Chinaunix首页 | 论坛 | 博客

生活聚焦

首页 |  博文目录 |  关于我

lifefocus

  • 博客访问: 753617
  • 博文数量: 265
  • 博客积分: 6010
  • 博客等级: 准将
  • 技术积分: 1985
  • 用 户 组: 普通用户
  • 注册时间: 2009-07-13 12:33
文章分类

全部博文(265)

文章存档

2011年(1)

2010年(66)

2009年(198)

我的朋友
最近访客
推荐博文
相关博文
岳雷:解读分区表的秘密

分类: LINUX

2009-08-13 14:21:24

  从扩展分区的分区表中可以看出定义了两项分区,分别来分析一下。第一项定义了D分区,内容是00 01 C1 FC 07 FE FF FF 3F 00 00 00 82 3E 00 00,根据分区类型参数可以知道D分区是一个NTFS主分区,由于D分区的结束位置超过了8G,因此不用看C/H/S参数,直接看LBA就可以了。3F 00 00 00表示D分区之前的扇区是63,注意,这可不代表D分区的起始位置是63。扩展分区表中描述主分区之前的扇区数基本都是63,这个63指的是从D分区的 起始到定义D分区的分区表之间的距离是63扇区,扩展分区的分区表在16386300扇区,因此D分区的起始应该是 16386300+63=16386363,C/H/S参数是1020/1/1。00 82 3E 00表示分区的大小是3E 82 00扇区,经计算可知分区的结束位置在20482874,C/H/S参数是1274/254/63。

  接下来分析第二项,这一项定义的是 第二个扩展分区,内容是00 00 C1 FF 05 FE FF FF 3F 82 3E 00 BF E2 5D 00。分区类型05表示定义的是一个扩展分区,00 3E 82 3F表示第二个扩展分区之前的扇区数,注意,之前的扇区数指的是从第二个扩展分区的起点到第一个扩展分区起点的距离,以后向下定义后续扩展分区时,之前的 扇区数指的都是被定义的扩展分区的起点到第一个扩展分区起点的距离。现在我们来计算一下第二个扩展分区的起始位置,第二个扩展分区距离第一个扩展分区的起 点有3E 82 3F个扇区,第一个扩展等区的起点是16386300,因此第二个扩展分区的起始是 16386300+4096575(3E823F)=20482875,C/H/S参数是1275/0/1。第二个扩展分区的大小是5D E2 BF,所以我们推算出第二个扩展分区的终点是26635769,C/H/S是1657/254/63。

  扩展分区的分区表分析完之后,D分区被定义出来了,而且又给出了第二个扩展分区的定义,我们现在到第二个扩展分区的起点,继续向下分析分区表。第二个扩展分区的位置在1275/0/1,分区表内容如下图所示。(图9)

   分区表中仍然是两项,这次我们明白了,肯定一项用来定义E分区,另一项定义第三个扩展分区。先来看看第一项 00 01 C1 FF 07 FE FF FF 3F 00 00 00 80 E2 5D 00,从分区类型07可以得知E的分区类型是NTFS,E分区之前的扇区数是00 00 00 3F,这指的是E分区的起点和第二个扩展分区表之间的距离是63扇区。第二个扩展分区表在20482875,所以E的起点应该是 20482875+63=20482938。再根据E的大小是 00 5D E2 80,可以计算出E的终点是26635769。E从20482938-26635769,用C/H/S表示是1275/1/1-1657/254/63。

   再来看分区表的第二项,这一项将定义第三个扩展分区,00 00 C1 FF 05 FE FF FF FE 64 9C 00 2E 68 69 00。05表示定义的是扩展分区,00 9C 64 FE表示的是第三个扩展分区之前的扇区数,之前指的是到第一个扩展分区的起点,也就是说第三个扩展分区的起点和第一个扩展分区起点之间的距离是 10249470(00 9C 64 FE)个扇区。由于第一个扩展分区的起始是16386300,因此第三个扩展分区的起始位置应该是 16386300+10249470=26635770。第三个扩展分区的大小是00 69 68 2E,因此第三个扩展分区的终点应该是 26635770+6907950(00 69 68 2E)-1=33543719。第三个扩展分区起点和终点是 26635770-33543719,用C/H/S表示是1658/0/1-2087/254/63。

  第二个扩展分区的分区表分析完后,E分区被定义出来,第三个扩展分区也被定义出来了。第三个扩展分区的起点在 1658/0/1,内容如下图所示。(图10)

   这次我们发现分区表中只有一项,这是因为已经定义到最后一个分区了,因此不需要再向下定义扩展分区了。最后一项分区定义了F分区,内容是 00 01 C1 FF 07 FE FF FF 3F 00 00 00 EF 67 69 00,07表示F分区是一个NTFS主分区,00 00 00 3F表示F分区和第三个扩展分区分区表的距离是63扇区,第三个扩展分区的起点是26635770,所以F分区的起始位置是 26635770+63=26635833。F分区的大小是00 69 67 EF,因此计算出F分区的终点是33543719。F分区的起点和终点是 26635833-33543719,1658/1/1-2087/254/63。

  至此,分区表分析完毕,一共分析了四处分区表,定义了七个分区,各处分区表定义的分区具体如下表。如果大家能够细细体会,察觉到分 区的规律,将来进行分区恢复就容易得多了。当我们明白操作系统创建分区和修改分区在分区表中是怎么表现的,将来进行分区恢复只不过是一个简单的逆向操作而 已,下次我们可以举个例子来说明一下。分区恢复并不难,大家只要渡过开始时对操作界面的不适应,仔细研究,辅以实例好好推敲一番,定然能够柳暗花明,豁然 开朗。恭祝大家早日掌握分区原理!

  感谢作者岳雷授权IT168频道刊登此文。

  关于作者:

  岳雷,资深工程师,资深讲师,10年网络工程师经验,8年培训讲师经验。精通微软操作系统及产品,如Active Directory,Exchange,ISA,SMS等,精通数据原理。项目经验丰富,擅长复杂问题排错。

  1999年通过微软MCP考试

  1999年至2004年负责北京和讯企业内网运维

  2000年至2006年北京长城计算机培训学校金牌讲师

  2006年至2008年北京ITET培训学校金牌讲师

  2008年教育部信息管理中心ITATPRO项目络专家组组长

  2008年教育部考试中心NIT项目组网络安全专家组组长

  51CTO博客之星

  IXpub资深版主    IT168特约讲师

阅读(783) | 评论(0) | 转发(1) |
0

上一篇:分区表和扩展分区表

下一篇:vim+ctags用法

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6