用WinHex解析分区表

1.利用Winhex软件，打开磁盘主引导扇区，查看磁盘主分区表，计算各分区的大小和起始位置

主引导扇区介绍:
主引导记录$（446字节）（0000--01BD）$
分区表项1 $（16字节）（01BE--01CD）$
分区表项2$（16字节）（01CE--01DD）$
分区表项3$（16字节）（01DE--01ED）$
分区表项4$（16字节）（01EE--01FD）$
结束标志$（2字节）：55AA(01FE01FF)$

主分区表(DPT)：

分区 & 偏移位置 & 分区大小 表格如下：

（1）分区1第一字节为$80$，为活动分区；第五字节为$07$，文件类型为NTFS
（2）分区2第一字节为$00$，非活动分区；第五字节为$OF$，为主扩展分区

2.利用Winhex软件，打开磁盘扩展分区，逐个查找每个扩展分区的大小和起始位置

扩展分区表四个分区表项内容介绍：
第一项代表当前分区
第二项如果存在代表存在下一个扩展分区，如果没有则扩展分区结束
第三、四项为空

扩展分区：

物理位置：$0C801000=00000000+offset（0C801000）$

本扩展分区位置：$00000800$，大小：$16800000（180GB）$
后续扩展分区位置：$16800800$，大小：$15F90800（175GB）$
后续扩展分区物理位置等于扩展分区物理位置+偏移地址
第二扩展分区物理地址：$0C801000+16800800=23001800$

跳转到物理地址： $23001800$

本扩展分区位置：$00000800$，大小： $15F90000（175GB）$

扩展分区结束

文献参考：《计算机病毒与反病毒技术》2006-6-1清华大学出版社出版，作者：张仁斌，李钢，侯整风