数据恢复实战 虚拟MBR 0扩展分区的结构分析.ppt

《数据恢复实战》课程 Data Recovery Practical 主讲教师 刘俊 移动通信技术专业教学资源库 深圳信息职业技术学院电子与通信学院 扩展分区的结构分析 目录 01 硬盘的MBR 02 硬盘的EBR 03 硬盘的分区结构 1.硬盘的MBR EDITED BY LIUJUN * 数据恢复实战 MBR仅仅为分区表保留了64字节的存储空间，每个分区的参数占据16字节，MBR扇区中总计可以存储4个分区表项的数据 如果说逻辑磁盘就是分区，则硬盘最多只能分出4个逻辑磁盘 4个逻辑磁盘往往不能满足实际要求，为了建立更多的逻辑磁盘供操作系统使用，系统引入了扩展分区的概念 所谓扩展分区，严格地讲它不是一个实际意义的分区，它仅仅是一个指向下一个用来定义分区的参数的指针，这种指针结构形成一个单向链表 这样在MBR中除了住磁盘分区外，仅需要存储一个被称为扩展分区的分区信息，通过这个扩展分区的信息就可以找到下一个分区的起始位置，以此起始位置类推可以找到所有分区 硬盘的MBR EDITED BY LIUJUN * 数据恢复实战 可以看出这块硬盘分了5个分区，1个主磁盘分区、4个逻辑驱动器，用WinHex查看该盘的MBR 硬盘的MBR EDITED BY LIUJUN * 数据恢复实战 从第一个分区表项可以看到，主分区为NTFS格式，分区开始与2048号扇区，大小扇区，也就是10GB 第二个分区表项描述的是一个扩展分区，因为其类型为0FH（或05H），该扩展分区开始扇区，大小为188739584扇区 该扩展分区并不是一个可用的驱动器，而是对一段空间的描述，在其内部可以进一步划分逻辑驱动器，为了便于表述，称该扩展分区为“主扩展分区” 2.硬盘的EBR EDITED BY LIUJUN * 数据恢复实战 跳转到主扩展分区的开始扇扇区，这就是EBR扇区 扩展分区的开始扇区其实就是EBR，其由分区表和结束标志“55AA”构成，这是该硬盘的第一个EBR，称为EBR1 第一个分区表项用来管理第一个逻辑驱动器的，也就是15GB的这个驱动器 从分区表项中具体来看，该驱动器类型是07H，为NTFS分区，开始于2048号扇区，这个值就不是绝对值了，而是一个相对值，也就是说该值说以EBR1的开始扇为起始扇区来定位，该分区表项最后一个值这个逻辑驱动器的大小，区，即15GB EBR1 硬盘的EBR EDITED BY LIUJUN * 数据恢复实战 第二个分区表项，分区类型为05H，是一个扩展分区 EBR扇区中第一个分区表项总是描述当前的逻辑驱动器，第二个分区表项则连接到下一个EBR扇区，以引出下一个逻辑驱动器 把这个子扩展分区命名为“子扩展分区1”，因为后面还会有子扩展分区 分区开始位置区，这也是个相对位置 以EBR1所在扇区为起始点来定位的，分区大小区，这是指子扩展分区1的大小 从当前位置往下跳区，去到EBR2 EBR1 第一个逻辑分区的隐藏扇区数 第一个逻辑分区的分区总扇区数 EBR2的起始位置 （相对位置） 硬盘的EBR EDITED BY LIUJUN * 数据恢复实战 很明显这就是一个EBR，第一个分区表项用来管理第二个逻辑驱动器的，也就是20GB的这个驱动器 从分区表项中具体来看，该驱动器类型是07H，为NTFS分区，开始于2048号扇区 这个值也是一个相对值，它是以EBR2的开始扇为起始扇区来定位的 该分区表项最后一个值记录这个逻辑驱动器的大小，区，即20GB 再看第二个分区表项，是一个扩展分区，它的作用也是连接到下一个EBR扇区，以引出下一个逻辑驱动器，我们把这个扩展分区定义为“子扩展分区2” EBR2 第二个逻辑分区的隐藏扇区数 第二个逻辑分区的分区总扇区数 EBR3的起始位置 （相对位置） 硬盘的EBR EDITED BY LIUJUN * 数据恢复实战 具体分析第二个分区表项的关键值 该扩展分区开始位置区，这也是个相对位置是以EBR1所在扇区为起始点来定位的，而不是EBR2，分区大小区，这是指子扩展分区2的大小 所以为们回到EBR1的位置，往下跳区，去到EBRR3 分区表项三和四都是空的，没有数据，这是EBR扇区的固定结构，分区表项三和四总是不用的 EBR2 第二个逻辑分区的隐藏扇区数 第二个逻辑分区的分区总扇区数 EBR3的起始位置 （相对位置） 硬盘的EBR EDITED BY LIUJUN * 数据恢复实战 第一个分区表项是用来管理第三个逻辑驱动器的，也就是25