一、分区与分区表
分区和卷是一个经常换着使用的术语。通常情况下没有什么问题,因为他们是同一件事情。只是说法上稍有不同而已。当然,理解这两个术语之间的差异也是成为专业的调查人员所必须掌握的一部分。一个分区是一系列的连续的扇区所组成的,这些扇区由一个文件系统来进行编址。一个卷,是一组编址的扇区,可以用于组织并存储相关的数据。这些可以编址的地址可以是不连续的―― 这就是他们之间的不同。
当卷只由一个分区组成的时候,他们在功能上是一致的。当卷跨越了多个分区或者磁盘的时候,这个区别就很明显了。卷是逻辑的存储单元,并由操作系统分配了一个盘符。从理论上来讲,绝大多数的操作系统可以支持24个卷,从C到Z。A和B是保留供软盘使用的。如果在系统上只安排一块物理硬盘,在理论上来讲可以分为24个卷。但从我们对MBR的讨论来看,我们最有64个字节可以用来跟踪分区的分配,每个分区只可以用16个字节,最多可以有4个分区。那么他们是如何来组织24个分区的呢?
答案就是扩展分区。在定义的4个分区里,至少得有一个是扩展分区。分配到扩展分区的空间可以被进一步划分为更小的分区。每个子分区都包含一个分区表,它位于该分区的第一个扇区 。每个分区都指向下一个分区。按照这样的方式可以扩展至24个分区,每个分区都这样描述自己,并指向下一个,一直到最后一个分区。你很少会遇到比较少的分区的这种情况,在理论上讲,你可以最多遇到24个分区。分区的类型也是可以由操作系统和主机来决定的。每16个字节中的第5个字节决定了分区的类型。在扩展分区及其子分区里都是使用如上相同的设置。四个分区中的第一个字节决定了某一个分区是否为活动分区,也就是启动分区。只能存在一个活动分区,0x80表明它是活动分区。而其他的分区标识为0x00。表1.1 定义了分区表的字段。
这些都是分区为FAT12, FAT16, FAT32,及 NTFS 时的典型设置。基本都为这一规则:
| 名称 |
长度 |
描述 |
|
| 446 |
|
最低0.47元/天 解锁文章
796
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
