wefinger

【数据恢复】关于MBR介绍
万事开头难,本系列的第一篇文章就由最经典的MBR分区开头吧。
扫描右侧二维码阅读全文
17
2018/04

【数据恢复】关于MBR介绍

万事开头难,本系列的第一篇文章就由最经典的MBR分区开头吧。

MBR简介

首先我们来解决MBR是什么这个问题。
MBR全称Master Boot Record又叫主引导记录,它是计算机开机后访问硬盘时所必须要读取的首个扇区。主引导扇区记录着硬盘本身的相关信息以及硬盘各个分区的大小及位置信息,是数据信息的重要入口。如果它受到破坏,硬盘上的基本数据结构信息将会丢失。

主引导记录分析

首先我们来看看MBR主引导记录吧,我们使用winhex这款工具打开一个MBR格式的磁盘。(关于winhex的使用将在之后的更新中说明)

请输入图片描述

  • 0000H--01BDH 为启动代码,主要用于引导系统,对于数据恢复来说无需关注太多。
  • 01BEH--01FDH 为分区表,其中每16字节为一个分区表项(如图所示),最多4个,这也就决定了MBR模式下最多4个主分区。想要更多分区只能以拓展+逻辑分区的形式存在

    • 每个分区表项中的9到12字节记录着该分区的开始扇区号,13到16字节记录着该分区占用的扇区数。这两项很重要
    • 每分区表项第1个字节为80H时表示该分区为活动分区,00H为非活动分区。活动分区一般为可引导分区,一般内装系统。
    • 每分区表项的第2、3、4字节分别记录着本分区启示磁头号、扇区号、柱面号,这些东西基本上不用太过关心,对于现代操作系统这些记录项已经不再那么重要了,也不影响数据恢复。
    • 每分区表项的第5字节为分区类型符,这一项不用太过关注,熟悉一下即可。常用类型如下:

      • 00H——表示该分区未用(即没有指定)
      • 06H——FAT16基本分区
      • 0BH、0CH——FAT32基本分区
      • 07H——NTFS分区
      • 05H——扩展分区
      • 83H为Linux分区
      • 0FH——(LBA模式)扩展分区等
    • 每分区表项的第6、7、8字节分别记录着本分区结束磁头号、扇区号、柱面号。也不必太过关心。
  • 01FEH-01FFH 为结束标志,不可缺失。

i> 注意,这里的13到16字节说的是该分区占用扇区数,而不是分区大小。这个两个概念是有区别的,对于FAT32与EXFAT文件系统也许没有影响,但是对于NTFS文件系统就有了问题了,因为NTFS系统的DBR备份位于文件系统的末尾位置,而文件系统中并没有把这个备份扇区记录到分区大小中,这就导致了如果你将分区大小等同于分区占用扇区数,那么就将出现1个扇区的误差。这也就是为什么对于NTFS分区,在填写MBR中分区表的分区占用大小一项时需要用分区大小加1。

拓展MBR分析

拓展MBR即EBR的存在就是为了解决MBR只能存储四个分区表项的问题。当你分区时分区数大于4个分区时,第四个分区将转换为拓展分区模式,MBR的最后一个分区表项中的分区开始将指向一个EBR,由EBR再来分配拓展分区中的空间形成逻辑分区,EBR结构类似于MBR。分析如下:

  • EBR的前01BDH字节一般都以00H填充,因此逻辑分区一般不可引导。
  • 分区表部分基本类似MBR,需要注意的是:第一个分区表项指向此EBR后的第一个分区,而第二个分区表项将指向下一个EBR而不是第二个分区的开始。第二个分区将由下一个EBR来进行解释。
  • 结束标志依然为55AA

MBR磁盘分区链式模型

这里博主偷懒一下借用网上找的资料中的图来解释,原图出处未知,如有侵权请及时告知博主。

请输入图片描述

此图表示的时一个3个主分区两个逻辑分区的链式模型。而关于拓展分区中的逻辑分区的具体模型入下图所示:

请输入图片描述

结语

关于MBR的介绍大概就到这里吧,如有不充分或者不清楚的地方欢迎大家提出。博主会及时补充。

本文为原创文章,如需转载请表明出处并告知博主!

本作品采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议进行许可。

Last modification:July 3rd, 2018 at 08:37 am
If you think my article is useful to you, please feel free to appreciate

One comment

  1. dyl

    希望博主能发表关于NTFS系统数据恢复的文章,你的文章都是精华,我很喜欢!

Leave a Comment