1.2 主分区表
NTFS文件系统扇区存储探秘
主分区表占用0号扇区(线性寻址)的64字节,位移从1beH到1fdH,字节编号为447到510。它共有4个分区表项,每个分区表项占16字节。一般只使用2个分区表项,另外2个分区表项全为0。分区表项的格式见表1-1。
注:偏移量和字节编号是第1个分区表项的值,后面的分区表项按照相同的规律递增。
通常说的分区表指的是主分区表,另外在扩展分区的每一个逻辑驱动器中,都有一个分区链表,对它们的解读方法基本是相同的。
下面将图1-1所示的两个分区表项单独列出来进行分析。
分区表项一。(位移1beH至1cdH,编号447到462)
第1个分区表项记录的是本分区的有关参数。
将16字节按表1-1的格式分为8段,分别进行说明。
第1、2、4、5段与表中的内容一样,不必重复。
第3段是2字节,表示扇区值和柱面值,因为本书介绍的工具程序使用线性寻址方式,所以对本字段的内容就没有必要详细解读了。
第6段是2字节,也表示扇区值和柱面值。
第7段是一个双字,存储顺序低字节在前,高字节在后,写成十六进制是“0000003fH”,十进制是“63”。
第8段是一个双字,它的值是十六进制为“003ffa86H”,十进制为“4192902”。
分区表项二。(位移1ceH至1ddH,编号463到478)
第2个分区表项记录的是下一分区的有关参数。
将16字节按表1-1的格式分为8段,各字段的解读方法与第1个分区表项相同,就不重复说明了。
分区链表的字段组成与解读方法与主分区表基本相同,读者可自行分析研究。需要说明的是,最后一个逻辑驱动器的分区链表中,只使用了1个分区表项,其他3个分区表项的字节数据全为0。
时间: 2024-09-17 18:56:16