Читайте также:
|
Между загрузочным сектором и таблицей размещения файлов FAT могут находиться зарезервированные секторы, которые являются служебными для файловой системы или не используются.
Количество секторов, зарезервированных на логическом диске, можно узнать из блока параметров BIOS (BPB или Extended BPB, в зависимости от версии операционной системы). Искомое значение находится в поле Reserved sectors at beginning этого блока (смещение 3 байта).
Если зарезервирован только один сектор, то первая копия таблицы размещения файлов FAT располагается сразу вслед за загрузочным сектором. Именно загрузочный сектор в данном случае и является зарезервированным.
Когда зарезервировано несколько секторов, между загрузочным сектором и первой копией таблицы FAT может находиться еще несколько секторов, содержащих нулевые значения. Если компьютер заражен вирусом, в этих секторах может быть спрятано тело вируса или копия оригинальной загрузочной записи, замещенной вирусом.
Информация, представленная в корневом каталоге, должна соответствовать сведениям о распределении кластеров области данных, хранящимся в обеих копиях FAT.
Чтобы сравнить значения полей Cluster и Size дескриптора некоторого элемента данных с информацией в FAT, выполните следующие действия.
1. Откройте в текстовом режиме корневой каталог интересующего вас логического диска и переместите курсор в соответствующую строку.
2. В меню Link выберите команду Cluster chain (Цепочка кластеров).
DiskEdit откроет первую копию FAT и выделит в ней черным прямоугольником номер первого кластера объекта, а также подсветит красным все остальные распределенные объекту кластеры (рис. 7.17).
Визуально таблица размещения файлов должна содержать в основном монотонно изменяющиеся последовательности номеров кластеров, нулевые значения, соответствующие свободным кластерам, а также значение 0xFFFF (0xFFF для FAT12 или 0xFFFFFFFF для FAT32), которое является признаком конца цепочки кластеров.
В результате программной ошибки или работы вируса таблица FAT может быть либо полностью разрушена, либо изменена (например, зашифрована или прописана нулями). Если цепочка кластеров для нужного вам файла разрушена частично или полностью, восстановление такого файла может стать непростой задачей. В этом случае можно попробовать воспользоваться инструментами восстановления данных, рассмотренными в четвертой главе книги.
Рис. 7.17. Просмотр FAT
Если они не помогут, вновь вернитесь к работе с DiskEdit. Чтобы найти таблицу FAT не по адресу, а по ее содержимому, выполните следующее.
Выберите в меню Tools команду Find Object и затем строку FAT. Программа DiskEdit выполнит поиск первой копии таблицы FAT и отобразит ее дамп, выделив в нем первые три байта.
Если теперь сместить текстовый курсор вниз или нажать клавишу PgDn, а затем выбрать повторно в меню Tools команду Find Object FAT еще раз, будет найдена вторая копия таблицы FAT.
Если любая из копий таблицы FAT корректна, то для быстрого перехода к одной из них можно использовать имеющиеся в меню Object команды 1st FAT и 2nd FAT.
Дата добавления: 2015-08-21; просмотров: 92 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Исследование корневого каталога | | | Восстановление элемента таблицы разделов |