Thumbs.db文件的删除和禁止产生的方法 下一篇: 
认识CPU的技术参数
认识CPU的技术参数我们转到扩展分区的起始,继续向下分析分区表,扩展分区的起始位置在1020/0/1,分区表内容如下图所示
从扩展分区的分区表中可以看出定义了两项分区,分别来分析一下。第一项定义了D分区,内容是00 01 C1 FC 07 FE FF FF 3F 00 00 00 82 3E 00 00,根据分区类型参数可以知道D分区是一个NTFS主分区,由于D分区的结束位置超过了8G,因此不用看C/H/S参数,直接看LBA就可以了。3F 00 00 00表示D分区之前的扇区是63,注意,这可不代表D分区的起始位置是63。扩展分区表中描述主分区之前的扇区数基本都是63,这个63指的是从D分区的起始到定义D分区的分区表之间的距离是63扇区,扩展分区的分区表在16386300扇区,因此D分区的起始应该是16386300+63=16386363,C/H/S参数是1020/1/1。00 82 3E 00表示分区的大小是3E 82 00扇区,经计算可知分
区的结束位置在20482874,C/H/S参数是1274/254/63。接下来分析第二项,这一项定义的是第二个扩展分区,内容是00 00 C1 FF 05 FE FF FF 3F 82 3E 00 BF E2 5D 00。分区类型05表示定义的是一个扩展分区,00 3E 82 3F表示第二个扩展分区之前的扇区数,注意,之前的扇区数指的是从第二个扩展分区的起点到第一个扩展分区起点的距离,以后向下定义后续扩展分区时,之前的扇区数指的都是被定义的扩展分区的起点到第一个扩展分区起点的距离。现在我们来计算一下第二个扩展分区的起始位置,第二个扩展分区距离第一个扩展分区的起点有3E 82 3F个扇区,第一个扩展等区的起点是16386300,因此第二个扩展分区的起始是16386300+4096575(3E823F)=20482875,C/H/S参数是1275/0/1。第二个扩展分区的大小是5D E2 BF,所以我们推算出第二个扩展分区的终点是26635769,C/H/S是1657/254/63。
扩展分区的分区表分析完之后,D分区被定义出来了,而且又给出了第二个扩展分区的定义,我们现在到第二个扩展分区的起点,继续向下分析分区表。第二个扩展分区的位置在1275/0/1,分区表内容如下图所示。
分区表中仍然是两项,这次我们明白了,肯定一项用来定义E分区,另一项定义第三个扩展分区。先来看看第一项 00 01 C1 FF 07 FE FF FF 3F 00 00 00 80 E2 5D 00,从分区类型07可以得知E的分区类型是NTFS,E分区之前的扇区数是00 00 00 3F,这指的是E分区的起点和第二个扩展分区表之间的距离是63扇区。第二个扩展分区表在20482875,所以E的起点应该是20482875+63=20482938。再根据E的大小是 00 5D E2 80,可以计算出E的终点是26635769。E从20482938-26635769,用C/H/S表示是1275/1/1-1657/254/63。
再来看分区表的第二项,这一项将定义第三个扩展分区,00 00 C1 FF 05 FE FF FF FE 64 9C 00 2E 68 69 00。05表示定义的是扩展分区,00 9C 64 FE表示的是第三个扩展分区之前的扇区数,之前指的是到第一个扩展分区的起点,也就是说第三个扩展分区的起点和第一个扩展分区起点之间的距离是10249470(00 9C 64 FE)个扇区。由于第一个扩展分区的起始是16386300,因此第三个扩展分区的起始位置应该是16386300+10249470=26635770。第三个扩展分区的大小是00 69 68 2E,因此第三个扩展分区的终点应该是 26635770+6907950(00 69 68 2E)-1=33543719。第三个扩展分区起点和终点是 26635770-33543719,用C/H/S表示是1658/0/1-2087/254/63。
第二个扩展分区的分区表分析完后,E分区被定义出来,第三个扩展分区也被定义出来了。第三个扩展分区的起点在 1658/0/1,内容如下图所示。
这次我们发现分区表中只有一项,这是因为已经定义到最后一个分区了,因此不需要再向下定义扩展分区了。最后一项分区定义了F分区,内容是 00 01 C1 FF 07 FE FF FF 3F 00 00 00 EF 67 69 00,07表示F分区是一个NTFS主分区,00 00 00 3F表示F分区和第三个扩展分区分区表的距离是63扇区,第三个扩展分区的起点是26635770,所以F分区的起始位置是 26635770+63=26635833。F分区的大小是00 69 67 EF,因此计算出F分区的终点是33543719。F分区的起点和终点是 26635833-33543719,1658/1/1-2087/254/63。
至此,分区表分析完毕,一共分析了四处分区表,定义了七个分区,各处分区表定义的分区具体如下表。如果大家能够细细体会,察觉到操作系统分区的规律,将来进行分区恢复就容易得多了。当我们明白操作系统创建分区和修改分区在分区表中是怎么表现的,将来进行分区恢复只不过是一个简单的逆向操作而已,下次我们可以举个例子来说明一下。分区恢复并不难,大家只要渡过开始时对操作界面的不适应,仔细研究,辅以实例好好推敲一番,定然能够柳暗花明,豁然开朗。恭祝大家早日掌握分区原理!
MBR C:0/1/1-1019/254/63 63-16386299
第一扩展分区 1020/0/1-2087/254/63 16386300-33543719
------------------------------------------------------------------------------------
第一个扩展分区 D: 1020/1/1-1274/254/63 16386363-20482874
的分区表 第二个扩展分区 1275/0/1-1657/254/63 20482875-26635769
------------------------------------------------------------------------------------
第二个扩展分区 E: 1275/1/1-1657/254/63 20482938-26635769
的分区表 第三个扩展分区 1658/0/1-2087/254/63 26635770-33543719
------------------------------------------------------------------------------------
第三个扩展分区 F: 1658/1/1-2087/254/63 1658/1/1-2087/254/63
的分区表
内文分页: [1] [2] 最后编辑: selboo 编辑于2008/07/23 10:58
