORD Day:5;
WORD Mon:4;
WORD Year:7;
} FILEMIDDATE;
/*目录表项的含义*/
typedef struct
{
CHAR FileName[FILENAMELEN]; /*主文件名*/
CHAR ExtName[FILEXTNAMELEN]; /*扩展文件名*/
BYTE ReadOnly:1; /*文件属*,只读位*/
BYTE Hidden:1; /*隐含*/
BYTE System:1; /*系统*/
BYTE Volume:1; /*卷标*/
BYTE Directory:1; /*目录*/
BYTE Archives:1; /*档案*/
CHAR Reserived[10]; /*保留*/
FILEMIDTIME FileMidTime; /*文件创建时间*/
FILEMIDDATE FileMidDate; /*日期*/
WORD StartCluster; /*起始簇*/
DWORD FileLength; /*文件长度*/
}Directory_**T12_16;
/*目录项首字节含义*/
enum DirFirstChar
{
DirUnUsed = 0x00, /*本表项没有使用*/
DirCharE5 = 0x05, /*首字符为0xe5*/
DirisSubDir = 0x2e, /*是一个子目录 .,..为父目录*/
DirFileisDeleted = 0xe5 /*文件已删除*/
};
/*文件结点*/
typedef struct
{
WORD UserCount; /*文件用户数*/
WORD Mode; /*打开模式,读,写*/
struct
{
BOOL DirIsModified:1; /*目录项是否已改变*/
BOOL DirIsNew:1; /*目录项是新建的*/
BOOL DirIsFull:1; /*目录是否已满*/
} DirFlag;
Directory_**T12_16 DirImg; /*本文件目录映像*/
DWORD DirOffset; /*本目录项偏移*/
DWORD DirStart; /*本目录起始扇区*/
DPB *FileDPB; /*文件设备块*/
DWORD ByteOffset; /*当前文件指针字节偏移*/
DWORD LargeOffset; /*文件最大偏移量*/
WORD BackClu; /*前一个簇*/
WORD CurrClu; /*当前簇*/
BYTE SectorInClu; /*簇中的扇区*/
WORD ByteInClu; /*在簇中的字节数*/
} FILENODE;
/*磁盘介质类型*/
enum MediaType
{
HardDisk = 0xf8, /*硬盘*/
RAMDisk = 0x** /*RAM盘*/
};
/*分区类型*/
enum PartionType
{
ParUNUsed = 0x00,/*分区没有使用*/
**T12 = 0x01,
XENIX = 0x02,
**T16 = 0x04,
Extend = 0x05,
BigDOS = 0x06,
HPFS = 0x07,
SPLIT = 0x08,
**T32 = 0x0b,
DM = 0x50,
GB = 0x56,
SPEED = 0x61,
ix386 = 0x63,
Novell286 = 0x64,
Novell386 = 0x65,
PCIX = 0x75,
CPM = 0xdb,
BBT = 0xff
};
/***T16 **T表项的含义*/
enum **T16TYPE
{
**TUnUsed = 0, /*尚未分配*/
**TReserved = 0xFFF0, /*保留*/
**TReserved1 = 0xFFF0,
**TReserved2 = 0xFFF1,
**TReserved3 = 0xFFF2,
**TReserved4 = 0xFFF3,
**TReserved5 = 0xFFF4,
**TReserved6 = 0xFFF6,
**TBADClu = 0xFFF7, /*表示坏簇,即该簇中磁盘有损坏;*/
FileEnd = 0xFFFF, /*文件结束标识*/
FileEnd1 = 0xFFF8,
FileEnd2 = 0xFFF9,
FileEnd3 = 0xFF**,
FileEnd4 = 0xFFFB,
FileEnd5 = 0xFFFC,
FileEnd6 = 0xFFFD,
FileEnd7 = 0xFFFE,
FileEnd8 = 0xFFFF
};
/*硬盘缓存结构*/
#define BUFFERSIZE 512
typedef struct
{
struct BUFFER *p_B_next; /* 指向下一个缓存块 */
BYTE uc_DiskNo; /* 硬盘号 */
BYTE uc_Flag; /* 缓存标志,净、不净 */
DWORD ui_SectorNo; /* 缓存对应的逻辑扇区号 */
BYTE uc_Buffer [BUFFERSIZE]; /* 数据缓存BUFFERSIZE=512字节 */
} BUFFER;
typedef struct
{
DWORD Sector; /*当前扇区*/
WORD CluInSec; /*簇在扇区中的偏移*/
}CLUIN**T;
typedef struct
{
DWORD Sector;/*当前扇区*/
WORD DirInSec;/*目录项在扇区中的偏移*/
}DIRINSEC;
typedef struct
{
DWORD Sector;
BYTE IsMided:1;
BYTE Buf[512];
}ABSSECBUFFER;
{
DWORD Sector;
BYTE IsMided:1;
WORD Buf[256];
}**TBUFFER;