三．查找E盘分区表 根据上面的信息，第三个分区表，也即E盘分区表在（892柱面，0磁头，1扇区）处。读取该扇区，得到分区表如下：

[00 01 C1 7C 0B FE FF FF 3F 00 00 00 E2 87 56 00] [ 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ] [00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ] [00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ] 该分区表第二项全为0，说明没有下一个分区表了。该分区表就是分区表链的最后一个节点。

第一项： （00）（01 C1 7C）（0B）（FE FF FF）（3F 00 00 00 ）（E2 87 56 00） 该项与D盘分区表的第二项描述的都是E盘的情况，但它们在某些细节上又有所区别。

1.（00）：表示E盘不是活动分区。 2.（01 C1 7C）： (01) 16 = (1) 10 (C1) 16 = (1100 0001) 2 (7C) 16 = (0111 1100)

2. 磁头号：(1) 10 扇区号：(00 0001) 2 = (1) 10 柱面号：(11 0111 1100) 2 = (892) 10 故E盘起始扇区为（892柱面，1磁头，1扇区）。

3.（0B）：表示E盘的文件系统为FAT32。

4．（FE FF FF）： (FE) 16 = (254) 10 。 (FF) 16 = (1111 1111) 2 (FF) 16 = (1111 1111) 2. 磁头号：(254) 10； 扇区号：(11 1111) 2 = (63) 10. 柱面号：(11 1111 1111) 2 = (1023) 10 但这是不准确的，原因同上。

5.（3F 00 00 00）： 反向，(00 00 00 3F) 16 = (63) 10.这一项与D盘分区表相应项有所不同.为E盘起始逻辑 扇区号（892柱面，1磁头，1扇区）与（892柱面，0磁头，1扇区）之差。表示E盘前面已有63个扇区, 这63个扇区为系统隐藏扇区。 操作系统无法对这些扇区进行读写,所以可以把自己的秘密信息写在这里.

6. (E2 87 56 00): 反向，(00 56 87 E2) 16 = (5670882) 10。表明E盘有5670882个扇区。而D盘分区表相应项为5670945. 5670945 - 5670882 = 63. 正好等于63个隐藏扇区.这是因为D盘分区表描述的是(892柱面,0磁头，1扇区) 到 (1244 柱面，254磁头，63扇区) 之间的扇区数。 而E盘分区表描述的是(892柱面, 1磁头,1扇区) 到 (1244 柱面，254磁头，63扇区) 之间的扇区数。

四.结束语

至此,我们已经打通了整个分区表链.以后在某个链节点数据受损时,也可以根据上下节点的信息而手工定位并修复之。

修复工具可采用可读写磁盘的Winhex.

上一页  [1] [2] [3] [4] [5]