数据恢复核心知识一、 硬盘数据结构C 盘D 盘E 盘 ….. …..二、主引导扇区（一）、主引导扇区组成：由440个字节的MBR 引导程序、4个字节的磁盘签名、2个字节的保留扇区、64个字节的分区结构信息、2个字节结束标志55 AA 组成。

1、 MBR 中的磁盘分区表组成：1个字节的引导指示符、3个字节的开始磁头、开始扇区、3（1）、系统激活标志为80H ，非激活为00H 。

（2）、微软常见的文件系统即分区类型标识Ⅰ、主分区中FA T12为01H,FA T16为06H 表示大于32M 的分区而04H 表示小于32M 的分区，FA T32为0BH 表示小于8.4G 的分区而0CH 却表示大于8.4G 的分区，NTFS 为07H ； Ⅱ、扩展分区大于8.4G 时用0FH 而小于8.4G 时用05H三、操作系统引导扇区（FA T32的DBR 备份为第一个DBR 向下数6个扇数NTFS 的DBR 备份为该分区扇区总数减去1.即该分区最后一个扇区。

）（一）、操作系统引导扇区组成：跳转指令，厂商标志和操作系统版本号，主BPB 参数表，扩展BPB 参数表， DOS 引导程序，结束标志几部分组成。

1、FA T16分区中的DBR 扇区由六部分组成：3个字节的跳转指令（EB 3C 90）、8个字节的厂商标志及OS 版本号、25字节的主BPB 参数表、26个节的扩展BPB 参数表、448个字节的DOS 引导代码、2个字节的有效结束标志。

（1）、FAT16分区的DBR 中25个字节的主BPB 参数表(主BPB 参数是从DBR 的12字节开始的)的含义详解： 12至13字节为每扇区字节数,14字节为每簇的扇区数，15至16字节为dos保留扇区（第一个FAT表开始之前的扇区数即DBR到FAT的距离。

），17字节为FAT表个数，18字节至19字节为根目录项数（根目录最多存放512个文件），20字节至21字节为扇区总数(小于32M的分区在此存放）22字节为媒体描述符(媒体描述符要用于MS-DOS FAT16磁盘），23字节至24字节为每个FAT扇区数一般为250(只被FAT12/FAT16)，25字节至26字节为每磁道扇区数63，27字节至28字节为磁头数（在一张1.44MB 3.5英寸的软盘上，本字段的值为2），29字节至32字节为隐藏扇区数（该分区上引导扇区之前的扇区数。

在没有分区的媒体上它必须总是为0。

），33字节至36字节为该分区的总扇区数（大于32M的分区在此存放），FAT16分区的DBR中26个字节的扩展BPB参数表(扩展BPB参数是从DBR的37字节开始的)的含义详解：37字节为BIOS设备一般是8038字节为保留39字节为扩展引导标志40字节至43字节为卷序列号，随机产生44字节至最54字节为卷标55字节至62字节为文件系统格式的AS CⅡ码。

2、FAT32分区中的DBR扇区由六部分组成：3个字节的跳转指令(EB 58 90)、8个字节的厂商标志及OS版本号、53字节的BPB参数表、26个节的扩展BPB参数表、420个字节的DOS 引导代码、2个字节的有效结束标志。

（1）、FAT32分区的DBR中53个字节的主BPB参数表(主BPB参数是从DBR的12字节开始的)的含义详解：12至13字节为每扇区字节数一般为51214字节为簇大小，即每个簇占用的扇区数，15至16字节为dos保留扇区（即DBR到FAT表的距离），17字节为FAT表的个数，18字节至19字节为根目录项数一般为00 00(不用了。

)20字节至21字节为小于此32M的分区扇区数一般为00 00（不用了。

）22字节为媒体描述符一般硬盘为F823字节至24字节为每FAT扇区数一般为00 00（不用了）25字节至26字节为每磁道扇区数，27字节至28字节为磁头数一般为255，29字节至32字节为隐含扇区数（从零到DBR的扇区数。

），33字节至36字节为该分区的总扇区数，即分区的大小37字节至40字节为每个FAT扇区数41字节至42字节为：扩展标志(只被FAT32使用)该两个字节结构中各位的值为：位0-3：活动FAT数(从0开始计数，而不是1).只有在不使用镜像时才有效位4-6：保留位7：0值意味着在运行时FAT被映射到所有的FAT1值表示只有一个FAT是活动的位8-15：保留43字节至44字节为文件系统版本(只供FAT32使用,高字节是主要的修订号，而低字节是次要的修订号。

本字段支持将来对该FAT32媒体类型进行扩展。

如果本字段非零，以前的Windows版本将不支持这样的分区)，45字节至48字节为引导目录的第一簇，即根目录所在的位置。

49字节至最50字节为文件系统信息扇区号(只供FAT32使用，FAT32分区的保留区中的文件系统信息(File System Information, FSINFO)结构的扇区号。

其值一般为1。

在备份引导扇区(Backup Boot Sector)中保留了该FSINFO结构的一个副本，但是这个副本不保持更新)51字节至52字节为DBR的备份扇区（是从DBR所在的位置63向下数的扇区数即为备份扇区）FAT32分区的DBR中26个字节的扩展BPB参数表(扩展BPB参数表是从DBR的66字节开始的)的含义详解：66字节为物理驱动器号( 与BIOS物理驱动器号有关。

软盘驱动器被标识为0x00，物理硬盘被标识为0x80，而与物理磁盘驱动器无关。

一般地，在发出一个INT13h BIOS调用之前设置该值，具体指定所访问的设备。

只有当该设备是一个引导设备时，这个值才有意义)，67字节为保留FAT32分区总是将本字段的值设置为0，68字节为扩展引导标签( 本字段必须要有能被Windows 2000所识别的值0x28或0x29)69字节至72字节为分区序号( 在格式化磁盘时所产生的一个随机序号，它有助于区分磁盘)，73字节至83字节为卷标(本字段只能使用一次，它被用来保存卷标号。

现在，卷标被作为一个特殊文件保存在根目录中)，84字节至91字节为系统ID(System ID) FAT32文件系统中一般取为"FAT32"，3、NTFS分区中的DBR扇区由六部分组成：3个字节跳转指令(EB 52 90)、8个字节的文件系统标识ASCⅡ码形式、73个字节的BPB参数表、426个字节的DOS引导代码、2个字节的有效结束标志。

（如果NTFS分区中的DBR损坏后用备份DBR恢复时要看紧挨DBR后NTLDR 扇区在没有，否则不起作用。

）（1）、Ⅲ、NTFS分区的DBR中73个字节的BPB参数表(主BPB参数是从DBR的12字节开始的)的含义详解：12至13字节为每扇区字节数，14字节为每簇的扇区数，15至16字节为dos保留扇区为017字节至19字节常常为020字节至21字节为未使用22字节为介质描述符F823字节至24字节为未使用25字节至26字节为每磁道的扇区数29字节至32字节为隐含扇区数33字节至36字节未使用37字节至40字节常为80 00 80 0041字节至48字节为该分区的总扇区数49字节至56字节为主文件表的起始簇号（$MFT存储的起始位置）57字节至64字节为备份的主文件表起始簇号($MFTMirr存储的起始位置) 65字节至68字节每个MFT的簇数69字节至72字节为每个索引的簇数73字节至80字节为分区的逻辑序列号81字节84字节为总和检验码四、NTFS文件存储原理NTFS分区中数据的结构：（$MFT存储的起始位置30H至37H）$MFT存储的起始位置30H至37H 8个字节，$MFTMirr存储的起始位置38H至3FH.$MFT_$MFTmirr_日记_卷标。

六、MS的不同文件系统分区大小与簇及每簇的扇区数关联性文件系统是操作系统与驱动器之间的接口，扇区是磁盘最小的物理存储单元。

微软操作系统（DOS、WINDOWS等）中磁盘文件存储管理的最小单位叫做“簇”。

（簇（CLUST）的本意就是“一群”、“一组”，即一组扇区(一个磁道可以分割成若干个大小相等的圆弧，叫扇区)的意思。

因为扇区的单位太小，因此把它捆在一起，组成一个更大的单位更方便进行灵活管理。

簇的大小通常是可以变化的，是由操作系统在所谓“（高级）格式化”时规定的，因此管理也更加灵活。

）每个簇可以包括2、4、8、16、32或64个扇区等。

显然，簇是操作系统所使用的逻辑概念，而非磁盘的物理特性。

为了更好地管理磁盘空间和更高效地从硬盘读取数据，操作系统规定一个簇中只能放置一个文件的内容，因此文件所占用的空间，只能是簇的整数倍；如果文件实际大小小于一簇，它也要占一簇的空间。

如果文件实际大小大于一簇，根据逻辑推算，那么该文件就要占两个簇的空间。

1、FAT16分区大小与对应簇的关系表：2、FAT32分区大小与对应簇的关系表：3、NTFS分区大小与对应簇的关系表：附：A、如有喜欢电脑启动与U盘量产技术的朋友请加群79095829，请输入验证量产发烧友。

无验证一律不加。

进群请关注公告并改名，否则T无赦。

特此说明，谢谢合作！B、如有关心儿童成长及儿童读经教育的朋友请加群212347839，请输入验证传统文化爱好者，无验证不加，不支持读经教育的不加。

加了也会被T。

特此说明，谢谢合作！重庆欧阳回彦整理编撰2013-1-13。