FAT文件系統:DBR-FAT1-FAT2-根目錄-數據區(-剩餘扇區)
->winhex查看FAT ,一般比較依賴boot template(這裏面反應的是BPB中的內容)來定位FAT1、FAT2、根目錄等(還沒查看過具體內容)
->FAT表上前4個字節是編號第1簇(描述介質F8 FF FF 0F或F8 FF FF FF)
->DBR和MBR、EBR的第一個扇區一樣用55AA結束,但其55AA前的是引導代碼,而後者前64個字節是分區表項;
NTFS文件系統:DBR-MFT區-MFT部分備份-DBR備份(最後一個扇區)
->winhex查看NTFS ,也比較依賴boot template來定位MFT的起始位置,DBR部分和MFT並非相鄰
->NTFS中還有一些元文件(也沒查看過具體內容)
(NTFS結構上與其它文件系統最大的不同在於,大多數文件系統是對文件的內容進行讀寫,NTFS是對包含文件內容的屬性進行讀寫;功能上安全性更高還沒體會)
二、(針對磁盤)磁盤類型和重要參數
1.MBR基本磁盤(第一個扇區就包含分區表信息)
2.GPT基本磁盤(試用版的winhex不讓看partition template)(第一個分區是保護MBR,第二個分區就可以看到框架信息)
從GPT頭中,可以知道GPT頭、分區表、GPT分區,分區表備份位置等信息:
->頭8個字節 GPT的簽名 EFI PART;
-> 0x48-ox4F:分區表起始LBA,接着分區表項數(4bytes),分區表項字節數(4bytes的位置);
-> 0x28-0x2F:分區區域的起始LBA,接着分區區域的結束LBA(8bytes),
GPT分區表項,128字節,最多可以有128項(即128個分區),128字節中:
16-16-8-8-8-72:
分區類型GUID-分區GUID-分區起始LBA(8個字節)-分區結束LBA-分區屬性-分區unicode名
(GPT磁盤128個分區表項,一個分區可以64位標識扇區號, 這是相比MBR磁盤的4個分區表項,一個分區用32位標識扇區,相比的巨大優勢)
動態磁盤不用盤符,用“卷”命名;“動態磁盤”的最大優點是可以將磁盤容量擴展到非鄰近的磁盤空間;但要注意的是你的磁盤裏必須有最少1MB沒有被分配的空間;
3.MBR動態磁盤
-> 第7個扇區是私有頭(512字節) (私有頭和LDM中存儲和讀取時不用調換高低位)
0x11B (8字節)邏輯磁盤的開始LBA,接着(8字節)是邏輯磁盤大小;
0x12B (8字節) LDM的起始LBA,接着(8字節)是LDM大小,一般爲2048secs;
-> 最後1M(2048扇區是LDM數據庫)
LDM數據庫的結構:佔動態磁盤的最後1MB=2048扇區。
|
扇區地址 |
扇區數 |
結構名稱 |
|
0 |
1 |
總數0 |
|
1 |
1 |
目錄表1(TOCBLOCK) |
|
2 |
1 |
目錄表2(TOCBLOCK) |
|
17 |
1 |
數據庫的配置信息(VMDB)(在目錄表0x2E指明) |
|
18 |
1481 |
數據庫的配置記錄(VBLK)(在目錄表0x36指明) |
|
1498 |
224 |
數據庫的日誌記錄(KLOG)(在目錄表0x50指明) |
|
1856 |
1 |
私有頭的第二個備份(在私有頭0x28指明) |
|
2045 |
1 |
目錄表2的備份 |
|
2046 |
1 |
目錄表1的備份 |
|
2047 |
1 |
私有頭的第一個備份(在私有頭0x20指明) |
-> VBLK 數據庫配置記錄項(從LDM18扇區開始)
VBLK的標準頭:
0x12開始2字節記錄類型(0x35磁盤組、0x34磁盤(D)、0x33分區(P)、0x32組件(C)或0x51卷(V));
每個記錄128字節 (128/16=8);
關係 V->C->P->D;
4.GPT動態磁盤
不像在MBR中的第7個扇區中存放有PRIVHEAD,PRIVHEAD只存在於LDM數據庫中,並保持一份備份;即LDM的結構沒變;
LDM的1M空間作爲磁盤的第一個分區;
