1、项目2认识分区表的原理及结构【项目任务】任务一 填充引导扇区任务二 修改分区表把一个主分区变成连个主分区任务三 把两个主分区变成连个主分区和一个逻辑分区【项目的意义】通过引导扇区的填充我们可以深刻的明白磁盘工作的第一步,通过分区表的填充我们 可以初步认识分区表项。【项目环境】任务一环境构建第一步:使用InsPor 新建一块大小为256M磁盘,如图2-1图2-1第二步:挂载该磁盘,如图2-2图2-2第三步:使用我的右键管理-磁盘管理,查看新挂上的磁盘是否成功。如果成功应出现如图2-3的画面。图2-3任务二、三环境构建在做完了项目一后,接着项目一的环境来操作任务二、三。【重点名词】物理硬盘、逻辑磁
2、盘: 在使用WinHex时,有逻辑驱动器逻辑磁盘和物理磁盘的区别。逻辑磁盘指的是磁盘的逻辑状况-分区、光驱等。物理磁盘指的是一块硬盘里所有的内容。通过WinHex翻开后我们能看见存储介质内的所有内容,当然它是16进制表示的。引导程序:引导整块磁盘,其中记录的整块磁盘的启动指向和磁盘的大小厂商等内容。分区表:记录分区的状况。包括是否动态、分区大小、分区偏移等重要数据。 列子:表:800101000BFE7FFD3F0000003F047D00000041FE0FFEFFFF7E047D001F2CB400 00000000000000000000000000000000 000000000000
3、00000000000000000000 第一项: 800101000BFE7FFD3F0000003F047D00 描述的是C盘的情况。 1.80:表示C盘为活动分区。即系统会从C盘启动。 2.010100:表示C盘的起始扇区为0柱面,0磁头,1扇区。 3.0B:表示C盘的文件系统为FAT32。 4FE7FFD: (FE)16=(254) 10 (7F)16=(01111111)2(FD)16=(11111101)2 磁头号:(254)10; 扇区号:(111111)2=(63)10. 柱面号:(0111111101)2=(509)10 故C盘结束扇区为509柱面,254磁头,63扇区。 5
4、.3F000000: 反向,(0000003F)16=(63)10,为C盘起始逻辑扇区号与逻辑0扇区号之差。表示C盘前面已有63个扇区,这63个扇区为系统隐藏扇区。 (3F047D00): 反向,(007D043F)16=(8193087)10。说明C盘有8193087个扇区。即0柱面,1磁头,1扇区至509柱面,254磁头,63扇区 共有8193087个扇区。 第二项: (000041FE0FFEFFFF7E047D001F2CB400 描述的是扩展分区的情况。 (00):表示该分区不是活动分区。 (0041FE): (00)16=(0)10(41)16=(01000001)2(FE)16=
5、(11111110)2 磁头号:(0)10; 扇区号:(000001)2=(1)10. 柱面号:(0111111110)2=(510)10 所以扩展分区的起始扇区为510柱面,0磁头,1扇区。 (0F):表示该分区为扩展分区。 (FEFFFF): (FE)16=(254)10(FF)16=(11111111)2(FF)16=(11111111)2; 磁头号:(254)10; 扇区号:(111111)2=(63)10. 柱面号:(1111111111)2=(1023)10 但这是不准确的,因为当柱面号的真实值超过1023时,表示柱面号的10位也依然是1023。 (7E047D00): 反向,(0
6、07D047E)16=(8193150)10.表示扩展分区的起始扇区号为8193150,即(510柱面,0磁头,1扇区)。这是真实准确的, 我一般都用这一项来定位分区起点。 (1F2CB400): 反向,(00B42C1F)16=(11807775)10.表示扩展分区共有11807775个扇区。通过上面得到的起点和分区的大小, 可以推导出扩展分区的结束位置:8193150+11807775=20230925号扇区,即1244柱面,254磁头,63扇区。 保存63扇区的含义作为领导地位来控制其它的真实的存储空间。扇区:由512字节构成一个扇区,在WinHex下又清晰的分割线,是磁盘存储数据的根本
7、单位之一。偏移: 以某个位置为开始点,相对这个位置移动。如偏移08H,表示相对某位置偏移08H(0是16进制数,H为16进制标志)。主分区:一种分区类型,在磁盘中由于结构关系只能存储4个。扩展分区:一种分区类型,是相对对主分区而言的。扩展分区分区表项名称为EBR。扩展分区下又逻辑分区,为我们所熟知的分区。【操作步骤】 任务一:填充引导扇区步骤一:使用WinHex翻开新建的硬盘物理硬盘如图2-4。翻开情况如图2-5这里要注意物理硬盘和逻辑磁盘的区别,详见重点名词。图2-42-5步骤二:使用WinHex把数据恢复-WinHex/项目2认识分区表的原理及结构/引导代码.hdd翻开。如图2-6.复制粘
8、贴引导扇区程序用WINHEX翻开空磁盘和本目录下的“引导扇区文件。复制引导代码:选中区域后 CTRL+C进入空磁盘:鼠标点击要粘贴的起始位置CTRL+B备注:复制粘贴引导程序。其大小为446字节偏移01BDH,其作用为BIOS通过该程序引导磁盘开始工作。正常情况下引导程序是相同的,即便不同也具有兼容性,但是在一些特殊情况下有所差距,比方影子系统的应用、病毒的破坏和篡改、复原卡的使用等等。图2-6步骤三:把复制好的文件复制到新建虚拟磁盘首扇区。如图2-7.图2-7步骤四:使用WinHex把数据恢复-WinHex/项目2认识分区表的原理及结构/分区表.hdd翻开。如图2-8.如图2-8步骤五: 复
9、制到新建虚拟磁盘首扇区偏移OBEH。如图2-9.如图2-9步骤六:在该扇区的末尾位置写入“55 AA。写入方式为点击要开始写入的位置,在键盘上依次输入“55AA。结果如图2-10图2-10步骤七:使用CTRL+S保存修改。在磁盘管理中我们能够看见该磁盘的变化如图以下列图所示,该磁盘已经启用分区,但未格式化,格式化的讲解将在项目5中介绍。任务二:修改分区表把一个分区变成两个个分区步骤一:找到分区表的开始位置(如图x-11)并且了解分区表项内每局部含义。(x-12)分区表项的开始位置在偏移OBEH。关于分区表的读取在重点名词中已经有介绍。在这里我们再次读取本次实验的分区表项的内容。该磁盘为不活动分
10、区,假设为活动该位置偏移00H为80。其实磁头、扇区、柱面在现在的磁盘中已经不在重要。位置在偏移01H到偏移04H。分区类型为为分区。该分区的开始偏移在63扇区。在底层数据中,也是我们一后读数据中,关于数字大小的都要反向读取 十六进制 3F 00 00 00 - 00 00 00 00 3F=十进制 63。分区大小 A2 16 08 00 - 00 08 16 A2 = 530082 扇区= 258.8291015625 M 图2-11 图2-12步骤二:规划如何分成两个分区分成两个相同大小的主分区,即要有两个分区表项。都不活动,分区类型都是为分区。第一个分区的开始偏移在63扇区,第二个分区的
11、开始位置在第一个分区的结束位即:第一个分区的开始位置+第一个分区的大小。第二个分区大小为总分区大小减去 第一个分区大小分区大小偏差一点是没有关系的,但是开始偏移必须精确。总结数据:第一个分区: 00 01 01 00 06 FE 3F 0F 3F 00 00 00 D1 EB 03 00第二个分区: 00 01 01 00 06 FE 3F 0F 10 EC 03 00 D1 2A 04 00步骤三:将这些数据填写如对应的位置如图x-13图2-13任务三:把两个主分区变成连个主分区和一个逻辑分区步骤一:规划如何分成三个分区,而且又扩展分区由于用户对分区的需求多于4个,所以产生了扩展分区。在分区
12、表项内记录扩展分区用分区类型来记录05。分成三个区前两个为主分区后一个为扩展分区,它们大小相同。所以在主分区的分区表项只有开始偏移不同,扩展分区分区表项结构特异。我们先书写后解释。第一个主分区 1、大小85 M。 2、未格式化。 3、开始偏移在 63扇区。 00 01 01 00 06 FE 3F 0A 3F 00 00 00 4B B2 00 00第二个主分区 1、大小85 M。 2、未格式化。 3、开始偏移在 176715扇区。 00 01 01 00 06 FE 3F 15 4B B2 02 00 4B B2 00 00扩展分区 1、大小85 M。 2、未格式化。 3、开始偏移在 353
13、430扇区。 00 01 01 00 05 FE 3F 20 96 64 05 00 4B B2 00 00如图2-14图2-14扩展分区的特异,它并不是分区,而是是一种分区类,是逻辑分区的集合,在主分区表内分区类型为05,开始偏移指向第一个逻辑分区。因此我们还要构建逻辑分区分区表项。步骤二:跳转到逻辑分区表项扇区。位置在353430扇区。跳转方式如图x-15。其内容为空。逻辑磁盘分区表项又名EBR分区表项,结构与主分区表项MBR分区表项类似。不同为主分区表项为分段关系,逻辑磁盘分区表项为链式关系,又两个分区表项记录于一张分区表内,分别由第一个分区表项指向本分区的分区状况第二个分区表项指向下一个分区表的开始位置等。图2-15步骤三:填写分区表项,填写情况如图2-16。 填写的偏移在OBEH。 内容为:00 01 01 16 06 FE 3F 20 3F 00 00 00 0C B2 00解释:偏移内容含义000表示该分区不活动101 01 16起始 磁头、柱面、扇区406分区类型为未分区506 FE 20结束 磁头、柱面、扇区83F 00 00 00 开始偏移以本扇区为相对点偏移63扇区1200 0C B2 00本分区大小图2-16。实验结果如图2-17图2-17【实验总结】