NTFS文件系统的DBR恢复研究与实践

修复提示需要格式化的U盘(fat32和ntfs) 在使用U盘的过程中经常会遇到下面这个情况如果无重要资料的话直接格式化就好，如果有重要资料的话，使用WINHEX修复一下，也可以不用格式化就打开U盘这种情况一般是在U盘传输数据的时候或者没有安全退出就直接拔掉，导致U里的DBR损坏。

恢复原理：磁盘中一般有两个DBR，一个正常使用，一个作为备份扇区，当一个出现损坏时，可以使用另外一个进行恢复。

FAT32的备份DBR放在第六扇区，NTFS的备份DBR放在最后一个扇区我们需要用到WINHEX这款软件（下载地址）制作一个DBR损坏的U盘。

下面是U盘内的文件首先打开WINHEX，点工具—打开磁盘然后打开物理驱动器（选择要修复的U盘）双击进入FAT32分区选中一部分EB开始的DBR，点编辑-填充选块用00填充保存，退出U盘，再插回去这时我们再打开就会出现一，利用WINHEX恢复数据。

首先打开WINHEX，点工具—打开磁盘然后打开物理驱动器（选择要修复的U盘）双击进入FAT32分区这时可以看到刚刚U盘里面的文件，选择要恢复的文件-右键-恢复/复制选择恢复文件存放的位置，点确定即可恢复二，修复FAT32格式首先打开WINHEX，点工具—打开磁盘然后打开物理驱动器（选择要修复的U盘）双击进入FAT32分区然后点位置-跳至扇区。

选择第六扇区在EB的E点右键-选块起始位置然后跳转到第七扇区键盘按一下向上键，找到55AA，在最后一个A 右键-选择选块尾部然后点编辑-复制选块-正常然后跳转到0扇区，然后选编辑-剪贴板数据-写入点保存-确定。

移除U盘，在插回去，修复完成三，修复NTFS格式首先打开WINHEX，点工具—打开磁盘然后打开物理驱动器（选择要修复的U盘）进入NTFS分区查看最后扇区的位置跳转到扇区（跳转的扇区=查看到的扇区-1）在EB选择选块起始位置拉到最后面，找到55AA，在最后一个A选择选块尾部然后点编辑-复制选块-正常然后跳转到0扇区，然后选编辑-剪贴板数据-写入点保存-确定。

说明：需要大家注意的是故障磁盘分区以前必须是NTFS格式的（fat 和fat32格式的还没试过不敢误人子弟）病状：一块移动硬盘有了3个ntfs分区，连接到电脑以后，其中一个区不管是点击左键还是右键打开，都是显示＂磁盘未被格式化，是否格式化＂，其他区能正常打开。

而以前都一直正常分析：这通常是由于该分区的引导程序出了问题导致的。

先来了解一下基础知识：mbr（硬盘主引导记录）和dbr（硬盘分区引导记录）硬盘MBR就是我们经常说的“硬盘主引导记录，它由主引导程序、硬盘分区表及扇区结束标志字（55AA）这3个部分组成硬盘MBR负责总管硬盘分区，只有分区工具才能对它进行读写（如FDISK）；而DB R则负责管理某个具体的分区，它是用操作系统的高级格式化命令（如FORMAT）来写入硬盘的。

在系统启动时，最先读取的硬盘信息是MBR，然后由MBR内的主引导程序读出D BR，最后才由DBR内的DOS引导代码读取操作系统的引导程序，其中任何一个环节出了问题，操作系统都无法正常启动成功，如果是MBR部分出了问题,，通常都会出现“无效分区表“、逻辑盘丢失、启动死机等现象；而如果是DBR部分出了问题，通常会出现“未格式化的分区”的错误提示。

通俗来说（以我个人的理解）分区表就好比是一张记录了分区信息的纸，mbr记录了将这张纸划分为了多少大小不同的块，而dbr记录就是这些块各自在这张纸上的位置。

好了。

现在我们用winhex来回复分区中的数据。

1.打开winhex，然后点击“工具”----“打开磁盘”，选择“物理磁盘”中的故障盘。

打开之后我们就可以可能到分区中的信息了。

2.点击右上方的黑色小箭头出现下拉菜单，可以看到有故障的分区和其他正常分区显示是不一样的。

故障分区显示“分区X XXGB ?"为什么会出现“？”呢，就是由于该分区引启动扇区出错导致winhex无法正常识别。

3，每个分区都有自己的备份启动扇区，所以我们就用备份来恢复。

易我分区表医生恢复破坏的分区表《易我分区表医生》是一款修复硬盘分区的软件，使用该工具可以轻易的恢复删除和丢失的分区。

下面，我们就来看看如何使用它对我们的分区表等进行修复。

一．有关MBR、分区表、DBR的基本知识1.硬盘MBR(硬盘主引导记录)及硬盘分区表介绍硬盘MBR就是我们经常说的“硬盘主引导记录”，它是在对硬盘进行分区的时候写入硬盘的。

以下是MBR的组成：这3部分的大小加起来正好是512字节=1个扇区（硬盘每扇区固定为512个字节），因此，人们又形象地把MBR称为“硬盘主引导扇区”。

2.硬盘DBR(DOS引导记录)介绍硬盘（这里硬盘指逻辑磁盘，不同于物理磁盘，所有分区内逻辑扇区，都从“0”开始编号，直到最大值-1，涵盖整个分区）的0扇区叫做DOS引导扇区，又称为BOOT区。

由FORMAT 高级格式化命令将DOS引导记录（DBR）写在该扇区，主要功能是完成系统的自举。

综上所述，我们知道硬盘MBR负责总管硬盘分区，只有分区工具才能对它进行读写；而D BR则负责管理某个具体的分区，它是用操作系统的高级格式化命令（如FORMAT）来写入硬盘的。

在系统启动时，最先读取的硬盘信息是MBR，然后由MBR内的主引导程序读出DBR，最后才由DBR内的DOS引导代码读取操作系统的引导程序，其中任何一个环节出了问题，操作系统都无法正常启动成功，如果是MBR部分出了问题,即使只是”55AA”标志字丢失或被改为其他值，通常都会出现“无效分区表“、逻辑盘丢失、启动死机等现象；而如果是DBR部分出了问题，通常会出现“未格式化的分区”的错误提示。

近距离观察MBR、DBR：现在我们用《易我分区表医生3.1.0》这款软件来观察下MBR、DBR。

1、观察MBR：首先可以在下载免费软件《易我分区表医生3.1.0》，安装运行后，选“扇区”下面的“编辑扇区”，在“绝对地址”处输入0（这里是一般默认情况下MBR所在的扇区处），可看到MBR的信息，如下图：从图中我们可以看到MBR的0~01BD字节为主引导程序；01BE~01FD这64字节为硬盘分区表信息，每项分区表占16字节；最后是结束标志字55AA。

硬盘主引导扇区(MBR、DPT、DBR、BPB)详解.txt“恋”是个很强悍的字。

它的上半部取自“变态”的“变”，下半部取自“变态”的“态”。

硬盘主引导扇区(MBR、DPT、DBR、BPB)详解引用:网上收集的资料，放到这里来学习，这方面登山人大哥是高手，有空指点一下喽硬盘的0柱面、0磁头、1扇区称为主引导扇区（也叫主引导记录MBR），该记录占用512个字节，它用于硬盘启动时将系统控制权转给用户指定的、在分区表中登记了某个操作系统分区。

MBR的内容是在硬盘分区时由分区软件（如FDISK）写入该扇区的，MBR不属于任何一个操作系统，不随操作系统的不同而不同，即使不同，MBR也不会夹带操作系统的性质，具有公共引导的特性。

但安装某些多重引导功能的软件或LINUX的LILO时有可能改写它；它先于所有的操作系统被调入内存并发挥作用，然后才将控制权交给活动主分区内的操作系统（图一）。

MBR由三部分构成：1．主引导程序代码，占446字节2．硬盘分区表DPT，占64字节3．主引导扇区结束标志AA55H一、硬盘的主引导程序代码是从偏移0000H开始到偏移01BDH结束的446字节；主引导程序代码包括一小段执行代码。

启动PC 机时，系统首先对硬件设备进行测试，成功后进入自举程序INT 19H；然后读系统磁盘0柱面、0磁头、1扇区的主引导扇区MBR的内容到内存指定单元0：7C00 首地址开始的区域，并执行MBR程序段。

主引导代码实现下列功能：1．扫描分区表查找活动分区；2．寻找活动分区的起始扇区；3．将活动分区的引导扇区读到内存；4．执行引导扇区的运行代码。

如果主引导代码未完成这些功能，系统显示下列错误信息：Invalid partition tableError loading operating systemMissing operating system二、硬盘分区表DPT是从偏移01BEH开始到偏移01FDH结束的64字节（图二）；硬盘分区表分为四小部分，每一小部分表示一个分区的信息，占16字节。

硬盘（U盘、移动硬盘）MBR、DBR简介(摘自无忧）一、几个概念BIOS（Basic Input/Output System）基本输入输出系统，全称是ROM－BIOS，是只读存储器基本输入／输出系统的简写，它实际是一组被固化到电脑中，为电脑提供最低级最直接的硬件控制的程序CMOS（Complementary Metal Oxide Semiconductor）意是指互补金属氧化物半导体，一种大规模应用于集成电路芯片制造的原料，在计算机领域，CMOS常指保存计算机基本启动信息(如日期、时间、启动设置等)的芯片。

CMOS 的功耗很低，计算机主板上一个纽扣电池就可以给它长时间地提供电力，即使系统掉电，信息也不会丢失。

而当主板电池供电不足时CMOS的信息会丢失，此时启动机器会有一些特殊的现象，如启动时提示 CMOS 参数丢失需重新设置，甚至机器黑屏，不能启动，更换主板上的纽扣电池即恢复正常。

有时人们会把CMOS和BIOS混称，其实CMOS是主板上的一块可读写的RAM芯片，是用来保存BIOS的硬件配置和用户对某些参数的设定。

而对CMOS中各项参数的设定要通过专门的程序，现在多数厂家将CMOS设置程序做到了BIOS芯片中，在开机时通过按下某个特定键就可进入CMOS设置程序而非常方便地对系统进行设置，因此这种CMOS设置又通常被叫做BIOS设置。

ESCD（Extended System Configuration Data）扩展系统配置数据，ESCD是系统BIOS用来与操作系统交换硬件配置信息的一种手段，这些数据被存放在CMOS（一小块特殊的RAM，由主板上的电池来供电）之中，通常ESCD数据只在系统硬件配置发生改变后才会更新扇区（Sector）硬盘划分的最小单位，一个扇区固定为 512 个字节（Byte）MBR（master boot record）即主引导记录，有时也称主引导扇区。

位于整个硬盘的 0 扇区（硬盘的 0~62 即前 63 个扇区为保留扇区，目前只有 MBR 占用其中的第一个或前几个扇区），可以看作是硬盘的第一个扇区，通常只占用这一个扇区，如 XP 的 MBR，grub4dos占用 0~17 共 18 个扇区DBR（DOS boot record）即操作系统引导记录区，也称分区的主启动代码，位于分区的第 0 扇区，通常只占用这一个扇区，特殊情况也要占用其它保留扇区，而 grub4dos 如果是写入硬盘 MBR 方式则不修改也不使用 DBR以 H 结尾或以 0x 开头的数字表示该数字为十六进制数二、主机启动过程1. 内部电源打开，初始化，等待一小段时间用来产生稳定的电流。

FAT32分区DBR故障的数据恢复解决方案
李万彪
【期刊名称】《《电脑知识与技术》》
【年(卷),期】2011(007)009
【摘要】该文针对FAT32文件系统DBR损坏造成分区无法正常打开的故障,提出手工重建DBR及先备份再格式化恢复分区的解决方案。

实践证明,两种解决方案对解决DBR损坏的故障都是有效的。

【总页数】2页(P2188-2188,2191)
【作者】李万彪
【作者单位】广东机电职业技术学院信息工程学院广东广州 510515
【正文语种】中文
【中图分类】TP311
【相关文献】
1.硬盘分区表故障之数据恢复实例 [J], 裴波;裴虹
2.“月光宝盒”——谈电脑资料的备份与恢复：我是一只不死鸟——硬盘分区及数据恢复解决方案 [J], 余刘琅
3.重建分区表与FAT32 DBR研究与实现 [J], 陈培德;吴建平;王丽清
4.重建GPT分区与FAT32_DBR的研究 [J], 陈培德; 吴建平; 钱文华; 姬永倩; 陈华明; 徐溪溪
5.NTFS文件系统中DBR故障数据恢复研究 [J], 庄文学;马昊
因版权原因，仅展示原文概要，查看原文内容请购买。

NTFS文件系统中用WinHex手动恢复文件的研究作者：史春水刘思磊来源：《电脑知识与技术》2020年第09期摘要：通过数据恢复软件扫描出来的文件的文件名很多都已经改变，现在的硬盘已经容量很大，通常用户在硬盘里存的文件也非常多，再通过这种扫描的方法恢复丢失文档必然造成再次寻找文件的麻烦，通过手动恢复某个具体的文件就变得有价值。

关键词：计算机;数据;恢复中图分类号：TP311 文献标识码：A文章编号：1009-3044（2020）09-0036-03现今数据恢复的软件较多，大多数数据恢复软件可以扫描出丢失的文件，不过多数扫描出来的文件的文件名都已经改变如下图1所示，如果硬盘里的文件数目比较少这种文件名改变的情况引起的问题还不大但是现在的硬盘已经容量很大，通常用户在硬盘里存的文件也非常多，再通过这种扫描的方法恢复丢失文档必然造成再次寻找文件的麻烦，通过手动恢复某个具体的文件就变得有价值。

下面我们探讨一下针对个别文件进行恢复的方法。

当用户把硬盘分区格式化为NTFS文件系统就建立了一个NTFS的结构，将整个磁盘分区上的任何一件事物都看作一个文件，而文件的相关事物又看作一个属性。

“Master File Table”（MFT主文件表）就是NTFS文件系统中一个特殊的文件，它详细地记录了各个文件的属性。

每个文件记录在主文件表中占据的磁盘空间一般为两个扇区，大小1KB，因为MFT的重要性在NTFS文件系统的原文件中还有MFT的备份“MFTMirr”，不过MFTMirr只备份了MFT 的前8个扇区。

文件放人回收站不小心清空了，按Shift+Del键永久删除之后又想找回这个文档，格式化，重装系统等通常是导致文件丢失的几种常见方式。

下面我们来分别看看清空回收站、按Shift+Del键永久删除文件丢失后对$MFT文件的分析。

1 清空回收站我们在VHDI硬盘的NTFS分区内放人一个文件名为“大家好”的word文档，我们先用winhex打开这个盘然后找到$MFT元文件，然后我们新建一个txt文本文件在里面输入大家好另存为的时候选择Unicode如图2所示，这样我们就可以知道文件名在$MFT中的30H属性中的编码如图3所示。

详解NTFS⽂件系统⼀、分析NTFS⽂件系统的结构当⽤户将硬盘的⼀个分区格式化为NTFS分区时，就建⽴了⼀个NTFS⽂件系统。

NTFS⽂件系统同FAT32⽂件系统⼀样，也是⽤“簇”为存储单位，⼀个⽂件总是占⽤⼀个或多个簇。

NTFS⽂件系统使⽤逻辑簇号（LCN）和虚拟簇号（VCN）对分区进⾏管理。

逻辑簇号：既对分区内的第⼀个簇到最后⼀个簇进⾏编号，NTFS使⽤逻辑簇号对簇进⾏定位。

虚拟簇号：既将⽂件所占⽤的簇从开头到尾进⾏编号的，虚拟簇号不要求在物理上是连续的。

NTFS⽂件系统⼀共由16个“元⽂件”构成，它们是在分区格式化时写⼊到硬盘的隐藏⽂件（以”$”开头），也是NTFS⽂件系统的系统信息。

NTFS的16个元⽂件介绍：⾸先找到该分区的起始扇区，具体可以参考这篇⽂章。

⼆、分析$Boot⽂件$Boot元⽂件由分区的第⼀个扇区（既DBR）和后⾯的15个扇区（既NTLDR区域）组成，其中DBR由“跳转指令”、“OEM代号”、“BPB”、“引导程序”和“结束标志”组成，这⾥和FAT32⽂件系统的DBR⼀样。

下图是⼀个NTFS⽂件系统完整的DBR。

下⾯我们分析⼀下DBR中的各参数EB 58 90：（跳转指令）本⾝占2字节它将程序执⾏流程跳转到引导程序处。

“EB 58 90″清楚地指明了OS引导代码的偏移位置。

jump 52H加上跳转指令所需的位移量，即开始于0×55。

4E 54 46 53 20 20 20 20:(OEM代号)这部分占8字节，其内容由创建该⽂件系统的OEM⼚商具体安排。

为“NTFS”。

BPB：NTFS⽂件系统的BPB从DBR的第12个字节开始，占⽤73字节，记录了有关该⽂件系统的重要信息，下表中的内容包含了“跳转指令”、“OEM代号”以及“BPB”的参数。

对照上⾯的BPB分析如下：02 00：每个扇区512个字节08：每个簇8个扇区00 00：保留扇区为000 00 00：为000：不使⽤F8：为硬盘00 00：为000 3F：每磁道63个扇区00 FF：每柱⾯255个磁头00 00 00 3F：隐藏扇区数（MBR到DBR）00 00 00 00：不使⽤80 00 80 00：不使⽤00 00 00 00 0C 80 33 FF：扇区总数20972851100 00 00 00 00 00 00 03：$MFT的开始簇号00 00 00 00 00 85 57 80：$MFTmirr的开始簇号00 00 00 F6：每个MFT记录的簇数00 00 00 01：每索引的簇数B8 11 2A 0C B8 11 2A 0C：分区的逻辑序列号引导程序：DBR的引导程序占⽤426字节，其负责完成将系统⽂件NTLDR装⼊，对于没有安装系统的分区是⽆效的。

U盘MBR、DBR的基本知识点击: 次时间:2011-11-23 08:30一、几个基本概念BIOS（Basic Input/Output System）基本输入输出系统，全称是ROM－BIOS，是只读存储器基本输入／输出系统的简写，它实际是一组被固化到电脑中，为电脑提供最低级最直接的硬件控制的程序。

CMOS（Complementary Metal Oxide Semiconductor）大白菜官网本意是指互补金属氧化物半导体，一种大规模应用于集成电路芯片制造的原料，在计算机领域，CMOS 常指保存计算机基本启动信息(如日期、时间、启动设置等)的芯片。

CMOS 的功耗很低，计算机主板上一个纽扣电池就可以给它长时间地提供电力，即使系统掉电，信息也不会丢失。

而当主板电池供电不足时CMOS的信息会丢失，此时启动机器会有一些特殊的现象，如启动时提示CMOS 参数丢失需重新设置，甚至机器黑屏，不能启动，更换主板上的纽扣电池即恢复正常。

有时人们会把CMOS和BIOS混称，其实CMOS是主板上的一块可读写的RAM芯片，是用来保存BIOS的硬件配置和用户对某些参数的设定。

而对CMOS中各项参数的设定要通过专门的程序，现在多数厂家将CMOS设置程序做到了BIOS芯片中，在开机时通过按下某个特定键就可进入CMOS设置程序而非常方便地对系统进行设置，因此这种CMOS设置又通常被叫做BIOS设置。

ESCD（Extended System Configuration Data）扩展系统配置数据，ESCD是系统BIOS用来与操作系统交换硬件配置信息的一种手段，这些数据被存放在CMOS（一小块特殊的RAM，由主板上的电池来供电）之中，通常ESCD数据只在系统硬件配置发生改变后才会更新。

扇区（Sector）硬盘划分的最小单位，一个扇区固定为512 个字节（Byte）。

MBR（master boot record）即主引导记录，有时也称主引导扇区。

winhex 教程+应用+数据恢复-Doc文件恢复-MBR、EBR、DBR字节位置内容及含义第1字节引导标志。

若值为80H表示活动分区；若值为00H表示非活动分区。

第2、3、4字节本分区的起始磁头号、扇区号、柱面号第5字节分区类型符：00H——表示该分区未用06H——FAT16基本分区0BH——FAT32基本分区05H——扩展分区07H——NTFS分区0FH——（LBA模式）扩展分区83H—— Linux分区第6、7、8字节本分区的结束磁头号、扇区号、柱面号第9、10、11、12字节本分区之前已用了的扇区数第13、14、15、16字节本分区的总扇区数1、什么是逻辑驱动？2、什么是物理驱动器？3、怎么搜索MBR、EBR、DBR?MBR、EBR、DBR他们都是以55AA结尾在winhex中搜索１６进制：55AA 偏移５１２＝５１０（１）搜索DBR的标志：FAT16的DBR:EB 3C 90 没有备份的DBRFAT32的DBR:EB 58 90 （备份的DBR）在该分区的第６扇区NTFS的DBR: EB 52 90 （备份的DBR）在该分区的最后一个扇区判别MBR的方法：MBR就在LBA第一个扇区，打开物理硬盘，第一个扇区就是了。

MBR的分区表在1BE 偏移往后到1FD，共64个字节，每项16个字节。

1FE-1FF就是“55 AA”判别EBR的方法：EBR的结构和MBR的结构是一样的，在倒数第五行倒数第二个字节应该是00 01，并且前446个字节应该是0（２）查找DBR　可以通过搜索本分区的EBR去找DBR.可以搜索EBR,定位DBR.DBR相对于EBR后６３号扇区。

(3)当某分区的DBR坏了，就提示：未格式化　这个时候用winhex打开逻辑盘，就打不开。

我们只有通过打开物理驱动器，然后跳转到该分区。

就可以查看DBR是否被破坏了。

可物理驱动器的模式是从"0"扇区开始描述系统而逻辑驱动模式是从系统的DBR开始描述系统(从第64扇区开始描述).用winhex 做U盘免疫AUTO.INF用WinHex制作无法修改的AutoRun.inf文件 在我们日常工作中，经常需要使用闪存（也称为U盘或者优盘）主要是AutoRun.inf 文件在起作用，我们可以使用WinHex解决这一问题。