一块全新的硬盘,在初始化之后发生了哪些变化?
我们来创建一个虚拟磁盘看看。
计算机在按下Power键后,会执行以下动作:
1、MBR(原始的)
当我们对磁盘进行初始化,会出现这个提示窗口。选定MBR分区类型后,进行初始化操作。这时磁盘被分配了盘符,它可以使用了。
再用Winhex打开磁盘,发现除了第一个扇区外其他扇区依然全是0。因为磁盘上还没有任何文件。
其中的分区表字节含义是:
发现已经不识别了,而且再次打开磁盘管理会提示初始化,也就是说如果该磁盘在之前已经分好了区,如果你按提示初始化了,那么后面这些分区就会发生变化。所以以后碰见这种情况,先用Winhex加载一下,如果只是丢失了结束标识我们加上去就可以了。
2、GPT(现在用的更多)
我们可以看到引导扇区是这样的:
GPT磁盘总体布局
除了0号扇区,剩下的扇区都是GPT磁盘的信息。
1号扇区的信息被复制保留在最后一个扇区。
2-33号扇区的信息被复制保留在倒数的32个扇区。
所以我们在数据恢复的时候,能访问到最后33个扇区就可以恢复前面的信息,所以GPT的安全程度比MBR高。
GPT分区表(1号扇区)
直接从第三行开始看,22换成10进制就是34,即写入的数据从34号扇区开始。
GPT分区表(2-33号扇区)
(小序端意思是从右向左读)
我们跳转到这个地方
这个扇区结束后面的数据就是32个扇区的备份数据
随便在里面抽一段数据然后跳转到2号扇区对比发现是一样的
所以前面被破坏了尾部可以用,尾部被破坏前面可以用,还有就是每8行就是一个分区(128个字节是一个分区,128/16=8),即GPT允许每个磁盘多达128个分区(32*4)。
GPT结构能恢复大部分数据,而且可存储空间也比MBR多。
本文始发于微信公众号(电子取证及可信应用协创中心):浅谈基于数据结构特征的恢复——MBR、GPT
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论