磁盘底层操作及数据恢复

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

第一讲、磁盘底层操作及数据恢复张运磾9–5-2一、磁盘的基本知识1.磁盘的结构由坚硬金属材料制成的涂以磁性介质的盘片,不同容量硬盘的盘片数不等。每个盘片有两面,都可记录信息。坚硬金属材料盘片磁性介质……………………………………………………………………………………………………………………………………………………机械硬盘一、磁盘的基本知识�扇区:盘片被分成许多扇形的区域,每个区域叫一个扇区每个扇区可存储128×2的N次方字节信息。在DOS中每扇区是128×2的2次方=512字节。�磁道:盘片表面上以盘片中心为圆心,不同半径的同心圆为磁道。�柱面:不同盘片相同半径的磁道所组成的圆柱。�磁道与柱面都是表示不同半径的圆,在许多场合,磁道和柱面可以互换使用,我们知道,每个磁盘有两个面,每个面都有一个磁头,习惯用磁头号(扇面)来区分。扇区,磁道(或柱面)和磁头数构成了硬盘结构的基本参数,一、磁盘的基本知识�簇:(1)DOS进行分配的最小单位。(2)当创建一个很小的文件时,如是一个字节,则它在磁盘上并不是只占一个字节的空间,而是占有整个一簇。DOS视不同的存储介质(如软盘,硬盘),不同容量的硬盘,簇的大小也不一样。簇的大小可在称为磁盘参数块(BPB)中获取。(3)簇的概念仅适用于数据区。2.扇区编号定义�绝对扇区:我们可以用柱面/磁头/扇区来唯一定位磁盘上每一个区域,或是说柱面/磁头/扇区与磁盘上每一个扇区有一一对应关系,通常DOS将柱面/磁头/扇区这样表示法称为绝对扇区表示法。�与DOS扇区:但DOS不能直接使用绝对扇区进行磁盘上的信息管理,而是用所谓相对扇区或DOS扇区。�相对扇区只是一个数字,如柱面140,磁头3,扇区4对应的相对扇区号为2757。该数字与绝对扇区柱面/磁头/扇区具有一一对应关系。当使用相对扇区编号时,DOS是从柱面0,磁头1,扇区1开始(注:柱面0,磁头0,扇区1没有DOS扇区编号,DOS下不能访问,只能调用BIOS访问),第一个DOS扇区编号为0,该磁道上剩余的扇区编号为1到16(设每磁道17个扇区),然后是磁头号为2,柱面为0的17个扇区,形成的DOS扇区号从17到33。直到该柱面的所有磁头。然后再移到柱面1,磁头1,扇区1继续进行DOS扇区的编号,即按扇区号,磁头号,柱面号(磁道号)增长的顺序连续地分配DOS扇区号。�公式:DH--第一个DOS扇区的磁头号    DC--第一个DOS扇区的柱面号    DS--第一个DOS扇区的扇区号    NS--每磁道扇区数    NH--磁盘总的磁头数   则某扇区(柱面C,磁头H,扇区S)的相对扇区号RS为:�RS=NH×NS×(C-DC)+NS×(H-DH)+(S-DS)   若已知RS,DC,DH,DS,NS和NH则�S=(RS MOD NS)+DS�H=((RS DIV NS)MOD NH)+DH�C=((RS DIV NS)DIV NH)+DC要点:(1)以柱面/磁头/扇区表示的为绝对扇区又称物理磁盘地址   (2)单一数字表示的为相对扇区或DOS扇区,又称逻辑扇区号   (3)相对扇区与绝对扇区的转换公式一、磁盘的基本知识�“物理扇区编号”+“绝对扇区编号”+“逻辑扇区编号”1.直接按柱面、磁头、扇区3者的组合来定位(按这种编号方式得到的扇区编号称为物理扇区编号);2.按扇区编号来定位(又分“绝对扇区编号“和“逻辑扇区编号“两种)。这两种定位办法的换算关系如右图:(设图中所示硬盘每道扇区数均为63)�由于目前大多数硬盘采用的是一种“垂直分区结构“,故左图一磁头数为2、盘片数为1的硬盘,图中0磁头所对扇区的表示方法就有2种,即:0柱面0磁头1扇区=绝对0扇区,而1磁头所对扇区的表示方法也有2种,即:1柱面0磁头1扇区=绝对63扇区。如果是如右图所示磁头数为4、盘片数为2的硬盘,那么则顺着垂直于盘片的箭头线方向进行如图的绝对扇区的编号。�上面,我们说了物理扇区、绝对扇区的编号方式,而逻辑扇区编号由于是操作系统采用的扇区编号方式,而操作系统只能读取分区内部的数据内容,故逻辑扇区是从各分区内的第一个扇区开始编号,如我们下文对mbr的说明能知道:mbr这个扇区所在硬盘磁道是不属于分区范围内的,紧接着他后面的才是分区的内容,因此一般来说绝对63扇区=c:分区逻辑1扇区。3.引导记录整个磁盘按所记录数据的作用不同可分为�主引导记录(MBR:MainBootRecord)�Dos引导记录(DBR:DosBootRecord)�文件分配表(FAT:FileAssignTable)�根目录(BD:BootDirectory)�数据区(DA:Dataarea)前4个重要信息在磁盘的外磁道上.原因:是外圈周长总大于内圈周长,也即外圈存储密度要小些,可伤心性高些。3.引导记录•主引导记录(MBR:MainBootRecord)MBR位于硬盘第一个物理扇区(绝对扇区)柱面0,磁头0,扇区1处。由于DOS是由柱面0,磁头1,扇区1开始,故MBR不属于DOS扇区,DOS不能直接访问。MBR中包含硬盘的主引导程序和硬盘分区表。分区表有4个分区记录区。记录区就是记录有关分区信息的一张表。3.引导记录�Dos引导记录(DBR:DosBootRecord)�DBR位于柱面0,磁头1,扇区1,即逻辑扇区0。DBR分为两部分:DOS引导程序和BPB(BIOS参数块)。其中DOS引导程序完成�DOS系统文件(IO.SYS,MSDOS.SYS)的定位与装载,而BPB用来描述本DOS分区的磁盘信息,它包含逻辑格式化时使用的参数,可供DOS计算磁盘上的文件分配表,目录区和数据区的起始地址。�BPB之后三个字提供物理格式化(低格)时采用的一些参数。引导程序或设备驱动程序根据这些信息将磁盘逻辑地址(DOS扇区号)转换成物理地址(绝对扇区号)。3.引导记录•文件分配表(FAT:FileAssignTable)•文件分配表是DOS文件组织结构的主要组成部分。我们知道DOS进行分配的最基本单位是簇。•文件分配表是反映硬盘上所有簇的使用情况,通过查文件分配表可以得知任一簇的使用情况。•DOS在给一个文件分配空间时总先扫描FAT,找到第一个可用簇,将该空间分配给文件,并将该簇的簇号填到目录的相应段内。即形成了簇号链。FAT就是记录文件簇号的一张表。•介质格式与BPB相同(1)FAT反映硬盘上所有簇的使用情况,它记录了文件在硬盘中具体位置(簇)。(2)文件第一个簇号(在目录表中)和FAT的该文件的簇号串起来形成文件的簇号链,恢复被破坏的文件就是根据这条链。3.引导记录�根目录(BD:BootDirectory)�文件目录是DOS文件组织结构的又一重要组成部分。�文件目录分为两类:根目录,子目录。�根目录有一个,子目录可以有多个。子目录下还可以有子目录,�从而形成树状的文件目录结构。子目录其实是一种特殊的文件,�DOS为目录项分配32字节。�目录项分为三类:文件,子目录(其内容是许多目录项),卷标(只能在根目录,只有一个)。目录项中有文件(或子目录,或卷标)的名字,扩展名,属性,生成或最后修改日期,时间,开始簇号,及文件大小。�目录项的格式字节偏移意义占字节数00H文件名8B08H扩展名3B0BH文件属性1B0CH保留10B16H时间2B18H日期2B1AH开始簇号2B1CH文件长度4B�目录项文件名区域中第一个字节还有特殊的意义:00H代表未使用�05H代表实际名为E5H�EBH代表此文件已被删除�目录项属性区域的这个字节各个位的意义如下:�注意:WINDOWS的长文件名使用了上表中所说的保留这片区域。�要点:(1)文件目录是记录所有文件,子目录名,扩展名属性,建立或删除最后修改日期。文件开始簇号及文件长度的一张登记表.   (2)DOS中DIR列出的内容训是根据文件目录表得到的。   (3)文件起始簇号填在文件目录中,其余簇都填在FAT中上一簇的位置上。7 6 5 4 3 2 1 0未 修 修 子 卷 系 隐 只用 改 改 目 标 统 藏 读标 标 录   属 属 属志 志     性性 性一、磁盘的基本知识4.格式分类:意义在于对硬盘分区的管理。常见的有:FAT16、FAT32、NTFSFAT16:最常用•DOS、Windows95、Windows98/2000/XP等系统均支持•最大可以管理大到2GB的分区,但每个分区最多只能有65525个簇(簇是磁盘空间的配置单位)。•缺点:随着硬盘或分区容量的增大,每个簇所占的空间将越来越大,从而导致硬盘空间的浪费。FAT32:过度作用•随着大容量硬盘的出现,从Windows98开始,FAT32开始流行。它是FAT16的增强版本,可以支持大到2TB的分区。•FAT32使用的簇比FAT16小,从而有效地节约了硬盘空间。NTFS:保密性好•以簇为单位来存储数据文件,•优点:但NTFS中簇的大小并不依赖于磁盘或分区的大小。簇尺寸的缩小不但降低了磁盘空间的浪费,还减少了产生磁盘碎片的可能。•NTFS支持文件加密管理功能,可为用户提供更高层次的安全保证。选择何种文件系统?普通用户在决定采用什么样的文件系统时应从以下几点出发:  1)单一系统还是多启动的系统(即多操作系统);  2)硬件平台;  3)硬盘的大小与数量;  4)安全性考虑。在系统的安全性方面,NTFS文件系统具有很多FAT32/FAT16文件系统所不具备的特点,而且基于NTFS文件系统的Windows2000/XP/2003运行要快于基于FAT文件系统的;而在与Win9X的兼容性方面,FAT优于NTFS。二、存储的原理磁盘上的一片区域介质的状态不同物理层转化低级磁盘内容初级文件引导记录高级磁盘文件RAID转化系统接口系统文件真正意义上的文件还原三、文件被访问的原理explorer磁盘上的数据物理层系统层应用层用户层应用软件:WordPicasa、TTplayer系统日志强力注入:Eg:冰刀病毒四、磁盘底层操作的利器DiskGenDiskGenDiskGenDiskGenPEPEPEPE五、数据恢复在虚拟机里实验谢谢!!

1 / 22
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功