解析DBR操作系统引导记录数据

要想了解文件系统,不得不熟悉DBR,下面我们一起来解析一下DBR中的数据。

Dos Boot Record(DBR)操作系统引导记录是由操作系统的格式化程序建立的,在文件系统驱动操作任何一个磁盘卷时,这一部分的信息将被读取并作为文件系统在这个磁盘卷上的参数被使用。它包含了有效的引导程序、厂商标志、BPB数据块等。

1.那么怎么得到DBR呢?它位于分区的第一个扇区。而分区的地址可以从磁盘的第一个分区的分区表项中获得。

具体可参考http://blog.csdn.net/liyun123gx/article/details/38420665

2.分析本扇区数据

下面是一个DBR的信息


(注意 数据以小端格式存储的)

0x11~0x02:      3个字节,跳转指令。跳转到DBR后面一点的引导程序处。引导程序是一段用来加载真正操作系统的程序。

0x03~0xA:        8个字节,OEM串。本例中是MSDOC5.0

0X0B~0X0C:   2个字节,每扇区的字节数。本例是0X0200,512

0X0D                1个字节,每簇的扇区数。本例是0x8

0X0E~0X0F:    2个字节,保留扇区数。本例是0x0026

0X10:             1个字节,FAT表个数。本例是0x02

0X11~0X12:  2个字节,根目录最多可容纳的目录项数。FAT12和FAT16通常为512,FAT32不使用此值,为0.本例中是FAT32,所以为0.

0X13~0X14:  2个字节,扇区总数。小于32MB时使用该处存放,超过32MB的使用偏移0x20~-x23字节处的4字节存放。本例中磁盘为7G多,故为0.

0X15:              1个字节,介质描述。本例中0XF8表示本地硬盘。

0X16~0X17:   2个字节,每个FAT表的扇区数。同样,FAT32不使用,为0.

0X18~0X19:   2个字节,每个磁道的扇区数。本例是0X3F,63

0X1A~0X1B:      2个字节,磁头数。本例是0XFF,255

0X1C~0X1F:     4个字节,分区前已经使用的扇区数。本例是 0X 00 00 00 3F,63

0X20~0X23:   4个字节,文件系统扇区数。本例是 0X00 EA 58 78,15358072

0X24~0X27:   4个字节,每个FAT表的扇区数。本例是 0X00 00 3A 79,14969

0X28~0X29:   2个字节,标记。

0x2A~0x2B:    2个字节,版本号。

0x2C~0x2F:    4个字节,根目录簇号,2。(虽然在FAT32文件系统下,根目录可以存放在数据区的任何位置,但是通常情况下还是起始于2号簇)

0x30~0x31:     2个字节,FSINFO(文件系统信息扇区)扇区号,1。该扇区为操作系统提供关于空簇总数及下一可用簇的信息。

0x32~0x33:     2个字节,备份引导扇区的位置,6。备份引导扇区总是位于文件系统的6号扇区。

0x34~0x3F:     12个字节,未使用。

0x40~0x40:     1个字节,BIOS INT 13H 设备号,0x80。

0x41~0x41:     1个字节,未用。

0x42~0x42:     1个字节,扩展引导标志。0x29。

0x43~0x46:     1个字节,卷序列号。通常为一个随机值。

0x47~0x51:     11个字节,卷标(ASCII码),如果建立文件系统的时候指定了卷标,会保存在此。本例中是NO NAME

0x52~0x59:     8个字节,文件系统格式的ASCII码,FAT32。

0x5A~0x1FD:  410个字节,未使用。该部分没有明确的用途。

0x1FE~0x1FF: 签名标志“55 AA”。

3.FAINFO信息扇区

FAINFO一般位于文件系统的1号扇区,就是DBR的下一个扇区。


下面介绍一下FSINFO的结构

0x00~0x03:          4个字节,扩展引导标志“52526141”。

0x04~0x1E3:    480个字节,未使用,全部置0。

0x1E4~0x1E7: 4个字节,FSINFO签名“72724161”。

0x1E8~0x1EB: 4个字节,文件系统的空簇数,41207688(0x00 12 6D 88)。

0x1EC~0x1EF: 4个字节,下一可用簇号,663(0x00 00 02 97)。

0x1F0~0x1FD: 14个字节,未使用。

0x1FE~0x1FF: 2个字节,“55 AA”标志。


注意:通常情况下,文件系统的2号扇区结尾也会被设置“55 AA”标志。6号扇区也会有一个引导扇区的备份,相应的,7号扇区应该是一个备份FSINFO信息扇区。8号扇区可以看做是2号扇区的备份,它的结尾也会有一个“55 AA”标志。



解析DBR操作系统引导记录数据,古老的榕树,5-wow.com

郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。