解析Fat32檔案系統

2021-08-10 11:49:05 字數 1883 閱讀 3436

1. 第一分區的起始扇區

2. 第乙個檔案檔案配置表(fat)的位置

3. 資料區域的位置

4. 檔案「file1.txt」所在的簇

1  首先,用hxd開啟所要解析的fat32的檔案

2  選擇所要分析的檔案,開啟後,在起始的sector0,也就是0扇區我們就會看到該系統的主引導,在結束標誌的55aa之前的64位為主分割槽記錄表(master partition table),記錄了各個分割槽的資訊。

offset1be 00表示不可引導,80表示可以從該分割槽啟動

offset1bf-1c1  表示chs(cylinder-head-sector,先找柱面,然後磁軌,再找扇區的定址方式)起始位址 000101(window os中都是以little-endian(小

位元組序、低位元組序的方式儲存,即低位位元組排放在記憶體的低位址端,高位位元組排放在記憶體的高位址.

offset1c2 表示分割槽標誌位

offset1c3-1c5 表示chs的結束位址

offset1c6-1c9 佔32位 表示起始扇區 0000003f=63

offset1ca-1cd 表示該扇區的長度

其餘三個扇區記錄為0表示unused

3  找到第一分區的起始扇區後我們跳轉到其所在的位置63扇區,分析其引導記錄中的資訊

offset7e0b 佔16位 表示byte/sector 每扇區有多少位元組的容量  0200(h)=512 byte

offset7e0d 佔8位  表示sectors/cluster 每一簇有多少扇區 02

offset7e0e 佔16位 表示保留區域內容佔多少扇區  0022(h)=34

offset7e10 佔8位 該分割槽有幾張fat表 2

offset7e16 佔16位 表示sectors/fat 若此區域內數字為0, 則跳轉到下一行的第5位元組,即offset7e24 佔32位 000002eb(h)=747 sectors

所以fat1的偏移量為【第一分區的起始位置(引導記錄所在的63扇區)+保留區域的扇區數(34)】*【byte/sector (512)】=49664

相對於第一分區的偏移量為49664-7e00(h)=49664-32256=17408

使用者資料區域位置在fat表結束後的下乙個扇區,也就是第一分區起始扇區+保留扇區+fat表扇區=63+34+2*747=1591

3.跳轉到1591扇區,我們就可以看到使用者真實檔案的記錄 fat directory entriy

選中的區域為檔案一資訊目錄, 在offset6e88的位置為檔案的屬性標誌,檔案1置08表示其位volumn label也就是使用該檔案系統啟動時file1.txt不可見

offset6e9a 佔16位,表示file1.txt的起始簇 0011(h)=17

在fat32中,每一簇的資訊佔32位,4個位元組。所以從offsetc200開始算起,數17個4位元組 ,找到了offsetc244,為18[00000012(h)]---19[13(h)].......34[22(h)---ffffff0f(停止)

所以file1.txt所佔的簇為17——34

FAT32檔案系統

windows95 osr2和windows 98開始支援fat32檔案系統,它是對早期dos的fat16檔案系統的增強,由於檔案系統的核心 檔案分配表fat由16位擴充為32位,所以稱為fat32檔案系統。在一邏輯盤 硬碟的一分割槽 超過 512 兆位元組時使用這種格式,會更高效地儲存資料,減少硬...

NTFS與FAT32檔案系統

磁碟 包括行動硬碟 u盤 軟盤等 在格式化時都必須指定檔案系統,目前常用的檔案系統有ntfs和fat32。一 ntfs 1 概述 ntfs,即nt檔案系統。是微軟在windows nt作業系統上使用的一種檔案系統。ntfs不斷在改進,現在主流的版本是v3.1,來自windows xp。由於windo...

NTFS與FAT32檔案系統

磁碟 包括行動硬碟 u盤 軟盤等 在格式化時都必須指定檔案系統,目前常用的檔案系統有ntfs和fat32。一 ntfs 1 概述 ntfs,即nt檔案系統。是微軟在windows nt作業系統上使用的一種檔案系統。ntfs不斷在改進,現在主流的版本是v3.1,來自windows xp。由於windo...