学习数据恢复熟悉文件系统结构是前提 ,首先了解下FAT32文件系统结构。


FAT32文件系统_第1张图片

.DBR扇区

  FAT32DBR扇区主要字节含义。

1.每个扇区的字节数

2.每个簇的扇区数

3.保留扇区数

4.FAT表个数

5.文件系统大小(扇区数)

6.每个FAT表大小(扇区数)

7.根目录起初簇号

FAT32引导扇区结构 


字节偏移(16进制)

字节数据

含义

00-02

3

汇编指令,跳转到啊引导代码处

03-0A

8

OEM版本

0b-0c

2

每扇区字节数,一般为512

0D

1

每簇扇区数,这个值为2个整数次幂  最大不超过64

10

1

FAT表个数,通常为2

11-12

2

根目录最多可容纳的目录数,FAT32不适用此值,设置为0

13-14

2

扇区总数,小鱼32MB时使用此存放,超过32使用偏移0x20-0x23字段存放

16-17

2

每个FAT的大小扇区数据(FAT16/12使用),FAT32不用此处

18-19

2

每磁道扇区数

1A-1B

2

磁头数

1C-1F

4

分区已用扇区数,也隐藏扇区数,指DBR相对于磁盘0号扇区的扇区偏移

20-23

4

文件系统扇区总数

24-27

4

每个FAT表大小扇区数(FAT32专用)

28-29

2

标记,如果为1表示只有一份FAT表是活动的,否则两份FAT互为镜像

2A-2B

2

版本号

2C-2F

4

根目录起始簇号

1FE-1FF

2

签名“55AA

用***背景标记的表示重点需要记的。

下面用一个FAT32 DBR扇区实例分析

FAT32文件系统_第2张图片

0X00-0X023个字节,跳转指令。

0x03-0x0A8个字节OEM版本号 MSWIN4.1

0x0B-0x0c2个字节 ,每个扇区字节数512 (0x0200)

0x0D 1个字节,每个扇区数16  (0x10) 

0x0E-0x0F2个字节,保留扇区数,320x0020,这说明FAT132扇区开始

0x10:1个字节FAT表个数。

0x11-0x14:4 个字节 ,FAT32不使用 为0

0x151个字节,介质描述符,0xF8 表示本地硬盘(不准)

0x16-0x172个字节,FAT32不使用此值为0

0x18-0x192个字节,每磁道扇区数,63  (0x003f)

0x1A-0x1b2个字节磁头数,2550x00ff

0x1c-0x1f:4个字节,分区前已用扇区数,1142528  (0X00116f00)

0x20-0x23:4个字节,文件系统大小扇区数29167872 0x01db1100

0x24-0x27:4个字节,FAT表扇区数 14240 0x000037A0

0x2c-0x2f:4个字节,根目录簇号 20x00000002

0x1fe-0x1ff:2个字节,签名55AA