用扩展INT13H研析并恢复大容量硬盘分区信息链表
逻辑E盘所占扇区数(包含自身及隐含的0头上的63扇)
对于后继的各分区结点信息分析,可参照执行完全类似。唯一需要注意的是,后继结点分区信息表的入口地址,是其前继结点的入口地址加上前继结点的长度(包括隐含的3FH)。
三、 分区信息链表中任一结点分区信息的恢复
实际上对大容量硬盘分区信息的恢复有以下几条规则:
1、 任何一分区所占用的扇区数,在其所对应的逻辑零扇区的偏移地址20H都有备份;
2、 活动分区的起始点为0柱1头1扇区即01 01 00,结束点可由上述备份反推求出柱面号,磁头号为FEH,扇区号为3FH,然后将柱面号和扇区号合并成两个字节,若备份容量大于传统容量限制则为FE FF FF;
3、 每一结点分区信息中前一分区表项中的隐含扇区数为003FH,后一分区表项中的隐含扇区数分为两种情况:在扩展分区中该部分内容为活动分区大小加上隐含的63个扇区;在逻辑分区中该部分内容为前一结点信息中后一表项的两个数据项之和;
4、 每一结点逻辑分区信息后一分区表项的最后四个字节内容为下一结点前一分区表项的隐含扇区数与该分区所占扇区数之和;
5、 倒数第二个结点分区信息中的后一表项的两个数据项之和等于扩展分区所占用的总扇区数;
6、 主分区信息表中分区类型标志分别为0BH和 0FH,在后续逻辑分区信息表中分别为0BH和05H;(本文针对FAT32位分区方式,其它分区方式可相应改动)
7、 任一结点逻辑分区信息所对应的逻辑零扇区的入口地址等于该逻辑分区入口地址加上该分区所隐含的扇区数,即3FH。
掌握以上几条原则,即便整个分区信息链表全部破坏或丢失,都能从相关的逻辑零扇完全修复。
主分区信息的恢复过程操作概要:
第一步:活动标志和起始点是固定的 80 01 01 00 分区类型0BH,隐含扇区数是固定的3F 00 00 00,自用扇区总数从逻辑零扇区偏移20H处提取四个字节1B F2 B2 00。
利用公式 扇区总数=(柱面号*磁头数+磁头号)*每磁道扇区数
《用扩展INT13H研析并恢复大容量硬盘分区信息链表(第5页)》