手机签到经验翻倍！快来扫一扫！
【热点阅读】揭开维修行业的神秘，故障硬盘数据恢复全过程记录。
53180浏览 / 377回复
　　硬盘是存放数据的重要电脑部件，如果出了问题容易带来严重的数据损失，假如当中是包含重要的数据，有人会选择求助于数据拯救人员，不过对于他们是如何操作来恢复数据，相信很多人都不清楚。Tom's Hardware介绍了一名硬盘出现故障的用户，他是在NAS上以四个硬盘组建RAID 5的，选择了把硬盘托付给SRS（希捷恢复服务），由此了解到专业人员是如何去恢复硬盘数据的。故障盘的寄送　　去年SRS收到18000宗恢复数据的请求，从USB闪盘到多驱动器的磁盘阵列都有。要恢复数据，用户须在他们的网站填写申请，说明详细的情况。侦听情况　　硬盘到手后刚开始的工作当然是诊断问题，但和很多人所想的不同，技术员第一步并非用软件去分析硬盘故障，而是把它接上电源，然后侦听运作情况，用户所描述的情况也会考虑在内的。技术员可以留意到硬盘一些轻微的震动和噪音，如果这个时候硬盘的噪音非常大，他们会马上停止操作。在这个阶段他们会尽可能让硬盘在最短的时间里运行并作出判断，如果认为还是有救的话，就进入下一个阶段。完成初步检查　　在简单的检查完成后，硬盘会接入一套测试系统，看看它能否完成基本的测试任务，比如能否启动，能否得到某些数量值，还有进行读写操作。这个阶段的重点是要确定接下来把硬盘交给SRS里负责哪个方面的人员。洁净的工作台　　这是一个医疗级的HEPA净化工作台，可以在打开硬盘时提供干净的空气，除去空气中细小的颗粒，包括细小的灰尘，而新的空气是不断供应的，环境非常洁净。如同在泡泡里的环境　　环境是需要极为洁净的，因为少量的灰尘颗粒都有可能对恢复工作带来很大影响。硬盘开盖　　接下来就是打开硬盘的盖子了。希捷的人员Peter Oswald说他见过有被狗咬过的，被锤子砸过的，被火烧过的，进了水的……各种各样出问题的硬盘。　　很多人不知道大多数的3.5英寸硬盘里都至少有一个过滤器。过滤器是在干净的生产条件下装入硬盘的，所以本来是很干净的。它在恢复数据的诊断过程中扮演重要角色，技术员通过它可以很快知道磁头有没有和盘片表面接触过，有接触过的话，出现的细小碎粒会飞溅到硬盘周围，过滤器会沾上这些碎粒并变色。在除去这些碎粒后，硬盘就可以再使用长一点的时间。深入查看　　正常情况下，硬盘的盘片应该光滑得像镜子，不过看看这张图中的硬盘，盘片最外圈的那部分已经因为和磁头接触而磨损了，但其实大多数的硬盘都不至于搞得那么糟的。当技术员发现了受损情况就需要查看破坏是否蔓延到其他盘片了，这个硬盘的情况是细粒已经覆盖到各个盘片，需要完全拆卸以进一步确定情况了。像爪子一样的工具　　要继续拆卸不容易，轻微的震动都有可能导致磁头造成新的破坏。希捷的人员使用一种类似爪子的特制工具令这个拆卸操作更安全和快捷。磁头一般是停在硬盘中心一个安全的区域里的。完全拆卸　　少数情况下，被拆出的盘片需要装到高度专业的机器上，它们可以深度检查磁道，一般这个时候技术员可以把受损的零件换为好的零件，让硬盘可以比之前更正常地运作，然后就有机会从中提取出数据。Peter Oswald表示他的团队可以通过软件向硬盘传输精确的定位，让它懂得要如何读取数据，不过技术员还是要懂得观察，知道须定位到盘片的哪个区域。用显微镜观察　　有时也会遇到很难知道哪个零件出了问题的情况。在这张图中，技术员正通过显微镜检查读写磁头的情况。某些时候通过更换有问题的零件，重新装配好硬盘，连接到恢复系统就能把数据拯救出来。恢复的时候很多硬盘只需要操作一到两次就能把数据全部导出，硬盘一般不会再还给用户。SRS表示超过90%的硬盘可以恢复数据并交付给用户。众多的磁头　　Peter Oswald说，修复硬盘的难度越来越大，看看磁头技术发展得越来越复杂就知道。前段时间有很多商店做数据恢复的生意，不过绝大部分都是基于软件的恢复而已。搜寻损坏的文件　　希捷也进行大量的逻辑故障硬盘修复。有时他们遇到用户在NAS里误删了某个文件夹，技术员得从很多个硬盘的无数文件碎片中去查找，再重新整合起来。希捷表示多数的RAID恢复请求里都涉及到物理损坏和逻辑故障。有些时候，按照用户所在公司的政策，出问题的硬盘是不能向外寄送的，那么希捷也可以进行即场的数据恢复，不过价格会比一般情况下高出很多。专业的设备　　这张图里的就是文章开头遇到故障的那个用户的硬盘，是组建了RAID的。Peter Oswald说，他们所作的操作在很多不了解的人眼里都是很平常的。这张控制卡看起来很普通，但其实是为他们特别设计的，还有控制供电的软件也是。很多这些部件都控制着非常小的细节部分。特制的软件　　在进行驱动器评估和维修时，SRS人员会运行一个“驱动器维修与解锁工具”（Drive Repair and Unlock Tool）。很多公司的工程师都用这套软件，它可以指示出硬盘发生了什么问题，不过按照Peter Oswald的意思，要用好这套软件，一半还是要靠经验。恢复数据是首要任务　　SRS首要的任务是从受损的驱动器中导出数据，剩下的都是其次。他们所用到的复杂而专有的读取工具功能是一般的操作系统和驱动器指令所做不到的。在这张图中运行的是SRS人员编写的软件，可以把硬盘里的数据全部导出，绿色的部分是正常的，从图中可以看到他们已经对这个硬盘进行过物理维修。深入到数据中　　这张图则是显示硬盘里最底层的数据，用上了十六进制编辑器。技术员会根据恢复条件，不同的结构和数据点来操作，它不仅能看到潜在的数据，有时还能修复受损的文件。固态硬盘和闪存盘也能恢复数据　　SRS人员还接受各种储存设备的恢复，包括SSD固态硬盘和闪存盘。要恢复闪存盘数据需要做的第一步就是知道设备的哪个部分出了问题。图中的技术员正寻找在测试环境下从处理器传到闪存组件的信号，以确认指令得到执行。技术员需要对闪存芯片和晶体管元件很熟悉，他们可以通过失败的情况深入到故障的底层。热修复　　虽然储存媒介在不断变迁，但磁盘和闪存的恢复过程都是类似的，鉴定出有问题的组件后就需要更换。从图中可以看出这个部件正在更换，并进行焊接。卸下组件　　据Peter Oswald介绍，闪存盘最常遇到的情况就是人们把它插到电脑上传输文件时手臂不小心撞到，此外还有被咬过，掉到水里或洗过……正是因为它们的便携性导致了出意外的几率更高。这张图中的闪存模块正从受损的盘上卸下来。严密的安保　　对于这么重要的恢复工作来说，安保自然也是需要高度重视的。SRS所有的实验室入口都装有指纹锁，只有特定人员才能进入。基于安全的理由，希捷一般是不让媒体人员进入的，而原文作者这一次算是很幸运地得以放行。幸存下来的数据　　恢复完成后，用户的数据会被装到新的存储器里并归还。作者出问题的硬盘约有3TB数据，希捷把它们装到4TB的USB 3.0外置硬盘里，最后的恢复成果是除了6首MP3文件以外其他的文件都失而复得了。原来受损的旧硬盘希捷会保留一个月，这是为了给用户时间去备份恢复出来的数据和进行确认，而且还考虑到送回的新硬盘要经过发货这个过程，同样可能会出现意外情况，而恢复出来的数据希捷本身也会留一个备份。数据擦写　　为避免资料外泄，最后希捷会对他们的备份硬盘进行擦写操作。该操作会覆盖到每个扇区，而不是简单的删除，将按照军工级标准来执行，擦写操作会进行三到七次以保证安全，完成后的硬盘会在希捷内部继续使用，而用户的原硬盘则会销毁。数据恢复其实价格不菲　　从打电话求助SRS到最后，作者该容量四个NAS硬盘的恢复费用范围在3000美元到20000美元之间，这视乎故障的严重程度而定，对于普通用户来说实在是贵得厉害。希捷也有售卖其数据恢复软件，价格99美元，购买前可试用。若不想自己动手，也可以要求远程协助，SRS支持人员会在用户的电脑上安装软件并运行，费用199美元，如果是寄送到SRS实验室恢复数据，起步价399美元，包含硬盘寄送和交还的运费。　　最后，再次强调，平时一定要做好备份工作。每日热帖：&
恢复数据是钱无底洞，贵死
ssn760 发表于
恢复数据是钱无底洞，贵死
是啊，所以我才把硬盘看得那么重。
qqppmm218 发表于
DK在 DIY 第7季里把硬盘的稳定排第一位是有道理的。我本人经历过数据恢复感同身受呀。看这个帖子涨姿势了
afanever 发表于
ssp2105 发表于
DK在 DIY 第7季里把硬盘的稳定排第一位是有道理的。我本人经历过数据恢复感同身受呀。看这个帖子涨姿势了
我是从实际角度出发，而不是从性能角度出发的～谢谢啦～哥们～
feiyu7510 发表于
zhiyecainiao 发表于
好厉害啊，专业级的
数据是啥...
数据是啥...
keygen 发表于
好厉害啊，专业级的
数据是啥...
如果你不需要数据，那可以无视硬盘的存在。
generalkid 发表于
如果你不需要数据，那可以无视硬盘的存在。
重要的东西..靠硬盘..真不如靠虚无的云啊........
重要的东西..靠硬盘..真不如靠虚无的云啊........
我不完全认同这个观点。
支持键盘翻页 ( 左右 )&
用户名/注册邮箱/注册手机号
其他第三方号登录您所在位置： &
&nbsp&&nbsp&nbsp&&nbsp
浅谈电脑维修中的问题及解决方法.pdf 2页
本文档一共被下载：
次 ,您可全文免费在线阅读后下载本文档。
下载提示
1.本站不保证该用户上传的文档完整性，不预览、不比对内容而直接下载产生的反悔问题本站不予受理。
2.该文档所得收入(下载+内容+预览三)归上传者、原创者。
3.登录后可充值，立即自动返金币，充值渠道很便利
你可能关注的文档：
··········
··········
技术与市场
2015年第22卷第1期
浅谈电脑维修中的问题及解决方法
(河北和藤城乡规划设计有限责任公司,河北石家庄050021)
摘　 要:作为一名信息中心工作人员,我们的工作任务就是解决电脑中遇到的软件、硬件的问题,我们必须迅速找到解决
的方法以提高工作效率。 叙述了电脑使用中容易产生的几种故障,分析了因因并提出了解决方法。
关键词:计算机维修;软件;硬件;解决方法
doi:10.3969/ j.issn.15.01.009
而强迫重新启动。 解决方法:覆盖安装或重新安装。
在现代社会中,计算机的使用越来越频繁。 很多人开始自
2)病毒破坏。 使用最新版的杀毒软件进行杀毒,一般都会
己组装电脑、安装系统。 但是在其使用和操作过程中,可能因
发现病毒存在。 有些木马不容易被清除,解决方法:重新安装
为某些因素难免出现一些状况。 作为信息中心工作人员,需要
操作系统。
快速准确地排除障碍。 本文针对计算机维修存在的问题,介绍
2　 电脑蓝屏现象产生的原因
了根据硬件或软件不同进行故障定位的方法,并根据不同原因
我们可以从软件、硬件两方面来解释蓝屏现象。
提出相应的解决方案。
从硬件方面来说,超频过度是导致蓝屏的一个主要原因。
1　 硬件与软件的故障定位
过度超频,由于进行了超载运算,造成内部运算过多,使 CPU
计算机应用中通常遇到的问题分为软件和硬件方面,如何
过热,从而导致系统运算错误。 如果既想超频,又不想出现蓝
迅速准确地定位电脑故障,需要从以下几个方面进行分析:
屏,只有换个强力风扇,再抹上一些硅胶之类的散热材料会好
1．1　 电脑自动重启原因归类
许多;如果内存条发生物理损坏或者内存与其他硬件之间不兼
在使用电脑的过程中,很多人都遇到过系统无故自动重启
容,也会产生蓝屏。 此时的解决办法只有卸载刚安装的软件重
的情况,实际上引起计算机重启的原因有多种,其中硬件方面
新运行,等系统稳定后更换其他需求的软件安装试用;劣质零
的原因大致有以下几点。
部件也是电脑出现蓝屏现象的一个因素,使用质量低劣的主
1．1．1　 电源引起系统自动重启
板、内存,会使机器在运行时很不稳定。 因此,用户购机时可以
劣质的电源不能提供足够的电量,当系统中的设备增多,
争取尽量长的保修时间;另外一个常见原因是系统硬件冲突所
功耗变大,劣质电源输出的电压就会急剧降低,最终导致系统
致,实践中经常遇到的是声卡或显示卡的设置冲突。 在“控制
工作不稳定,出现自动重启现象。 电压起伏过大还有可能导致
面板” “系统” “设备管理”中检查是否存在带有黄色问号
硬盘等设备的损坏。
或感叹号的设备,如存在可试着先将其删除,并重新启动电脑,
1．1．2　 内存出现问题导致系统重启
由Windows 自动调整,一般可以解决问题。 若还不行,可手工
内存出错导致系统重启的几率相对较大。 简单的解决办
正在加载中，请稍后...本月排行TOP10
您现在的位置：>>
>>正文内容
计算机主板维修课程实践（实训指导书）
学习单元一 &软件级故障维修与数据恢复 1
项目一 &恢复硬盘引导分区 2
任务1 &使用Diskgen恢复硬盘引导分区 2
一、实例描述 2
二、任务实施 2
三、知识链接 7
四、任务拓展--DISKGEN文件恢复功能 12
五、知识训练 13
六、考核与报告 15
任务2使用WINHEX恢复硬盘分区 19
一、实例描述 19
二、任务实施 19
三、知识链接 29
四、任务拓展&&多个主分区信息恢复 36
五、知识训练 37
六、考核与报告 38
（一）考核评价 38
（二）实训报告 39
实训项目二 &使用WINHEX恢复硬盘分区 43
项目二 &恢复文件系统引导记录 54
任务1 &使用Winhex修复FAT32分区引导记录 54
一、实例描述 54
二、任务实施 54
三、知识链接 57
四、知识训练 68
五、考核与报告 68
任务2 &使用WINHEX恢复价NTFS分区引导记录 74
一、实例描述 74
二、任务实施 74
三、知识链接 78
四、知识训练 99
五、考核与报告 99
任务3使用 &R-Studio恢复格式化的分区文件 99
一、实例描述 99
二、任务实施 99
三、知识链接 105
四、知识训练 113
五、考核与报告 113
项目三 &恢复RAID结构 114
任务1 &使用R-Studio恢复RAID 114
一、实例描述 114
二、 任务实施 114
三、 知识链接 117
四、知识训练 122
五、考核与报告 123
任务2 &使用Raid Reconstructor恢复RAID 123
一、 实例描述 123
二、 任务实施 123
三、知识链接 134
四、任务拓展--使用winhex分折重组RAID 144
五、知识训练 149
六、考核与报告 149
学习单元二 & &固件级故障维修与数据恢复 150
项目四 &修复损坏的固件 151
任务1 &使用MRT检测与重写硬盘固件 151
一、实例描述 151
二、任务实施 151
三、知识链接 156
四、知识训练 168
五、考核与评价 168
任务2使用MRT修复希捷固件的地址译码器模块 168
一、实例描述 168
二、任务实施 168
三、知识链接 178
四、知识训练 196
五、考核与报告 196
任务3 &使用MRT修复西数硬盘固件11号模块 196
一、实例描述 196
二、操作步骤 196
三、知识链接 202
四、知识训练 210
五、考核与报告 210
项目5 &维修硬盘坏道 210
任务1使用VCR检测修复磁盘坏道 210
一、实例描述 210
二、任务实施 210
三、知识链接 215
四、任务拓展一使用MHDD工具软件检查硬盘坏道 217
五、知识训练 223
六、考核与报告 223
任务2 &使用MRT修复硬盘坏道 223
一、实例描述 223
二、任务实施 223
三、知识链接 236
四、知识训练 238
五、考核评价 238
任务三 &使用MRT修复固件区坏道 239
一、实例描述 239
二、任务实施 239
三、知识链接 249
四、任务拓展&&固件偏移 254
五、知识训练 260
六、考核与报告 260
任务4使用MRT屏蔽损坏磁头 260
一、实例描述 260
二、任务实施 260
三、知识链接 267
四、知识训练 285
五、考核与报告 285
学习单元三 &物理部件级维修 285
项目六 &维修硬盘电路板故障 286
任务一 &替换硬盘电路板 286
一、 实例描述 286
二、任务实施 287
三、知识链接 290
四、知识训练 298
五、考核与报告 298
任务二 &维修硬盘电路板 299
一、 实例描述 299
二、任务实施 299
三、 知识链接 302
四、知识训练 307
五、考核与报告 307
项目七 &维修硬盘磁头与电机组件 308
任务1 &更换硬盘磁头组建 308
一、任务描述 308
二、任务实施 308
三、知识链接 317
四、知识训练 320
五、考核与报告 320
任务2 &更换硬盘主轴电机 320
一、实例描述 320
二、任务实施 321
三、知识链接： 327
四、知识训练 329
五、考核与报告 329
学习单元一 &软件级故障维修与数据恢复
【单元概要】
软件级维修与数据恢复在行业内被称为一级维修，也就是最基础级的维修。一级维修主要是使用通用或专业的工具软件，修复来自于硬盘逻辑层的故障。软件级维修的前提是硬盘的读写功能正常。
硬盘逻辑层故障指硬盘分区与文件系统的故障，当由于病毒破坏或者其它偶然原因导致硬盘逻辑层中MBR、DBR、FAT、FDT、MFT等基本组件丢失、改写、或者是具体文件结构的损坏，就会出现盘符丢失、无法访问、提示格式化、文件乱码等故障。在硬盘维修及数据恢复领域中，这些问题可以全部归于硬盘逻辑层故障。对于硬盘逻辑层面的故障维修，依据故障表现和损坏程度的不同，采作不同的工具软件就可修复相关故障，实现数据复现。
【教学要点】
1.了解硬盘逻辑结构
2.了解FAT32、NTFS分区结构
3.了解RAID结构与数据存储方式
4.能够使用Diskgen、Winhex、R-Sdudio等工具软件恢复硬盘数据
【建议课时】64学时
项目一 &恢复硬盘引导分区
硬盘引导分区位于整个硬盘的0磁道0柱面1扇区。主引导程序的损坏会导致系统无法从硬盘引导，硬盘内容无法读取，操作不会导致整个硬盘的数据丢失。恢复硬盘引导分区，可使用工具软件有DM软件、Diskgen工具软件、WinHen编辑软件、DOS下的Fdisk/mbr命令等，其中Diskgen工具软件、WinHex编辑软件是目前最常用的两个工具。
任务1 &使用Diskgen恢复硬盘引导分区
一、实例描述
一家外贸公司的笔记本在开机启动过程中突然断电，当再次启动的时候，系统能够通过自检并检测到硬盘，但是即将进入操作系统之前出现如下提示：
&Disk Boot Failure.Insert Systen Disk And Pressenter&
由于客户在桌面保存有极重要的文件，急于使用，于是紧急求助于专业的数据恢复工程师。
二、任务实施
Step1:硬盘故障检测
从客户电脑上拆下硬盘，查看硬盘标签，了解硬盘品牌及型号，将硬盘接入维修平台，硬盘加电状态无异常，在我的电脑中没有发现新硬盘加入，进入磁盘管理，看到磁盘1无分区。如图1-1-2所示：
图1-1-1分区丢失的&磁盘1&
Step2：启动维修平台中的Diskgen软件，如图1-1-2示
图1-1-2 &Diskgen工具软件启动文件
Step3：进入Diskgen主界面，在界面左侧的窗口选中HD1，出现如图1-1-3所示界面。
图1-1-3 &Diskgon主界面窗口
Step4:单击工具栏中的搜索分区按钮，会出现图1-1-4所示搜索范围选择对话框。
图1-1-4 &范围选择对话框
Step5：单击开始搜索，搜索过程中出现第一个分区信息，如图1-1-5所示界面。
图1-1-5 &搜索出的第一个分区信息
Step6：单击保留,，搜索继续，如图1-1-6所示，在弹出的分区保留对话框中始终选择保留项，即可找出硬盘l的所有分区，如图1-1-7所示。
图1-1-6 &保留分区信息提示
Step7：单击&确定&，选择工具栏中&保存修改&，保存搜索到的分区，如图1-1-8所示。
Step8：修复验证。关闭Diskgen，在我的电脑下可以看到硬盘l被恢复的分区，而且分区中的。数据也可得以恢复。如图1-1-9所示。
图1-1-9 &分区修复
Step9：将修复的硬盘取下维修平台，装入客户机，加电开机，顺利进行Windows引导界面，故障修复。如图1-1-10所示
图1-1-10故障修复确认
三、知识链接
1.DiskGen软件及其操作界面
DiskGen是一款国人自主开发的工具软件，该软件集磁盘分区管理与数据恢复功能于一身，即是一款功能强大、灵活易用的分区软件，同时也是一功能全面的数据恢复软件。它不仅具备与分区管理有关的几乎全部功能，支持GUID分区表，支持各种硬盘、存储卡、虚拟硬盘、RAID分区，提供了独特的快速分区、整数分区等功能。还具备丢失分区恢复功能、完善的误删除文件恢复功能、各种原因导致的分区损坏文件恢复功能。图1-1-11为DiskGen官网首页，图1-1-12为DiskGen软件主界面。
图1-1-11DiskGen官网首页
2.硬盘的逻辑结构
【1】硬盘的逻辑磁道
当磁盘旋转时，磁头若保持在一个位置上，则每个磁头都会在磁盘表面划出一个圆形轨迹，这些圆形轨迹就叫做磁道（Track），如图1-1-13所示。
图1-1-13硬盘磁道示意图
【2】硬盘的逻辑扇区
磁盘上的每个磁道被等分为若干个弧段，这些弧段便是硬盘的扇区(Sector)。硬盘的第一个扇区叫做引导扇区。每个扇区可以存放512个字节的信息，磁盘驱动器在向磁盘读取和写入数据时要以扇区为单位，如图1-1-14所示。
图1-1-14硬盘扇区示意图
【3】硬盘的逻辑柱面
硬盘通常由重叠的一组盘片构成，每个盘面都被划分为数目相等的磁道，并从外缘的&0&开始编号，具有相同编号的（处于同一半径的）磁道形成一个圆柱称之为磁盘的柱面(Cylinder)。磁盘的柱面数与一个磁盘单面上的磁道数是相等的，如图1-1-15所示。
图1-1-15硬盘柱面示意图
【4】硬盘的逻辑磁头
硬盘中都会有一个或者多个盘片，每一个盘片又有两个盘面，即上盘面和下盘面，每一个盘面都有一个盘面号，逻辑上按顺序从上而下自&0&开始依次编号。
盘片(Platter)是用来存储数据的，那么数据是如何写到盘片上去的呢？这个工作是由磁头来完成的，硬盘的每个盘面都会对应一个磁头，所以在硬盘系统中，逻辑盘面号也可称为逻辑磁头号，就是因为每一个有效盘面都有一个对应的读／写磁头，如图1-1-16所示。
图1-1-16 &磁头与盘片对应图
【5】磁盘容量：
磁盘容量是衡量一块磁盘最重要的技术指标，硬盘的容量是由盘面数（磁头数）、柱面数和扇区数所决定的，其计算公式为：硬盘容量=柱面数（Cylinders）x盘面数（磁头数Head）x扇区数（Sector）x512B其中&B&代表Byte，即&一个字节&，1Byte=8bit，1bit代表一个数字0或1。硬目前主流的硬盘容量有320GB、500GB、1TB、2TB等几种，1TB=1024GB=MB=24B
3.硬盘分区与DISKGEN分区恢复原理
磁盘分区是使用分区编辑工具软件，将磁盘逻辑结构划分几个逻辑部分，不同类的目录与文件可以存储进不同的分区。越多分区，也就有更多不同的地方，可以将文件的性质区分得更细，按照更为细分的性质，存储在不同的地方以管理文件。磁盘分区工具在编辑分区时会将分区特征信息以特定的格式存储在磁盘特定的区域，DiskGen正是通过全盘搜索这些固定的数据，然后进行验证和恢复分区特征信息，实现硬盘分区的恢复，如图1-1-17所示。
图1-1-17 &硬盘逻辑分区示意图
四、任务拓展--DISKGEN文件恢复功能
DISKGEN除了具有分区管理与恢复功能外，对于误删除文件也具有很好的恢复功能，其原理也是通过搜索和恢复文件结构信息，来实现删除文件的恢复。不过其前提条件是删除文件的磁盘没有做过任何写入操作。同学们可以在自己的电脑上删除一些不重要的文件，然后通过DISKGEN的文件恢复功能做个试验。图1-1-18所示为&文件恢复按钮&位置，图1-1-19为恢复方式选择对话框。
图1-1-18恢复文件按钮
图1-1-19选择恢复方式
五、知识训练
1.硬盘引导分区位于整个硬盘的0磁道0柱面1扇区。主引导程序的损坏会导致系统无法从硬盘引导，硬盘内容无法读取，操作不会导致 & & & & & & & &。恢复硬盘引导分区，可使用工具软件有 & & & 、 & & & & &、 & & & & 、 & & & & & &等，其中 & & & &、
& & & & & & &是目前最常用的两个工具。
2.DiskGen是一款 & &自主开发的工具软件，该软件集 & & & 与 & & & & 功能于一身，即是一款功能强大、灵活易用的分区软件，同时也是一功能全面的 & & &软件。
3.DiskGen的功能 & & & & & & & & & & & & & & & & & & 。
4.标出下面硬盘的逻辑结构
5.磁盘上的每个磁道被等分为若干个弧段，这些弧段便是硬盘的扇区(Sector)。硬盘的第一个扇区叫做引导扇区。每个扇区可以存放 & & &个字节的信息，磁盘驱动器在向磁盘读取和写入数据时要以 & & & & 为单位。
6.硬盘通常由重叠的一组 & & 构成，每个盘面都被划分为数目相等的 & & &，并从外缘的&0&开始编号，具有相同编号的（处于同一半径的）磁道形成一个圆柱称之为 & & & & 。
7.硬盘中都会有一个或者多个盘片，每一个盘片又有两个盘面，即上盘面和下盘面，每一个盘面都有一个盘面号，逻辑上按顺序从 &而 & 自&0&开始依次编号。
8.磁盘容量是衡量一块磁盘最重要的技术指标，硬盘的容量是由 & & & & & 、 & & & & & 和 & & & & & & 所决定的，其计算公式为：硬盘容量= & & & & & & & & & & & & & & &。
9.目前主流的硬盘容量有 & & & & &、 & & & & 、 & & & & 、 & & & & & 等几种。
六、考核与报告
（一）考核标准
班级： & & & & & & & & & & & &姓名： & & & & & & &&
实训案例 指导教师 成绩 备注
序号 考核内容 配分 评分标准 得分
1 按时出勤；认真参加实训；积极参与；遵守实训基地纪律，服从管理。 20 是否遵守
2 熟练使用DISKGEN软件修复硬盘分区。 30 能否使用
3 了解硬盘分区结构，完成硬盘分区修复任务。 50 能否完成
4 了解DISKGEN文件恢复功能 20 能否进行简单文件恢复
合 & & 计 & & &得 & & 分
（二）实训报告
实训目的 通过本项目的学习，学生能够使用Diskgen恢复硬盘引导分区。
实训设备 电脑。
及基本要求 （1）由指导教师讲解实训的基本内容、要求、目的。
（2）能够使用Diskgen恢复硬盘引导分区。
（3）写出实训报告。
实训内容 一家外贸公司的笔记本在开机启动过程中突然断电，当再次启动的时候，系统能够通过自检并检测到硬盘，但是即将进入操作系统之前出现如下提示：
&Disk Boot Failure.Insert Systen Disk And Pressenter&
由于客户在桌面保存有极重要的文件，急于使用，于是要求学生进行检修。
实训步骤 1.硬盘故障检测
从客户电脑上拆下硬盘，查看硬盘标签，了解硬盘品牌及型号，将硬盘接入维修平台，硬盘加电状态无异常，在我的电脑中没有发现新硬盘加入，进入磁盘管理，看到磁盘1无分区。
2.启动维修平台中的Diskgen软件。
3.进入Diskgen主界面，在界面左侧的窗口选中HD1。
4.单击工具栏中的搜索分区按钮，会出现图1-4所示搜索范围选择对话框。
5.单击开始搜索，搜索过程中出现第一个分区信息。
6.单击保留,，搜索继续，如图-6所示，在弹出的分区保留对话框中始终选择保留项，即可找出硬盘l的所有分区。
7.单击&确定&，选择工具栏中&保存更改&，保存搜索到的分区。
8.修复验证。关闭Diskgen，在我的电脑下可以看到硬盘l被恢复的分区，而且分区中的。数据也可得以恢复。
9.将修复的硬盘取下维修平台，装入客户机，加电开机，顺利进行WINDOWS引导界面，故障修复。
及基本要求
（三）拓展训练实训报告
及基本要求
任务2使用WINHEX恢复硬盘分区
一、实例描述
客户李先生家的台式电脑，某日正常开机后发现无法正常进入操作系统，提示&分区不可用&故障前电脑启动时间较长外，没有明显异常，也未发生过突然断电、非正常关机等非法操作，杀毒软件经常提示有病毒侵入，由于未影响正常使用，未做过全盘查杀。
二、任务实施
Stepl：硬盘故障检测
硬盘目检为西数40GB，IDE接口，将客户硬盘接入维修平台IDE接口，开机加电，硬盘加速启动过程未感异常。进入操作系统、&我的电脑&界面，未看到新磁盘加入。打开&我的电脑／管理&看到图1-1-20界面，磁盘1提示没有初始化。初步判断为硬盘主分区信息损坏。
图1-1-20 &&磁盘1&未初始化
Step2：由于客户需要硬盘上的数据，所以在这里选择&取消&，关闭计算机管理窗口，打开维修平台桌面上的WinHex软件，如图1-1-21所示。
图1-1-21WinHex启动图标
Step3：进入WinHex操作主界面后，选择菜单栏中的&工具／打开磁盘&选项，如图1-1-22所示，在弹出图1-1-23所示窗口中选中&HD1&。
图1-1-22 &打开磁盘命令
图1-1-23 &选择磁盘
Step4：单击&确定&，显示如图1-1-24所示的操作界面，界面中Offset区域中的数据即为故障磁盘&主引导启动扇区&的相关参数，很显然，这种区域数据是一组非正常数据。因为一个正常的硬盘的启动扇区数据与图1-1-25所示的样式基本相似才可以。
图1-1-24故障盘的引导分区
图1-1-25正常盘的引导分区
Step5：复制一个正确的MBR信息。
单击WINHEX菜单栏下的&工具/打开磁盘&在对话框中选择&HDO&，单击&确定&打开。如图1-1-26所示，可能看到磁盘0主引导记录的相关参数信息。按图1-1-27至图1-1-30所示流程进行操作，复制一个正确的MBR信息到剪贴板。
图1-1-26&硬盘0&的引导分区
图1-1-27选块开始
图1-1-27选块结尾
图1-1-29编辑命令
1-1-30复制选块
Step6：将剪切板中的MBR信息粘贴到磁盘1的MBR扇区
图1-1-31载入复制信息至&磁盘1&
图1-1-32载入完成
Step7：将MBR扇区的最后两个字节修改为&55AA&
图1-1-33修改结束标志
Step8：修复DPT（磁盘主分区）信息
单击OFFSET区域右边的小三角，选择&分区1启动扇区（模板）&打开图1-1-34对话框并记录两个关键的标示信息（隐藏扇区数和合计扇区数）。
图1-1-34 &分区引导信息模板
选择WINHEX菜单&视图/模板管理/主引导记录&打开主引导记录模板，如图1-1-35所示，将分区1中的隐藏扇区和合计扇区数据填写在如图所示的位置，并保存。（注意合计数据要加1）
图1-1-35 &主引导模板记录
单击OFFEST区域右边的小三角（访问栏），选择&分区2/分区表（模板）&，打开分区2的分区表象模板，如图1-1-36所示，通过分区表项数值，确定本分区为扩展分区下的逻辑分区。
图1-1-36 &分区2分区表模板
选择WINHEX菜单&视图/模板管理/主引导记录&再次打开主引导记录模板，在分区表项#2中写如下数值并保存，如图1-1-37所示。
图1-1-37写入主引导记录的扩展分区信息
Step9：修复确认
重启维修平台，打开&我的电脑管理&，妇图1-1-38所示，可以看到故障硬盘状态良好，有一个主分区和两个扩展的逻辑分区，故障修复。
图1-1-38修复确认
三、知识链接
WINHEX是由X-Ways软件公司开发的一款专业的磁盘编辑工具，是在Windows系统下运行的一款十六进制的编辑软件，主要作用就是对存储介质底层数据进行分析和编辑。使用WINHEX软件打开指定的硬盘后，出现如图1-1-39所示的界面。
图1-1-39WinHex编辑窗口
【l】资源面板：显示当前存储介质的相关参数信息
【2】偏移量纵坐标：用来定位数据位置
【3】偏移量横坐标：用来定位数据位置
【4】十六进制数据编辑区：查看和编辑选定介质的底层数据
小提示：当WINHEX打开一个编辑目标时，编辑目标中存储的所有数据都会以十六进制的形式显示在WINHEX的十六进制编辑区，拉动编辑区的右侧滚动条，就可以方便地进行数据的查看和编辑。
【5】文本区；又称为字符区，是将十六进制编辑区中的数据按照一定的编码解释为相应的字符
【6】菜单栏：WINHEX功能操作入口
【7】工具栏：WINHEX功能操作快捷入口
【8】底边栏：辅助信息显示：扇区：为当前逻辑扇区号和总扇区数：偏移地址：是光标在十六进制数据区中停留处所在字节的偏移地址，后面等号处的数值是该光标处十六进制字节的十进制值；&选块&后的数据是指在十六进制数据编辑区中所选择的一片数据的起始偏移地址和结束偏移地址；&大小&后的数据是选择的数据块中包含的字节数。
名词解释：偏移量（offset）是指某个地址相对于一个指定的起始地址所发生的的位移，也就是距离起点多远的意思。WINHEX的偏移量由横坐标和纵坐标构成，用来具体定位十六进制数据编辑区每个字节的地址。偏移量的横纵坐标中的数值默认为十六机制，如果需要改成十进制，只要在纵坐标的任意位置单击鼠标左键即可。
2.MBR磁盘分区
MBR磁盘分区是使用最为广泛的一种磁盘分区结构，它也被称为DOS区，但它并不仅仅应用于微软的操作系统平台，Linux系统、UNIX系统也同样支持MBR磁盘分区。MBR磁盘分区的主要特点此分区方式中一个引导扇区，引导扇区中有一段程序称为主引导记录（MainBootRecord即MBR）
MBR扇区位于整个硬盘的0磁道0柱面1扇区，在整个扇区的512个字节中，包含了四个部分的信息，如图1-1-40所示。
图1-1-40MBR扇区数据
【1】引导程序
引导程序占用了其中的440个字节，其地址在偏移0-偏移IBH处。计算机主板的BIOS程序在自检通过后，会将MBR扇区信息整个读取到内存中，然后将执行权交给MBR中的引导程序。随后计算机系统就会在MBR的引导下，查找分区表中的活动分区信息，并确定活动分区引导扇区在磁盘中的偏移信息，然后引导扇区信息读入内存，并由该扇区信息去引导操作系统，MBR引导程序的使命就完成了。在整个引导过程中，任何一个过程的损坏，都将导致电脑无法进入操作系统。
【2】Windows磁盘标签
Windows磁盘标签占用引导程序后的4字节，其地址在偏移IB8H-偏移IBBH处，是Windows系统对硬盘初始化时写入的一具磁盘标志，Windows系统依靠这个标签来识别硬盘，如果标签丢失，Windows系统就会认为该硬盘没有初始化。
【3】磁盘分区表
偏移1BEH-偏移1FDH的64字节为DPT(DISKPARTITIONTABLE硬盘分区表)，标示整个硬盘的分区信息。
【4】结束标志
扇区最后两个字节&55AA&是MBR的结束标志，在执行MBR引导程序时，计算机系统会验证MBR扇区的最后两个字节，如果是&55AA&，系统才会继续运行，否则，系统就会因为MBR非法而停止运行。
提示：MBR是由分区程序（如Fdisk.exe）所产生的，它不依赖任何操作系统，而且硬盘引导程序也是可以改变的，从而实现多系统共存。主引导程序的损坏会导致系统无法从硬盘引导，硬盘内容无法读取，操作会导致整个硬盘的数据丢失。
3.硬盘分区表（DPT）结构解析
DPT在主引导扇区共占有64个字节，每一个分区表项占有16个字节，因此一个硬盘最多可以划分成4个主分区。每一个分区表项所对应的各个字节的含义都是一样的。图1-1-41为硬盘分区表。
图1-1-41硬盘分区表
表1-1-1是以第一个主分区的分区表项为例来说明一下单个分区表项的数据结构。在分区表项的数据结构中，有几个关健的字节在分区恢复中应用最为重要：一是分区类型(0x01C2)，二是本分区之前使用的扇区数(0x01C6)，三是分区的总扇区敦(0x01CA)，在分区表损坏修复实例中，只要将以上的9个字节数值能完整的填写出来，即可将硬量丢失的分区找回来。
表1-1-41分区表项数据结构
字节偏移 字段长度 值 字段名和含义
0x01BE 1字节 0x80 引导标志(BootIndicator)：指明该分区是否是活动分区，80表示是活动分区（和操作系统引导程序所在的分区相关）
0x01BF 1字节 0x01 开始磁头(StartHead)
0x01C0 6位 Ox01 起始扇区(StartSector)：只用了0～5位，后边的两位（第六位和第七位）被开始柱面字段所使用
0x01C1 10位 Ox00 起始柱面(StartCylindcl).共占用10位，最大值为1023
0x01C2 l字节 OxOC 分区的类型描述(Partitiontypeindicator)：定义了分区的类型，050F代表扩展分区，07代表NTFS分区，OB代表FAT32分区
0x01C3 l字节 0xFE 结束磁头(EndHead)
0x01C4 6位 0xFE 结束扇区(EndSector)：只使用了0~5位。最后两位（第6，7位）被结束柱面字段所使用
0x01C5 10位 0xFE 结束柱面(EndCylinder)：结束柱面是一个10位的数，最大
0x01C6 4字节 Ox0000003F 本分区之前使用的扇区数(Sectorsprecdingpartition)指从该磁盘开始到该分区开始之间的偏移量，以扇区数来表示
0x01CA 4字节 Ox 分区的总扇区数(Sectorsinpartition)
4.扩展分区结构解析
由于MBR仅仅为分区表保留了64字节的存储空间，而每个分区的参数占据16字节，所以MBR扇区中总计可以存储4个分区表项的数据，四个分区在有些特定环境下，是不够的，如果要为一块单独的硬盘划分出超过4个以上的分区，显然只靠主分区是不行的，为了克服这个缺点，Windows操作系统引入了扩展分区的概念。
所谓扩展分区,严格地讲它不是一个实际意义的分区，它仅仅是一个指向下一个用来定义分区的参数的指针.这种指针结构形成一个单项链表。这样在主引导扇区(MBR)中除了主磁盘分区外，仅需要存储一个被称为扩展分区的分区信息，通过这个扩展分区的信息就可以找到下一个分区（实际上也就是下一个逻辑磁盘）的起始位置，以此起始位置类推可以找到所有的分区。
扩展分区中的每个逻辑分区的分区信息都存在一个类似于MBR的扩展引导记录(ExtendedBootRecored,EBR)中，EBR同时还具有另一个俗称：虚拟MBR,因为它的分区表结构和MBR的分区表结构是完全相同的。
EBR中分区表的第一项描述第一个還辑分区，第二项指向下一个逻辑分区的EBR，以此类推，直到最后-个逻辑分区的EBR，最后-个還里分区的EBR只需包含一个分区表项就OK了。EBR结构及表链关系如图1-1-42所示。
四、任务拓展&&多个主分区信息恢复
很显然，任务二中所修复的硬盘分区具有一个主分区和一个扩展分区，故障原因为病毒破坏了主引导扇区，出现无法进入系统、硬盘未有初始化的错误提示，保存在各分区磁盘中的分区信息并没有被破坏。我们通过Winhex编辑软件，首先修复主引导记录，磁盘标签和结束标志，然后依据各分区模扳信息，在主引导记录中重新写入主分区和扩展分区信息数据，实现了分区修复与数据复现的目的。如果硬盘如图1-1-43磁盘2所示情况，硬盘分区为三个主分区，其分区表项的修复就需要在主分区表中将各个分区隐藏扇区数和实有扇区数全部填写完整，才能实现分区修复与数据复现。同学们在在WINHEX软件中打开磁盘l的主分区信息与任务一中的主分区信息进行比较，并写出它们之间不同。
图1-1-43&磁盘l&的三个主分区
评价主体 评分标准 分值 学生自评 教师评价
任务一 操作评价 熟练使用DISKGEN软件修复硬盘分区
成果评价 了解硬盘分区结构
完成了硬盘分区修复任务
任务二 操作评价 熟练使用WINHEX软件修复硬盘分区
成果评价 了解硬盘分区的底层数据结构及含义完成了硬盘分区的修复任务
五、知识训练
1.WINHEX是由X-Ways软件公司开发的一款专业的 & & & &工具，是在Windows系统下运行的一款十六进制的编辑软件，主要作用就是对存储介质底层数据进行分析和 & & & & 。
2.名词解释：
（1）偏移量（offset）是指 & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & &。
（2）MBR磁盘分区是 & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & 。
3.硬盘分区表（DPT）在主引导扇区共占有 & & 个字节，每一个分区表项占有16个字节，因此一个硬盘最多可以划分成 & & 个主分区。
4.在分区表项的数据结构中，有几个关健的字节在分区恢复中应用最为重要：一是 & & & & & & & ，二是 & & & & & & & & & & & ，三是 & & & & & & & & &，在分区表损坏修复实例中，只要将以上的 & & 个字节数值能完整的填写出来，即可将硬量丢失的分区找回来。
5.扩展分区中的每个逻辑分区的分区信息都存在一个类似于MBR的扩展引导记录(ExtendedBootRecored,EBR)中，EBR同时还具有另一个俗称： & & & & ,因为它的分区表结构和 & & & & 的分区表结构是完全相同的。
六、考核与报告
（一）考核评价
1.考核标准
班级： & & & & & & & & & & & &姓名： & & & & & & &&
实训案例 指导教师 成绩 备注
序号 考核内容 配分 评分标准 得分
1 按时出勤；认真参加实训；积极参与；遵守实训基地纪律，服从管理。 20 是否遵守
2 熟练使用WINHEX软件修复硬盘分区。 30 能否使用
3 了解硬盘分区的底层数据结构及含义，完成硬盘分区的修复任务。。 50 能否完成
合 & & 计 & & &得 & & 分
考核记录（在考核过程中，结合考核标准把考核过程中存在的问题记录下来，作为评分依据）
& & & & & & & & & & & & & & & & & & & & & & & & & &考核人签字：
（二）实训报告
实训目的 通过本项目的学习，学生能够使用WINHEX恢复硬盘引导分区。
实训设备 电脑。
及基本要求 （1）由指导教师讲解实训的基本内容、要求、目的。
（2）能够使用WINHEX恢复硬盘引导分区。
（3）写出实训报告。
实训内容 客户李先生家的台式电脑，某日正常开机后发现无法正常进入操作系统，提示&分区不可用&故障前电脑启动时间较长外，没有明显异常，也未发生过突然断电、非正常关机等非法操作，杀毒软件经常提示有病毒侵入，由于未影响正常使用，未做过全盘查杀。
实训步骤 1.硬盘故障检测
硬盘目检为西数40GB，IDE接口，将客户硬盘接入维修平台IDE接口，开机加电，硬盘加速启动过程未感异常。进入操作系统、&我的电脑&界面，未看到新磁盘加入。打开&我的电脑／管理&看到图2-1界面，磁盘1提示没有初始化。初步判断为硬盘主分区信息损坏。
2.由于客户需要硬盘上的数据，所以在这里选择&取消&，关闭计算机管理窗口，打开维修平台桌面上的WinHcx软件，如图2-2所示。
3.进入WinHex操作主界面后，选择菜单栏中的&工具／打开磁盘&选项，如图2-3所示，在弹出图2-4所示窗口中选中&HD1&。
4.单击&确定&，显示如图2-5所示的操作界面，界面中Offset区域中的数据即为故障磁盘&主引导启动扇区&的相关参数，很显然，这种区域数据是一组非正常数据。因为一个正常的硬盘的启动扇区数据与图2-6所示的样式基本相似才可以。
5.复制一个正确的MBR信息
单击WINHEX菜单栏下的&工具/打开磁盘&在对话框中选择&HD0&，单击&确定&打开。如图2-7所示，可能看到磁盘0主引导记录的相关参数信息。按图2-8至图2-11所示流程进行操作，复制一个正确的MBR信息到剪贴板。
6.将剪切板中的MBR信息粘贴到磁盘1的MBR扇区。
7.将MBR扇区的最后两个字节修改为&55 &AA&
8.修复DPT（磁盘主分区）信息
（1）单击OFFSET区域右边的小三角，选择&分区1/启动扇区（模板）&打开图2-15对话框并记录两个关键的标示信息（隐藏扇区数和合计扇区数）。
（2）选择WINHEX菜单&视图/模板管理/主引导记录&打开主引导记录模板，如图2-16所示，将分区1中的隐藏扇区和合计扇区数据填写在如图所示的位置，并保存。（注意合计数据要加1）。
（3）单击OFFEST区域右边的小三角（访问栏），选择&分区2/分区表（模板）&，打开分区2的分区表象模板，如图2-17所示，通过分区表项数值，确定本分区为扩展分区下的逻辑分区。
（4）选择WINHEX菜单&视图/模板管理/主引导记录&再次打开主引导记录模板，在分区表项#2中写如下数值并保存，如图2-18所示。
9.修复确认
重启维修平台，打开&我的电脑管理&，妇图2-19所示，可以看到故障硬盘状态良好，有一个主分区和两个扩展的逻辑分区，故障修复。
及基本要求
（三）拓展训练实训报告
及基本要求
项目二 &恢复文件系统引导记录
数据以文件的形式存储在硬盘上，文件在硬盘上的存储及管理方式则是由操作系统的文件管理系统来担负的，任何操作系统都有自己的文件管理系统，不同的文件系统又有各自不同的逻辑组织方式，这种逻辑结构信息的丢失、损坏或篡改都会导致分区出现未初始化故障或者文件的丢失。
任务1 &使用Winhex修复FAT32分区引导记录
一、实例描述
今天接到一个朋友的客户做数据恢复，原来是3个磁盘分区C盘、D盘和E盘。客户由于觉得C盘小，利用PQ分区大师将D盘部分区域划分给C盘，重启系统后，原C D E三个分区只剩下了C盘，D盘和E盘却看不到了。
二、任务实施
Step1；磁盘控制：将客户硬盘接入维修平台，在&我的电脑|管理&窗口下看到磁盘1有32.36GB的磁盘空间未指派，初步确定为磁盘分区表损坏。
图1-2-1磁盘1分区丢失
图1-2-2丢失的分区表项
Step3：分别打开分区2、分区3的&启动扇区（模板）&记下方框标记的数据
图1-2-4&分区3&启动扇区模板
Step4：打开磁盘1&主引导记录模板&，可以看到，分布表项#2、分布表项#3中的数值项全部为零。
图1-2-5&磁盘1&主动引导记录模板
Step5：将步骤3中记录下的分区2、分区3的相应数据填写在主引导记录模板相对应用位置，并在分区类型指示项中填写&0B&
图1-2-6填写完成的主引导模板
Step6：全部保存对磁盘数据的修改，重启维修平台，在&我的电脑&项可以看到修复的磁盘分区，分区数据也得以恢复。
图1-2-7分区修复确认
三、知识链接
1.文件与文件系统；
【1】文件的定义
文件是在逻辑上具有完整意义的信息集合。它有一个名字以供标识。
【2】文件类型
按文件的性质和用途分类：系统文件、程序库文件、用户文件。
按信息保存期限分类：临时文件、永久文件、档案文件
按保护级别分类：不保护文件执行文件只读文件读写文件
按文件流向分类：输入文件 &输出文件输入输出文件
按文件的逻辑结构分类：流式文件记录式文件
按文件的物理结构分类：顺序（连续）文件链接文件 &索引文件
【3】文件名
文件名是一个有限长度的字符串：根据文件的定义，每个文件必须有一个唯一的文件名，用户使用文件名存取文件。系统使用文件内部标识符管理文件。Windows系统中，最多可有256个字符定义一个文件名，不区分英文字母的大小写。
【4】文件扩展名
文件扩展名是操作系统用来标志文件格式的一种机制。一个扩展名是跟在主文件名后面的，由一个分隔符分隔。在一个像&readme.txt&的文件名中，readme是主文件名，txt为扩展名，表示这个文件被认为是一个纯文本文件。
【5】文件属性
反映文件的类型、类别、存取控制、保护级别等信息。
【6】文件系统
文件系统是操作系统用于明确磁盘或分区上的文件的方法和数据结构；即在磁盘上组织文件的方法。文件系统由三部分组成：与文件管理有关软件、被管理文件以及实施文件管理所需数据结构。
2.FAT文件系统
FAT (File Allocation Table，文件分配表)文件系统是Windows操作系统所使用的一种文件系统，FAT文件系统用&簇&作为数据存储的基本单元。一个&簇&由一组连续的扇区组成，簇所含的扇区数必须是2的整数次幂。簇的最大值为64个扇区，即32KB。所有簇从2开始进行编号，每个簇都有一个自己的地址编号。文件和文件夹内容储存在簇中，如果一个文件或文件夹需要多余一个簇的空间，则用FAT表来描述如何找到另外的簇。FAT结构用于指出文件的下一个簇。同时也说明了簇的分配状态。它的发展过程经历了FAT12.FAT16.FAT32三个阶段，它们之间的主要区别在于与FAT项的大小不同。
FAT文件系统的每一个文件和文件夹都被分配到一个目录项，目录项中记录着文件名、大小、文件内容起始地址以及其他一些元数据。
在FAT文件系统中，文件系统的数据记录在&引导扇区中（DBR）&中。引导扇区位于整个文件系统的0号扇区，是文件系统隐藏区域(也称为保留区）的一部分,我们称其为DBR（DOS Boot Recorder--DOS引导记录）扇区，DBR中记录着文件系统的起始位置、大小、FAT表个数及大小等相关信息。
小提示：DBR中记录的文件系统的起如位置、大小的字节值与MBR分区表项中的隐藏分区、分 区大小是完全相同的，所以当MBR中分区表损坏时，可以将DBR中记录的分区信息，填写在MBR的分去表项，实现MBR分区表恢复。
在FAT文件系统中，同时使用&扇区地址&和&蔟地址两种地址管理方式。这是因为只有存储用户数据的数据区使用簇进行管理（FAT12和FAT16的根目录除外），所有簇都位于数据区。其他文件系统管理数据区域是不以蔟进行管理的，这部分区域使用扇区地址进行管理。文件系统的起始扇区为0号扇区。FAT文件系统的整体布局如图1-2-8所示
保留区 FAT1 FAT2 根目录及数据区
图1-2-8 &FAT文件系统结构示意图
保留区含有一个重要的数据结构&&系统引导扇区(DBR)。FAT12、FAT16的保留区通常只有一个扇区，而FAT32的保留扇区要多一些，除0号扇区外，还有其他一些扇区，其中包括了DBR的备份扇区。FAT区由两个大小、内容完全相同的FAT表组成FAT2做为FAT1的备份紧跟在FAT1之后。FAT12、FAT16的根目录虽然也属于数据区，但是他们并不由簇进行管理。也就是说FAT12、FAT16的根目录是没有簇号的，他们的2号簇从根目录之后开始。而FAT32的根目录通常位于2号簇。
3.FAT32文件系统
FAT32文件系统是从微软Windows 95系统的OSR2版本开始使用的，它能够支持大于32MB小于32GB的分区。虽然第三方的格式化程序可以把超过32GB的分区格式化为FAT32，但微软自身的系统不允许将大于32GB的分区格式化为FAT32文件系统。FAT32文件系统由DBR及其保留扇区，FAT1，FAT2，DATA区四个部分组成，其结构如图1-2-9所示。
DBR及保留区 FAT1 FAT2 FDT & &数据区
图1-2-9 &FAT32文件系统结构示意图
【1】FAT32丈件系统的DBR结构分析：
DBR（DOS Boot Record.操作系统引导记录）又称为&分区引导记录&，位于各个磁盘逻辑分区的0扇区，此引导记录由磁盘的高级格式化命令写入，主要用于完成操作系统的自举.FAT32文件系统的DBR由5个部分组成，分别为：跳转指令，OEM代号，BPB（BIOS Parameter Block，BIOS参数块），引导程序和结束标志(55AA)。
图1-2-10 FAT32文件系统DBR结构
图1-2-11 FAT32文件系统DBR结构图
跳转指令本身占用2个字节，它将程序执行流程跳转到引导程序处，比如当前DBR中盼&EB 58&，就是代表汇编语言的&JMP 58&。需要注意该指令本身占用2字节，计算跳转目标地址时以该指令的下一个字节为基准，所以实际执行的下一条指令应该位于5A。紧接着跳转指令的是一条空指令NOP(90H)。
这部分占8字节，其内容由创建该文件系统的OEM厂商具体安排。当前DBR中的OEM代号为&MSDOS5.O&，说明这个FAT32分区是由微软的Windows 2000以上的操作系统格式化创建的。
BPB (BIOS Parameter Block)
FAT32的BPB从DBR的第12 (OBH偏移处)个字节开始,占有79个字节,记录了有关该文件系统的重要信息，具体内容如表1-2-1所示：
字节偏移 字段长度（字节） 字段内容及含义
OxOB 2 每扇区字节数
0X0D 1 每簇扇区数
0X0E 2 DOS保留扇区数
0X10 1 FAT表个数
0X11 2 耒用
0X13 2 耒用
0X15 1 介质描述符（十六进制）
0X16 2 未用
0X18 2 每磁道扇区数
0X1A 2 磁头数
0X1C 4 隐藏扇区
0X20 4 该分区的扇区总数
0X24 4 每FAT扇区数
0X28 2 标记
0X2A 2 版本
0X2C 4 根目录首簇号
0X30 2 文件系统信息扇区号
0X32 2 DBR备份扇区号
0X34 12 保留
0X40 1 BIOS驱动器号
0X41 1 未用
0X42 1 扩展引导标记
0X43 4 卷序列号
0X47 11 卷标
0X52 8 文件系统类型
FAT32的DBR引导程序占用420字节(5AH～IFDH)，在Windows 98之前的系统之下，这段代码负责完成DOS三个系统文件的装入，在Windows 2000之后的系统中，其负责完成将系统文件NTLDR装入，对于一个没有安装操作系统的分区来讲，这段程序没有任何作用。
DBR的结束标志与MBR，EBR的结束标志都相同，为&55 AA&。
以上五个部分共占用512字节，正好是一个扇区，因此成它为DOS引导扇区。该部分的内容中除了第5部分结束标志是固定不变之外，其余4个部分都是不完全确定的，都因操作系统版本的不同而不同，也因硬盘的逻辑盘参数的变化而变化。
小提示：通常情况下，FAT32对引导扇区(DBR)进行了备份。在BPB参数的32字段存放了备份引导扇区的位置，一般为6，也就是当前FAT32分区的DBR所在扇区数加6，即为备份扇区，当FAT32分区的DBR损坏时，可用此备份来恢复。
【2】FAT32文件结构中的FAT表分析
图1-2-12 FAT表项结构图
FAT32文件系统中，FAT表由是一个个的FAT表项构成的，我们把FAT表项简称为FAT项。每个FAT项是由32位二进制值（4个字节）构成。每个FAT项都有一个固定的编号，这个编号从O开始，第一个FAT项为0号FAT项，第二个FAT项为1号FAT项，依此类推。FAT表的前两个FAT项有专门的用途：0号FAT项通常用来表示分区所在的介质类型，&F8&表示硬盘的介质类型为硬盘：l号FAT项用来存储文件系统的肮脏标志，表明文件系统被非法卸载或者是磁盘表面存在错误。分区的数据区中的每一个簇都会映射到FAT表中一个唯一的FAT项。通过FAT项的取值范围，可以看到所对应的簇的状态。FAT表项中簇的状态表示如表1-2-2所示
表1-2-2 &FAT表项中簇的状态
FAT项值（32位） 含义
OOOOOOOOH 未使用的簇
H--FFFFFFEFH 已分配的簇
FFFFFFFOH-FFFFFFF6H 保留
FFFFFFF7H 坏簇
FFFFFFF8H--FFFFFFFFH EOF文件结束簇
小提示：因为FAT表中0号和1号表项无法与数据区中的第一簇和第二簇形成对应映射关系，所以从2号FAT项开始与数据区的第一个簇映射，就此原因，数据区中的第一个簇也就被编为2号簇，这就是没有0号簇与1号簇的原因。
用户文件以簇为单位存放在数据区中，一个文件至少要占一具簇，当一个文件占用多个簇时，这些簇的簇号不一定是连续的，这些簇号在存储该文件时就确定了特有的簇号顺序，我们称之为&簇号链&文件簇号与物理储存单元号的关系如图1-2-13所示。
储存单元号 1 2 3 4 5 6 7 8 9 10
文件分配号 3 1 2 4
图1-2-13文件簇号与物理储存单元号的关系
【3】FAT32文件系统数据区分析
FAT32的数据区在文件系统中的具体位置是紧跟在FAT2之后。用&DBR保留扇区数&加上2倍的&每FAT扇区数&，这个数值就是数据区起始扇区号，数据区就是从这个位置开始的，数据区簇的编号是从第二簇开始的（为了与FAT表中FAT表项2对应）。FAT32文件系统数据区的内容主要由三部分组成：根目录，子目录和文件。在数据区中是以&簇&为单位来管理这段空间的，第一个簇的编号是&2&，通常也是根目录起始簇号。
【4】FAT32根目录文件管理
FAT32文件系统对于根目录下文件的管理，统一在数据区（DATA）中的根目录区为这些文件创建目录项，并由FAT表为文件的内容分配簇存放数据。而根目录区的首簇由格式化程序指派，并把指派的簇号记录在DBR的BPB中，如果根目录下文件数目过多，这些文件的目录项在根目录区的首簇存放不下，FTA表就会为根目录分配新的簇来存放根目录下的文件以及文件夹的目录项。文件夹可以理解为一种特殊的文件，文件夹的FDT项和文件的FDT项结构相同。
【5】FAT32子目录文件管理
FAT32文件系统下，子目录的结构和根目录的结构是相同的，唯一有点区别的是子目录目录项中有两个特殊的目录项（前两个目录项），这两个目录项是子目录具备的独有特征，也是根目录的根本要素。这个两个特殊的目录项分别是&.&和&..&，其中目录项&.&表示本目录。&..&表示父目录。如果一个目录没有这两个特殊目录项，很显然就是根目录.子目录通过这两个特殊的目录项就形成了目录与目录之间的双向链表指针的关系，从而就形成了FTA32文件系统下，文件目录的树形结构关系和遍历关系。
【6】FTA32目录项的基本特性
为文件或子目录分配的第&个簇的簇号记录在它的目录项中，其他后续簇则由FAT表中的FAT表链进行跟踪。目录项中除记录子目录或文件起始簇号外,还记录它的名字、大小（子目录没有大小）、时间值等信息。每个子目录或文件除具有一个短文件目录项外，还会有长文件名目录项。短文件名目录项固定占用32字节，长文件名目录项则根据需要占用1个或者若干个32字节。对于同一个子目录或文件，它的长文件名目录项存放在它的短文件名目录项之前，如果长文件名目录项占用多个32字节，则按倒序存放于段文件名目录项之前。FAT32目录项如图1-2-14所示。
小提示：短文件名目录项，就是主文件名不能超过8个字符、不支持中文字符、扩展名不能超过3个字符的文件命名要求，所以又称之为8.3格式。长文件名目录项就是指主文件名可以超过8个字符、支持中文字符、扩展名也不再受3个字符的限制的文件命名方式。
图1-2-14目录项图示
四、知识训练
1.文件是在逻辑上具有完整意义的 & & &集合。它有一个名字以供标识。
2.按文件的性质和用途分类： & & & & 、 & & & &、 & & & &。按信息保存期限分类： & & & & 、 & & & & 、 & & & 。按保护级别分类： & & & &、 & & & & 、 & & & & 、 & & & & 。按文件流向分类： & & & &、 & & & & &、 & & & & & 。按文件的逻辑结构分类： & & & &、 & & & &。按文件的物理结构分类： & & & & &、 & & & & 、 & & & & 。
3.Windows系统中，最多可有 & & & 字符定义一个文件名，不区分英文字母的大小写。
4.文件扩展名是操作系统用来标志文件格式的一种机制。一个扩展名是跟在主文件名后面的，由一个分隔符分隔。在一个像&readme.txt&的文件名中， & & & &是主文件名， & &为扩展名，表示这个文件被认为是一个 & & & 文件。
5.文件系统是操作系统用于明确磁盘或分区上的文件的方法和数据结构；即在磁盘上组织文件的方法。文件系统由三部分组成：
& & & & & & & &、 & & & & & &以及实施文件管理所需 & & & &。
6.FAT (File Allocation Table，文件分配表)文件系统是Windows操作系统所使用的一种文件系统，FAT文件系统用&簇&作为 & & & & 的基本单元。
7.FAT32文件系统是从微软Windows 95系统的OSR2版本开始使用的，它能够支持大于32MB小于32GB的分区。FAT32文件系统由 & & &， & & &， & & &， & & & 区四个部分组成。
8.DBR（DOS Boot Record.操作系统引导记录）又称为&分区引导记录&，位于各个磁盘逻辑分区的0扇区，此引导记录由磁盘的高级格式化命令写入，主要用于完成操作系统的自举。FAT32文件系统的DBR由5个部分组成，分别为： & & & &， & & & ，BPB（BIOS Parameter Block，BIOS参数块）， & & & &和 & & & &(55AA)。
9.短文件名目录项，就是主文件名不能超过 & & & 字符、不支持 & & 字符、扩展名不能超过 & &字符的文件命名要求，所以又称之为 & &格式。长文件名目录项就是指主文件名可以超过 & &字符、支持 & &字符、扩展名也不再受 & & 字符的限制的文件命名方式。
五、考核与报告
（一）考核标准
班级： & & & & & & & & & & & &姓名： & & & & & & &&
实训案例 指导教师 成绩 备注
序号 考核内容 配分 评分标准 得分
1 按时出勤；认真参加实训；积极参与；遵守实训基地纪律，服从管理。 20 是否遵守
2 熟练使用Winhex软件修复FAT32文件系统 30 能否使用
3 了解硬盘FAT32文件系统结构，完成FAT32分区修复任务。 50 能否完成
合 & & 计 & & &得 & & 分
考核记录（在考核过程中，结合考核标准把考核过程中存在的问题记录下来，作为评分依据）
& & & & & & & & & & & & & & & & & & & & & & & & & &考核人签字：
（二）实训报告
实训目的 通过本项目的学习，学生能够完成FAT32分区修复任务。
实训设备 电脑。
及基本要求 （1）由指导教师讲解实训的基本内容、要求、目的。
（2）能够完成FAT32分区修复任务。
（3）写出实训报告。
实训内容 今天接到一个朋友的客户做数据恢复，原来是3个磁盘分区C盘、D盘和E盘。客户由于觉得C盘小，利用PQ分区大师将D盘部分区域划分给C盘，重启系统后，原C、D、E三个分区只剩下了C盘，D盘和E盘却看不到了。现使用Winhex修复FAT32分区引导。
实训步骤 1.磁盘检测：将客户硬盘接入维修平台，在&我的电脑|管理&窗口下看到磁盘1有32.36GB的磁盘空间未指派，初步确定为磁盘分区表损坏。
2.在WINHEX窗口&访问&菜单中可以看到：分区2、分区3的分区表丢失。
3.分别打开分区2、分区3的&启动扇区（模板）&记下方框标记的数据。
4.打开磁盘1&主引导记录模板&，可以看到，分布表项#2、分布表项#3中的数值项全部为零。
5.将步骤3中记录下的分区2、分区3的相应数据填写在主引导记录模板相对应用位置，并在分区类型指示项中填写&0B&。
6.全部保存对磁盘数据的修改，重启维修平台，在&我的电脑&项可以看到修复的磁盘分区，分区数据也得以恢复。
及基本要求
任务2 &使用WINHEX恢复价NTFS分区引导记录
一、实例描述
王先生是学校图书馆管理员，2012年8月的一天，其负责的一台电脑突然在进入Windows下E盘无法打开，双击分区图标时提示&该分区未格式化&。赶忙叫来IT部负责人之后，进入DOS系统，发现此时可以转到该盘符，但是一旦输入&DIR&命令时，系统就提示&General Fail ReadingDrive&。因为里面的数据是新进图书的统计，如果丢失的话，后果不堪设想。万般无奈之中，只熟悉硬件维修的IT负责人只好找到专业的数据恢复工程师。
二、任务实施
Step1：硬盘故障检测
客户硬盘位希捷320GB,SATA接口，故障盘接入维修平台，开机进入系统，打开&我的电脑&，点击新加入的&本地磁盘H&也出现图示对话框。初步确定为硬盘分区文件系统故障。
图1-2-15 &本地磁盘
Step2：未保存H盘的数据，点击&否&，关闭我的电脑，回到桌面，启动WINHEX软件，先选择&菜单|工具|打开磁盘&，在弹出的对话框中选择&磁盘1&，单击&确定&进入如图1-2-17所示界面，并选择窗口界面中的&访问|分区3|启动扇区&。
图1-2-16 &磁盘1引导扇区
Step3：在弹出如图1-2-17示窗口中，可以看到分区3的引导扇区信息全部被清零。
图1-2-17 &&分区3&DBR信息被清零
Step4：选择WINHEX菜单栏中的&工具|打开磁盘&项，打开&磁盘0&引导扇区。在界面窗口同样选择&访问|分区3|启动扇区&，并复制扇区数据。
图1-2-18 &&磁盘0&引导扇区
Step5:点击界面窗口左上角的磁盘1，回到磁盘1分区3启动扇区界面，将剪切板中的数据写入扇区。
图1-2-19 &扇区数据写入
Step6：保存写入信息，关闭并重启WINHEX软件，重新回到磁盘1的分区界面，选择&访问|分区3&，如图1-2-20所示，分区3的分区表项已经得到恢复，但表项数据有误。
图1-2-20 &恢复的&分区3&表项
Step7：打开引导记录模板，记下模板中分区表项#3项中的相关扇区信息，如图1-2-21所示。
图1-2-21 &主引导记录中&分区3&表项数据
Step8：回到分区3启动扇区模板，将步骤7中的&&填写在启动扇区模板的隐藏扇区，将减1后填写在合计扇区位，如图1-2-22所示。
图1-2-22 &&分区3&正确信息写入
Step9：保存所有修改信息，关闭WINHEX，重启系统，在&我的电脑&中可以看到修复的分区（如图1-2-23所示）及分区中数据（如图1-2-24所示）。
图1-2-23 &修复的分区
图1-2-24 &恢复的分区数据
三、知识链接
1.NTFS文件系统中的几个基本概念：
NTFS是新技术文件系统(New Technology File System)的英文缩写，它是随着Windows NT操作系统的诞生而产生的，并随着Windows NT4跨入主力文件系统的行列。它的优点是安全性和稳定性极其出色，在使用中不易产生文件碎片：同时它还提供了容错结构日志，可以将用户的操作全部记录下来，从而保护了系统的安全。与FAT文件系统相比，NTFS在数据组织方式上有比较大的变化，同时也引入了多个新的概念：
在NTFS文件系统中，用&卷&来表示一个逻辑磁盘，卷即可以是一个基本的DOS分区，也可能由分布在不同物理盘上的分区组成，所以卷又分为两种类型，简单卷和多分区卷
简单卷：文件系统驱动程序作为一个独立的单元，管理来自一个分区的所有扇区。
多分区卷：文件系统的驱动程序作为一个独立单元，管理自多上分区的所有扇区。
【2】元文件
将一个分区格式化为NTFS后，格式化程序会在该分区中写入多个重要的系统文件。这些系统文件我们称之为元文件。这些文件用户是不能访问的，它们的文件名第一个字符都是&$&。表示该文件是隐蔽的，用户无法访问和修改。表1-2-3为NTFS文件系统中包含的16个主要的元文件。
表1-2-3为NTFS元文件
序号 元文件 功能
0 $MFT 主文件表本身
1 $MFTMirr 主文件表的部分镜像
2 $LogFile 事务型日志文件
3 $Volume 卷文件，记录卷标等信息
4 $AttrDef 属性定义列表文件
5 $Root 根目录文件，管理根目录
6 $Bitmap 位图文件，记录分期簇使用情况
7 $Boot 引导文件，记录系统引导数据情况
8 $BadClus 坏簇列表文件
9 $Quota（NTFS4） 磁盘配额信息
10 $Secure 安全文件
11 $UpCase 大小写字符转换表文件
12 $Extend metadata directory 扩展元数据目录
13 $Extend\$Reparse 重点解析文件
14 $Extend\$UsnJrnl 加密日志文件
15 $Extend\$Quota 配额管理文件
16 $Extend\$0bjId 对象ID文件
【3】逻辑簇号
对卷的第一个簇到最后一个簇进行编号。只要知道LCN号、簇的大小以及NTfS卷在物理磁盘中的起始扇区（绝对扇区），就可以对簇进行定位，而这些信息在NTFS卷的引导扇区中可以找到(BPB参数)。
【4】虚拟簇号(Virtual Cluster Number VCN)
是将特定文件的簇从头到尾进行编号，这样做的原因是方便系统对文件中的数据进行引导，VCN并不要求在物理上是连续的，要确定VCN的磁盘上的定位需先将其转换成为LCN。
【5】常驻属性
当一个文件很小时，其所有属性体都可存放在MFT的文件记录中，该属性就称为常驰属性，有些属性总是常驻属性的，这样NTFS才可以确定其它非常驻属性，例如，标准信息属性和根索引就总是常驻属性。
【6】非常驻属性
如果一个属性的属性体太大而不能存放在只有1KB大小的文件记录中，那么，系统将从MFT之外为之务配区域。这些区域通常成为Data Run（数据流），它们可用来存储属性体。如果属性体是不联系的，NTFS将会分配多个Data Run，以便用来管理不连续的数据。这种属性体存储在Data Run中而不是在MFT文件记录中的属性成为非常驻属性(Nonresident Attribute)。
2.NTFS文件系统的结构示意图：
当用户将硬盘的一个分区格式化成为NTFS分区时，就建立了一个NTFS文件系统结构，如图1-2-25所示。NTFS分区主要包括以下几个区域：分区引导扇区、主文件表、系统文件、文件区域，其中主文件表要占据约12%的磁盘空间，以保持主文件表元文件的连续性，同时满足不断增长的文件数量。
分区引导扇区 主文件表 系统文件 文件区域
图1-2-25 &NTFS文件系统结构示意图
3.NTFS文件系统的DBR分析
NTFS文件系统的引导扇区是$Boot的第一个扇区，它的结构与FAT文件系统的DBR类似，所以习惯上也称该扇区为DBR扇区。DBR扇区在操作系统的引导过程中起着非常重要的作用，如果这个扇区遭到破坏，系统将无法正常启动。
NTFS文件系统的DBR扇区和FAT文件系统的结构一样，也是包括跳转指令、OEM代号、BPB (BIOS Parameter Block)参数、引导程序和结束标志。图1-2-26是一个完整的NTFS文件系统的DBR结构图。
图1-2-26 &NTFS文件系统DBR结构图
跳转指令本身占用2字节，它将程序执行流程跳转到引导程序处。例如，当前DBR中的&EB 52&，就是代表汇编语胄的&JMP52&.
OEM代号(系统ID)
这部分占8个字节，其内容由创建该文件系统的OEM厂商具体安排。例如，微软的Windows系统将此处直接设置&NTFS&，在NTFS文件系统中也称为&文件系统ID&。
BPB(BIOS Parameter Block,BIOS参数块)
BPB是BIOS Parameter Block的缩写，其含义为BlOS参数块。BPB从DBR的第12（OBH偏移处）个字节开始，到偏移53H结束，占用73字节，记录了有关该文件系统的重要信息，如表1-2-4所示，其中每簇扇区数(OxOD)、隐藏扇区数(Oxlc)、扇区总数(Ox28)、$MFT的起始簇号(Ox30)、$MFTMirr的起始簇号（0x30）、$MFTMirr的起始簇号（0x38）为数据恢复中常用的几个参数。
表1-2-4 &NTFS引导扇区的BPB参数
字节偏移 字段长度（字节） 字段名和含义
OEM代号(也称为文件系统ID)
每扇区字节数
每簇扇节数
保留扇区（NTFS不用）
NTFS未使用，为0
介质描述符
每磁道扇区数
隐藏扇区数
NTFS未使用，为0
NTFS未使用，总为
$MFT的起始簇号
$MFTMirr的起始簇号
文件记录的大小
索引缓存的大小描述
引导程序（IPL初始程序装入程序）
NTFS的DBR引导程序占用426字节(54H～1FDH)，其负责完成将系统文件NTLDR装入。对于一个没有安装操作系统的分区来讲，这段程序没有用处。
DBR的结束标志和MBR、EBR的结束标志都相同，为&55 &AA&。
以上5个部分共占用512个字节，正好是1个扇区，这个扇区属于$BOOT文件的组成氤分。该部分的内容中除了第5部分结束标志是固定不变之外，其余4部分都是不完全确定的，都因操作系统版本的不同而不同，也因硬盘的逻辑盘参数的变化而变化。
小提示：NTFS文件系统DBR也有备份，备份DBR位置在分区末尾扇区，这一点与FAT32文件系统不同。
4.NTFS主文件表
NTFS卷上的每个文件都在主文件表区域中表达成一个主文件表(Master File Table MFT)。MFT中的第一个记录是MFT的自我描述，紧跟其后的第二个记录找到MFT镜像文件，镜像文件的第一个记录和MFT完全相同。MFT和MET镜像文件的位置记录在引导扇区（DBR）,DBR的备份存放在逻辑磁盘的末尾一个扇区。
MFT以文件记录来实现对文件的管理，每个文件记录都对应着不同的文件，大小匿定为1KB，也就是占用两个扇区，而不管簇的大小是多少。如果一个文件有很多属性或分散成程多碎片。就很可能需要多个文件记录。这时，存放其文件记录位置的第一个记录称作&基本文件记录&。文件记录在MFT中物理上是连续的，从0开始连续编号。
MFT文件记录由三部分构成：文件记录头、属性列表、结束标志。图l-2-27所示为普通文件的MFT表，图1-2-28所示为目录文件的MFT结构。
图1-2-27 &普通文件的MFT
图1-2-28 &目录文件的MFT
【1】MFT文件记录头结构
在同一系列中，文件记录头的长度和具体偏移位置的数据含义是不变的，其字符的具体含义如表1-2-5所示。
表1-2-5文件记录头字符含义
偏移 长度 描述
0x0 4 固定值，一定是&FILE&
0x4 2 更新序列号的偏移
0x6 2 更新序列号与更新数组以字为单位大小(S)
0x8 8 日志文件序列号（每次记录被修改，都将导致该序列号加1）
0x10 2 序列号（用于记录本文件记录被重复使用的次数，每次文件删除时加l，跳过0值，如果为0.则保持为0）
0x12 2 硬连接数，只出现在基本文件记录中，目录所含项要使用到它
0x14 2 第一个属性流的偏移地址
0x16 2 标志字节，1表示记录使用中，2表示该记录为目录
0x18 4 文件记录实际大小（填充到8字节，即以8字节为边界）
0x1C 4 文件记录分配大小（填充到8字节，即以8字节为边界）
0x20 8 所对应的基本文件记录的文件参考号（扩展文件记录中使用，基本文件记录中为0，在基本文件记录的属性列表OX20属性存储中扩展文件记录的相关信息）
0x28 2 下一个自由ID号，当增加新的属性时，将该值分配给新属性，然后该值增加，如果MFT记录重新使用，则将它置0，第一个实例总是0
0x2A 2 边界，Windows XP中使用，也就是本记录使用的两个扇区的最后两个字节的值
0x2C 4 Windows XP中使用，本MFT记录号
2 更新序列号
2S-2 更新序列数组
【2】文件记录属性结构
在NTFS文件系统中所有以文件相关的数据均被定义成文件属性，包括文件的内容。文件记录是一个与文件相对应的文件属性的数据库，它记录了文件数据的所有属性。
每个文什记录部有多个属性，它们相对独立，有各自独立的类型名称，不同的属性其结构和含义不相同。表1-2-6为属性类型及其含义。
表1-2-6 &文件记录属性类型及其含义
属性类型 属性类型名 属性描述
10 00 00 00 $STANDARD_INFORM
ATION 标准信息：包括一些基本文件属性，如只读、系统、存档；时间属性，如文件的创建时间和最后修改时间；有多少目录指向该文件(即其硬连接数(hard link count)
20 00 00 00 $ATTRIBUTE_LIST 属性列表：当一个文件需要多个文件记录时，用来描述文件的属性列表
30 00 00 00 $FILE_NAME 文件名：周Unicode字符表示的文件名，由于MS-DOS不能识别长文件名，所以NTFS系统会自动生产一个8.3文件名
40 00 00 00 $VOLUME_VERSION 在早期的NTFS vl.2中为卷版本&
40 00 00 00 $OBJECT_lD 对象ID：一个具有64字节的标识符，其中最低的16字节对卷来说是唯一的（链接跟踪服务为外壳快捷方式，即OLE链接源文件赋予对象ID；NTFS提供的API是直接通过这些对象的ID而不是文件名来打开文件的）
50 00 00 00 $SECURITY_DESCRIPTION 安全描述符：这是为向后兼容而保留的，主要用于保护文件以防止没有授权的访问，但Windows 2000/XP中已将安全符存放在$Secure元数据中，以便于共享（早期的NTFS将其与文件目录一起存放，不便于共享）
60 00 00 00 $VOLUME_NAME 卷名（卷标识）：该属性仅存在于$Volume元文件中
70 00 00 00 $VOLUME_INFORMATION 卷信息：该属性仅存在于$Volume元文件中
80 00 00 00 $DATA 文件数据：该属性为文件的数据内容
90 00 00 00 $INDEX_ROOT 索引根
A0 00 00 00 $INDEX_ALLOCATION 索引分配
B0 00 00 00 $BITMAP 位图
C0 00 00 00 $SYMBOLIC_LINK 在早期的NTFS vl.2中为符号链接
C0 00 00 00 $REPARSE_POINT 重解析点
D0 00 00 00 $EA_INFORMATION 扩充属性信息
E0 00 00 00 $EA 扩充属性
F0 00 00 00 $PROPERTY_SET 早期的NTFS vl.2中才
00 00 00 00 $LOGGED_UTILITY_STRFAM EFS加密属性：该属性主要用于存储实现EFS加密的有关加密信息，如合法用户列表、解码密钥等
每一个属性都可以分为两个部分：属性头和属性体。如图1-2-27所示
图1-2-27 &文件记录属性头和属性体
【3】属性的属性头
属性头主要包含了一些该属性的重要信息，如属性的类型、大小、名字及是否为常驻属性等。一个属性根据其是否常驻和是否有属性名，可以排列组合成四种不同的情况，分别为：常驻没有属性名、常驻有属性名、非常驻没有属性名、非常驻有属性名，其结构及含义如下：
表1-2-7 &常驻没有属性名的属性头结构
字节偏移 字段长度（字节） 含义
0x00 4 属性类型（如10H、30H等类型）
0x04 4 包括属性开头在内的本属性的长度（字节）
0x08 1 是否为常驻属性（00表示为常驻，01H表示为非常驻）
0x09 1 属性名长度（为0表示没有属性名）
0x0A 2 属性名长度（为0表示为没有属性名）
0x0C 2 压缩、加密、稀疏标志：0001H表示该属性是被压缩了的；4000H表示该属性是被加密了的；8000H表示该属性是稀疏的NTFS下压缩文件的第二压缩类型称为Spare File（稀疏文件）
0x0E 2 属性ID
0x10 4 属性体的长度(L)
0x14 2 属性体的开始偏移
0x16 1 索引标志
0x17 1 无意义
0X18 1 给属性体的内容
表1-2-8常驻有属性名的属性头结
字节偏移 字段长度（字节） 含义
Ox00 4 属性类型（如90H、BOH等类型）
Ox4 4 包括属性头在内的本属性的长度（字节)
Ox8 1 是否为常住属性（00表示为常驻，OIH表示非常驻)
Ox9 1 属性名长度(N)
OxA 2 属性名开始的偏移
OxC 2 压缩、加密、稀疏标志
OxE 2 属性ID
Ox0 4 属性体的长度(L)
Ox4 2 属性的开始偏移
Ox6 1 索引标志
Ox7 1 无意义
0x8 2N 属性的名字
2N+Ox18 L 属性体的内容&
表1-2-9非常驻没有属性名的属性头结构
字节偏移 字段长度（字节） 含义
Ox00 4 属性类型（如20H、80H等类型
Ox04 4 包括属性头在内的本属性的长度（字节）
Ox08 1 是否为常住属性（为01表示该属性为非常驻属性
Ox09 1 属性名长度（为0表示没有属性名）
0x0A 2 属性名开始的偏移（没有属性名）
0x0C 2 压缩、加密、稀疏标志
0x0E 2 属性ID
0x10 8 属性体的起始虚拟簇号(VCN)
0x18 8 属性体的结束虚拟簇号
0x20 2 Run List (Run即Data Run，是在一个逻辑簇号上连续的区域，它是不存储在MFT中的数据)信息的偏移地址
0x22 2 压缩单位大小（簇，如果为0表示未压缩）
0x24 4 无意义
0x28 8 属性体的分配大小[该属性体占的大小，这个属性体大小是该属性体所有的簇所占的空间大小（字节）】
0x30 8 属性体的实际大小（因为属性体长度不一定正好占满所有簇）
0x38 8 属性体的初始大小
0x040 属性的Run List信息，它记录了属性体开始的簇号、等信息
表1-2-10非常驻有属性名的属性头结构
字节偏移 字段长度（字节） 含义
Ox00 4 属性类型（如AOH等类型）
Ox04 4 包括属性头在内的本属性的长度（字节)
Ox08 1 是否为常驻属性（为O1表示该属性为非常驻属性
Ox09 1 属性名长度（N）
OxOA 2 属性名开始的偏移
OxOC 2 压缩、加密、稀疏标志
OxOE 2 属性ID
Oxl0 8 属性体的起始虚拟簇号(VCN)
Ox18 8 属性体的结束虚拟簇号
Ox20 2 Run List（Run即Data Run，是一个在逻辑簇号上连续的区域，它是不存储在MFT中的数据）信息的偏移地址
Ox22 2 压缩单位大小（簇，如果为O表示未压缩）
Ox24 4 无意义
Ox28 8 属性体的分配大小[该属性体占的大小，这个属性体大小是该属性所有的簇所占的空间大小（字节）】
Ox30 8 属性体的实际大小（因为属性体长度不一定占满所有簇）
Ox38 8 属性体的初始大小&
Ox40 2N 该属性的属性名
ON+Ox40 属性的Run List信息，它记录了属性体开始的簇号、簇数等信
【4】典型属性体分析：
属性头之后的部分为属性体，属性体的含义依类型的不同而不同，以下仅以IOH 30H属性体为例说明属性体所代表的文件信息。
10H属性体分析
10H类型属性即$STANDARD_INFORMATION属性，它包括文件的一些基本信息，如文件的传统属性、文件的创建时间和最后修改时间、有多少目录指向该文件（即其硬链接数）等。属性体各字段含义见表1-2-11。
表1-2-11 &10H属性体各字节的含义
字体偏移量 字节长度（字节） 含义
0x00 8 文件创建时间
0x08 8 文件最后修改时间
0x10 8 MFT修改时间
0x18 8 文件最后访问时间
0x20 4 传统文件属性
0x24 4 最大版本数：为0表示版本没有
0x28 4 版本数：如果偏移量24H处为0则此处也为0
Ox2C 4 分类ID（一个双向的类索引）
Ox30 4 所有者ID:表示文件的所有者，是访问文件配额$Quota中$0和$Q索引的关键字，如果为0表示没有设置配额
Ox34 4 安全ID:是文件$Secure中$SII索引和$SDS数据流的关键字，注意不要与安全标示相混淆
Ox38 8 配额管理：配额占用情况，它是文件所有流占闻的总字节数，为0表示末使用磁盘配额
Ox40 8 更新序列号(USN)：文件最后的更新序列号，它是进入元数据文件$Lsnjrnl直接的索引，如果为0.则表示没有USN
30H属性分析
30H类型属性，即$FILE_NAME属性，该属性用于存储文件名，它总是常驻属性。它最少68字节，最大578字节，可容纳最大255个Unicode字符的文件名长度。
表1-2-12 &30H属性体各字节的含义
字节偏移 字段长度（字节） 含义
Ox00 8 父目录的文件参考号（即父目录基本文件记录号，分为两个部分，前6个字节48为父目录的文件记录的文件记录号，后2个字节为系列号）
0x08 8 文件创建时间
0x10 8 文件修改时问
0x18 8 MFT修改时间
0x20 8 文件最后访问时间
0x18 8 文件分配大小
0x30 8 文件实际大小
0x38 4 标志，如目录、压缩、隐藏等
0x3C 4 EAs（扩展属性）和Reparse（重解析点）使用
0x40 1 文件名长度（字符数L）
0x41 1 文件名命名空间(Filename Namespace)
0x42 2L Unicode文件名
四、知识训练
1.NTFS是新技术文件系统(New Technology File System)的英文缩写，它是随着Windows NT操作系统的诞生而产生的，并随着Windows NT4跨入主力文件系统的行列。它的优点是 & & & & & 极其出色，在使用中不易产生 & & & & & ：同时它还提供了容错结构日志，可以将 & & & & &全部记录下来，从而保护了系统的安全。
2.填写下列NTFS文件系统中包含的16个主要的元文件的功能。
序号 元文件 功能
1 $MFTMirr
2 $LogFile
4 $AttrDef
8 $BadClus
9 $Quota（NTFS4）
10 $Secure
11 $UpCase
12 $Extend metadata directory
13 $Extend\$Reparse
14 $Extend\$UsnJrnl
15 $Extend\$Quota
16 $Extend\$0bjId
3.当用户将硬盘的一个分区格式化成为NTFS分区时，就建立了一个NTFS文件系统结构。NTFS分区主要包括以下几个区域： & & & 、 & & & 、 & & & & &、 & & & ，其中主文件表要占据约12%的磁盘空间，以保持主文件表元文件的连续性，同时满足不断增长的文件数量。
4.NTFS文件系统的DBR扇区和FAT文件系统的结构一样，也是包括 & & & & 、 & & & & 、 & & & & &、 & & & &和 & & & & &。
5.MFT以文件记录来实现对文件的管理，每个文件记录都对应着不同的文件，大小匿定为1KB，也就是占用两个扇区，而不管簇的大小是多少。如果一个文件有很多属性或分散成程多碎片。就很可能需要多个文件记录。这时，存放其文件记录位置的第一个记录称作 & & & & & 。文件记录在MFT中物理上是连续的，从 & &开始连续编号。
6.MFT文件记录由三部分构成： & & &、 & & & 、 & & & 。
7.在NTFS文件系统中所有以文件相关的数据均被定义成文件属性，包括文件的内容。文件记录是一个与文件相对应的文件属性的数据库，它记录了文件数据的所有属性。每个文件记录都有多个属性，每一个属性都可以分为两个部分： & & &和 & & & 。
五、考核与报告
（一）考核标准
班级： & & & & & & & & & & & &姓名： & & & & & & &&
实训案例 指导教师 成绩 备注
序号 考核内容 配分 评分标准 得分
1 按时出勤；认真参加实训；积极参与；遵守实训基地纪律，服从管理。 20 是否遵守
2 熟练使用WINHEX恢复NTFS分区 30 能否使用
3 了解NTFS分区的地城数据结构，完成NTFS分区分区修复任务。 50 能否完成
合 & & 计 & & &得 & & 分
考核记录（在考核过程中，结合考核标准把考核过程中存在的问题记录下来，作为评分依据）
& & & & & & & & & & & & & & & & & & & & & & & & & &考核人签字：
（二）实训报告
实训目的 通过本项目的学习，学生能够使用WINHEX恢复NTFS分区。
实训设备 电脑。
及基本要求 （1）由指导教师讲解实训的基本内容、要求、目的。
（2）能够使用WINHEX恢复NTFS分区。
（3）写出实训报告。
实训内容 王先生是学校图书馆管理员，2012年8月的一天，其负责的一台电脑突然在进入Windows下E盘无法打开，双击分区图标时提示&该分区未格式化&。赶忙叫来IT部负责人之后，进入DOS系统，发现此时可以转到该盘符，但是一旦输入&DIR&命令时，系统就提示&General Fail ReadingDrive&。因为里面的数据是新进图书的统计，如果丢失的话，后果不堪设想。现要求同学们使用WINHEX恢复NTFS分区。
实训步骤 1.硬盘故障检测
客户硬盘位希捷320GB,SATA接口，故障盘接入维修平台，开机进入系统，打开&我的电脑&，点击新加入的&本地磁盘H&也出现图示对话框。初步确定为硬盘分区文件系统故障。
2.未保存H盘的数据，点击&否&，关闭我的电脑，回到桌面，启动WINHEX软件，先选择&菜单|工具|打开磁盘&，在弹出的对话框中选择&磁盘1&，单击&确定&进入界面，并选择窗口界面中的&访问|分区3|启动扇区&。
3.在弹出如图4-3示窗口中，可以看到分区3的引导扇区信息全部被清零。
4.选择WINHEX菜单栏中的&工具|打开磁盘&项，打开&磁盘0&引导扇区。在界面窗口同样选择&访问|分区3|启动扇区&，并复制扇区数据。
5.点击界面窗口左上角的磁盘1，回到磁盘1分区3启动扇区界面，将剪切板中的数据写入扇区。
6.保存写入信息，关闭并重启WINHEX软件，重新回到磁盘1的分区界面，选择&访问|分区3&，如图4-6所示，分区3的分区表项已经得到恢复，但表项数据有误。
7.打开引导记录模板，记下模板中分区表项#3项中的相关扇区信息，如图4-7所示。
8.回到分区3启动扇区模板，将步骤7中的&&填写在启动扇区模板的隐藏扇区，将减1后填写在合计扇区位，如图4-8所示。
9.保存所有修改信息，关闭WINHEX，重启系统，在&我的电脑&中可以看到修复的分区（如图4-9所示）及分区中数据（如图4-10所示）。
及基本要求
任务3 &使用R-Studio恢复格式化的分区文件
一、实例描述
一块40G硬盘，客户描述是电脑系统故障，然后重新分区格式化安装，一周后，发现一些需要的数据没有备份，于是寻求专业的数据恢复工程师的帮助。
二、任务实施
Stepl：将客户电脑接入数据恢复平台，开机进行&我的电脑|管理|磁盘管理&可以看到图1-2-28示界面，硬盘1为客户盘，40GB容量，三个NTFS分区。
图1-2-28待修磁盘信息
Step2：分别选择硬盘1的三个分区，查看其属性信息，对数据恢复的成效进行初步的评价。第一分区，已用空间5.47GB，重新分区前容量为5GB，为操作系统分区，可恢复的数据较小如图1-2-29所示：第二分区已用空间2.87GB，可恢复数据最大为6.88GB如图1-2-30所示；第三个分区可用空间为12.78GB，可恢复数据量较多，如图1-2-31所示。
图1-2-29 &第一分区使用信息
图1-2-30 &第二分区使用信息
图1-2-31 &第三分区使用信息
Step3：关闭磁盘管理，打开R-Studio软件，进入如图1-2-32示界面
图1-2-32 &启动的R-Studio工具软件
Step4：激活工具栏，选中硬盘1}