Question

硬盘分区表的分区表

Answer 1

根据上面的信息，第二个分区表，也即D盘分区表在（510柱面，0磁头，1扇区）处。读取该扇区，得到分区表如下：
[00 01 41 FE 0B FE FF 7B 3F 00 00 00 BF A3 5D 00 ]
[00 00 C1 7C 05 FE FF FF FE A3 5D 00 21 88 56 00 ]
[这里都是一串0，两个0之后一个空格]
[这里都是一串0，两个0之后一个空格]
第一项
（00）（01 41 FE）（0B）（FE FF 7B）（3F 00 00 00 ）（BF A3 5D 00）
描述的是D盘的情况。
1.（00）：表示D盘不是活动分区。
2.（01 41 FE）：
(01) 16 = (1) 10 (41) 16 = (0100 0001) 2 (FE) 16 = (1111 1110) 2.
磁头号：（1) 10；
扇区号：（00 0001) 2 = (1) 10.
柱面号：（01 1111 1110) 2 = (510) 10;
故D盘开始扇区为（510柱面，1磁头，1扇区）。
3.（0B）：表示D盘的文件系统为FAT32。
4．（FE FF 7B）：
(FE) 16 = (254) 10。（FF) 16 = (1111 1111) 2 (7B) 16 = (0111 1011) 2.
磁头号：（254) 10；
扇区号：（11 1111) 2 = (63) 10.
柱面号：（11 0111 1011) 2 = (891) 10
故D盘结束扇区为（891柱面，254磁头，63扇区）。
5.（3F 00 00 00）：
反向，（00 00 00 3F)16 = (63)10，为D盘起始逻辑扇区号（510柱面，1磁头，1扇区）与扩展分区起始逻辑扇区号
（510柱面，0磁头，1扇区）之差。表示D盘前面已有63个扇区，这63个扇区为系统隐藏扇区。
6. (BF A3 5D 00）：
反向，（00 5D A3 BF) 16 = (6136767) 10。表明D盘有6136767个扇区。
通过上面得到的起点和分区的大小，可以推导出D盘的结束位置：8193150 + 63 + 6136767 = 14329980号扇区。即（891柱面，254磁头，63扇区）。与上面的正好吻合。 （00）（00 C1 7C）（05）（FE FF FF）（FE A3 5D 00）（21 88 56 00）
描述的是E盘的情况。
1. (00）：表示E盘不是活动分区。
2. (00 C1 7C）：
(00) 16 = (0) 10 (C1) 16 = (1100 0001) 2 (7C) 16 = (0111 1100) 2
磁头号：（0) 10
扇区号：（00 0001) 2 = (1) 10
柱面号：（11 0111 1100) 2 = (892) 10
所以E盘的起始扇区为（892柱面，0磁头，1扇区）。
3. (05): 表示E盘的在扩展分区里面。
4．（FE FF FF）：
(FE) 16 = (254) 10 (FF) 16 = (1111 1111) 2 (FF) 16 = (1111 1111) 2
磁头号：（254) 10
扇区号：（11 1111) 2 = (63) 10
柱面号：（11 1111 1111) 2 = (1023) 10
但这是不准确的，原因同上。
5．（FE A3 5D 00):
反向，（00 5D A3 FE) 16 = (6136830) 10. 这一项非常重要，它定位了E盘分区表所在扇区。其值为E盘分区表所在扇区号与扩展分区起始扇区号之差。所以，E盘分区表所在扇区号为：
8193150 + 6136830 = 14329980。即（892柱面，0磁头，1扇区）。
6．（21 88 56 00):
反向，（00 56 88 21) 16 = (5670945) 10.表示E盘共有11807775个扇区。通过上面得到的起点和分区的大小，可以推导出E
盘的结束位置：14329980 + 5670945 = 20000925号扇区，即（1244 柱面，254磁头，63扇区）。 根据上面的信息，第三个分区表，也即E盘分区表在（892柱面，0磁头，1扇区）处。读取该扇区，得到分区表如下：
[00 01 C1 7C 0B FE FF FF 3F 00 00 00 E2 87 56 00]
[这里都是一串0，两个0之后一个空格]
[这里都是一串0，两个0之后一个空格]
该分区表第二项全为0，说明没有下一个分区表了。该分区表就是分区表链的最后一个节点。
第一项：
（00）（01 C1 7C）（0B）（FE FF FF）（3F 00 00 00 ）（E2 87 56 00）
该项与D盘分区表的第二项描述的都是E盘的情况，但它们在某些细节上又有所区别。
1.（00）：表示E盘不是活动分区。
2.（01 C1 7C）：
(01) 16 = (1) 10 (C1) 16 = (1100 0001) 2 (7C) 16 = (0111 1100) 2.
磁头号：（1) 10
扇区号：（00 0001) 2 = (1) 10
柱面号：（11 0111 1100) 2 = (892) 10
故E盘起始扇区为（892柱面，1磁头，1扇区）。
3.（0B）：表示E盘的文件系统为FAT32。
4．（FE FF FF）：
(FE) 16 = (254) 10。（FF) 16 = (1111 1111) 2 (FF) 16 = (1111 1111) 2.
磁头号：（254) 10；
扇区号：（11 1111) 2 = (63) 10.
柱面号：（11 1111 1111) 2 = (1023) 10
但这是不准确的，原因同上。
5.（3F 00 00 00）：
反向，（00 00 00 3F) 16 = (63) 10.这一项与D盘分区表相应项有所不同.为E盘起始逻辑
扇区号（892柱面，1磁头，1扇区）与（892柱面，0磁头，1扇区）之差。表示E盘前面已有63个扇区，这63个扇区为系统隐藏扇区。
操作系统无法对这些扇区进行读写，所以可以把自己的秘密信息写在这里.
6. (E2 87 56 00):
反向，（00 56 87 E2) 16 = (5670882) 10。表明E盘有5670882个扇区。而D盘分区表相应项为5670945. （5670945） - （5670882） = 63.
正好等于63个隐藏扇区.这是因为D盘分区表描述的是（892柱面，0磁头，1扇区） 到 (1244 柱面，254磁头，63扇区） 之间的扇区数。
而E盘分区表描述的是（892柱面，1磁头，1扇区） 到 (1244 柱面，254磁头，63扇区） 之间的扇区数。