数据恢复-MBR

MBR

分区信息

第一个ebr

第二个ebr

（一）找到到主分区的MBR

第一个分区表项为80 01 01 00 07 FE FF FF 3F 00 00 00 E8 B7 1A 06

由第一个分区表项的第一字节80，第五字节07可知该分区为活动分区、分区类型为NTFS分区 。从6至9字节3F 00 00 00 可得该分区的起始扇区号为63，从10至13字节 E8 B7 1A 06 可知该分区的大小为102414312。

第二个分区表项为00 00 C1 FF OF FE FF FF 27 B8 1A 06 9A 1E 28 1F

由第二个分区表项的第一字节00，第五字节 0F可知该分区为非活动分区、分区的类型为扩展分区。从6至9字节 27 B8 1A 06 可得该分区的起始扇区号为102414375，从10至13字节 9A 1E 28 1F 可知该分区的大小为522722970。

则扩展分区的EBR所在扇区号为102414375。

（二）找到硬盘的扩展分区之中的逻辑分区

由第一个步骤可以直接跳转到102414375，即可找到第二分区的EBR。

其第一个分区表项为00 01 C1 FF 07 FE FF FF 3F 00 00 00 F3 6B 4F 12，由该分区表项的第一字节 00，第五字节07可知该扩展分区的第一个逻辑分区的为非活动分区，分区类型为NTFS分区。从6至9字节 3F 00 00 00 可得该逻辑分区相对于扩展分区的起始扇区号为63，从10至13字节 F3 6B 4F 12 可知该分区的大小为307194867。

其第二个分区表项为00 FF FF 05 FE FF FF 70 6C 4F 12 2A B2 D8 0C

由该分区表项的第一字节00，第五字节05可知该逻辑分区的为非活动分区，分区类型为扩展分区的第二个逻辑分区。从6至9字节 70 6C 4F 12 可得该逻辑分区相对于扩展分区的第一个逻辑分区的起始扇区号为307194992，从10至13字节 F3 6B 4F 12 可知该分区的大小为215527978。

（三）找到扩展分区的第二个逻辑分区

由第二个步骤可以知道第二个逻辑分区相对与第一个逻辑分区的起始扇区号为102414375.

则第二个逻辑分区的起始扇区号409609367＝307194992+63+102414312

使用winhex进行跳转，可以得到第二个逻辑分区的分区表项 00 01 C1 FF 07

FE FF FF 01 00 00 00 29 B2 D8 0C 从10至 13 字节 29 B2 D8 0C 得到最后一个分区的大小为215527977。

（四）硬盘共有两个分区，一个主分区和一个扩展分区，其中扩展分区之中有两个逻辑分区。

第一个分区为主分区的为C盘占用了102414312个扇区，其大小为48.8G

第二个分区为扩展分区，其占用了为522722970个扇区，其大小为342G

其中扩展分区的第一个逻辑分区即是D盘共占用了307194867个扇区，其大小为146.4G

第二个逻辑分区即是E盘共占用了215527978个扇区，其大小为195.3G

（五）整体结构图

整体结构

GPT

详细gpt:http://blog.csdn.net/chongyang198999/article/details/43408249

（一）

win8的第一个扇区

分析磁盘分区位置为有效00 00 00 01说明c盘前只有一个扇区

1024/512=2找到

gpt分区位置

GPT分区为了兼容传统的MBR分区，其第一个逻辑块数据格式与MBR分区一致，即：第一个逻辑块就是MBR（主引导记录）。

为了与传统的MBR分区进行区分，GPT分区的分区类型为EE，在传统的MBR中，EE类型的分区表示保护类型，GPT以此来防止其数据被无意间篡改。

正常mbr分区类型为各数值的表示意义

（二）

各字节代表含义

图形化

（三）

LBA2到LBA33，一共32个逻辑块，是用于存储分区表项的，每一个分区表项就描述了一个分区，分区表项的数据格式如下：

各字节代表含义

图形化

（四）整体结构图

整体结构