|
楼主 |
发表于 2006-11-30 04:40:49
|
显示全部楼层
7.文件分配表
文件分配表是DOS文件组织结构的主要组成部分。我们知道DOS进行分配的最基本单位是簇。文件分配表是反映硬盘上所
有簇的使用情况,通过查文件分配表可以得知任一簇的使用情况。DOS在给一个文件分配空间时总先扫描FAT,找到第一个可
用簇,将该空间分配给文件,并将该簇的簇号填到目录的相应段内。即形成了“簇号链”。FAT就是记录文件簇号的一张表。
FAT的头两个域为保留域,对FAT12来说是3个字节,FAT来说是4个字节。其中头一个字节是用来描述介质的,其余字节为FFH
。介质格式与BPB相同。
第一个字节的8位意义:
7 6 5 4 3 2 1 0
└─────-┘ │ │ │┌0非双面
置1 │ │ └┤
│ │ └1双面
│ │┌0不是8扇区
│ └┤
│ └1是8扇区
│┌0不是可换的
└┤
└1是可换的
FAT结构含义
FAT12 FAT16 意义
000H 0000H 可用
FF0H-FF6H FFF0H-FFF6H 保留
FF7H FFF7H 坏
FF8H-FFFH FFF8H-FFFFH 文件最后一个簇
×××H ××××H 文件下一个簇
对于FAT16,簇号×2作偏移地址,从FAT中取出一字即为FAT中的域。
逻辑扇区号=数据区起始逻辑扇区号+(簇号-2)×每簇扇区数
簇号=(逻辑扇区号-数据区起始逻辑扇区号)DIV每簇扇区数+2
要点:(1)FAT反映硬盘上所有簇的使用情况,它记录了文件在硬盘中具体位置(簇)。
(2)文件第一个簇号(在目录表中)和FAT的该文件的簇号串起来形成文件的“簇号链”,恢复被破坏的文件就是根
据这条链。
(3)由簇号可算逻辑扇区号,反之,由逻辑扇区号也可以算出簇号,公式如上。
(4)FAT位于DBR之后,其DOS扇区号从1开始。
8.文件目录
文件目录是DOS文件组织结构的又一重要组成部分。文件目录分为两类:根目录,子目录。根目录有一个,子目录可以有
多个。子目录下还可以有子目录,从而形成“树状”的文件目录结构。子目录其实是一种特殊的文件,DOS为目录项分配32字
节。目录项分为三类:文件,子目录(其内容是许多目录项),卷标(只能在根目录,只有一个。目录项中有文件(或子目
录,或卷标)的名字,扩展名,属性,生成或最后修改日期,时间,开始簇号,及文件大小。
目录项的格式
字节偏移 意义 占字节数
00H 文件名 8B
08H 扩展名 3B
0BH 文件属性 1B
0CH 保留 10B
16H 时间 2B
18H 日期 2B
1AH 开始簇号 2B
1CH 文件长度 4B
目录项文件名区域中第一个字节还有特殊的意义:00H代表未使用
05H代表实际名为E5H
EBH代表此文件已被删除
目录项属性区域的这个字节各个位的意义如下: 7 6 5 4 3 2 1 0
未 修 修 子 卷 系 隐 只
用 改 改 目 标 统 藏 读
标 标 录 属 属 属
志 志 性 性 性
注意:WINDOWS的长文件名使用了上表中所说的“保留”这片区域。
要点:(1)文件目录是记录所有文件,子目录名,扩展名属性,建立或删除最后修改日期。文件开始簇号及文件长度的一张
登记表.
(2)DOS中DIR列出的内容训是根据文件目录表得到的。
(3)文件起始簇号填在文件目录中,其余簇都填在FAT中上一簇的位置上。
9.物理驱动器与逻辑驱动器
物理驱动器指实际安装的驱动器。
逻辑驱动器是对物理驱动器格式化后产生的。
要点:同上。
硬盘逻辑锁巧解
在谈论具体的解决方法前,先讲述一下被"逻辑锁"锁住的硬盘为什么不能用普通办法启 动的原因:
计算机在引导DOS系统时将会搜索所有逻辑盘的顺序,当DOS被引导时,首先要去找主引 导扇区的分区表信息,位于硬盘的零头零柱面的第一个扇区的OBEH地址开始的地方,当 分区信息开始的地方为80H时表示是主引导分区,其他的为扩展分区,主引导分区被定义 为逻辑盘C盘,然后查找扩展分区的逻辑盘,被定义为D盘,以此类推找到E,F,G..... "逻辑锁"就是在此下手,修改了正常的主引导分区记录将扩展分区的第一个逻辑盘指向 自己,DOS在启动时查找到第一个逻辑盘后,查找下个逻辑盘总是找到是自己,这样一来 就形成了死循环,这就是使用软驱,光驱,双硬盘都不能正常启动的原因。实际上这"逻辑锁"只是利用了DOS在启动时的一个小小缺陷,便令不少高手都束手无策。知道了"逻辑 锁"的"上锁"原理,要解锁也就比较容易了。以前我看到有位朋友采用"热拔插"硬盘电源的方法来处理:就是在当系统启动时,先不给被锁的硬盘插上电源线,等待启动完成后再给硬盘"热插"上电源线,这时如果硬盘没有烧坏的话,系统就可以控制硬盘了。当然这是一种非常危险的方法,大家不要轻易尝试,下面介绍两种比较简单和安全的处理方法。
方法一:修改DOS启动文件
首先准备一张DOS6.22的系统盘,带上debug、pctools5.0、fdisk等工具。然后在一台正常的机器上,使用你熟悉的二进制编辑工具(debug、pctools5.0,或者windows下的ultraedit都行)修改软盘上的IO.SYS文件(修改前记住改该文件的属性为正常),具体是在这个文件里面搜索第一个"55aa"字符串,找到以后修改为任何其他数值即可。用这张修改过的系统软盘你就可以顺利地带着被锁的硬盘启动了。不过这时由于该硬盘正常的分区表已经被黑客程序给恶意修改了,你无法用FDISK来删除和修改分区,而且仍无法用正常的启动盘启动系统,这时你可以用DEBUG来手工恢复。使用DEBUG手工修复硬盘步骤如下:
a:\>debug
-a
-xxxx:100 mov ax,0201 读一个扇区的内容
-xxxx:103 mov bx,500 设置一个缓存地址
-xxxx:106 mov cx,0001 设置第一个硬盘的硬盘指针
-xxxx:109 mov dx,0080 读零磁头
-xxxx:10c int 13 硬盘中断
-xxxx:10e int 20
-xxxx:0110 退出程序返回到指示符
-g 运行
-d500 查看运行后500地址的内容
这时候会发现地址6be开始的内容是硬盘分区的信息,发现此硬盘的扩展分区指向自己,这就使DOS或WINDOWS启动时查找硬盘逻辑盘进去死循环,在DEBUG指示符下用E命令修改内存数据 具体如下:
E6BE
xx.0 xx.0 xx.0...............
.............................
.......................55 AA
55 AA表示硬盘有效的标记,不要修改,xx0表示把以前的数据"xx"改成0
再用硬盘中断13把修改好的数据写入硬盘就可以了,具体如下:
A:\>debug
a 100 表示修改100地址的汇编指令
-xxxx:100 mov ax,0301 写硬盘一个扇区
-xxxx: 这里直接按回车
-g 运行
-q 退出
然后运行 FDISK/MBR(重置硬盘引导扇区的引导程序),再重新启动电脑就行了。 怎么样?用这种方法处理够简单的吧?而且这种方法还有一个好处就是可以保住盘上的 数据!如果你不需要保数据的话,还有更加简单的处理方法:
方法二:巧设BIOS,用DM解锁大家知道DM软件是不依赖于主板BIOS的硬盘识别安装软件,(所以在不能识别大硬盘的老主板上也可用DM来安装使用大容量硬盘)。就算在BIOS中将硬盘设为"NONE",DM也可识别并处理硬盘。
首先你要找到和硬盘配套的DM软件(找JS要或去网上荡),然后把DM拷到一张系统盘上。接上被锁硬盘,开机,按住DEL键,进CMOS设置,将所有IDE硬盘设为NONE(这是关键所在!),保存设置,重启动,这时系统即可 "带锁"启动。启动后运行DM,你会发现DM可以绕过BIOS,识别出硬盘,选中该硬盘,分区格式化,就OK了。这么简单?不过这种 方法的弱点是硬盘上的数据将全部丢失。
蓝屏画面解读:
数 值 叙 述
0 0x0000 作业完成。
1 0x0001 不正确的函数。
2 0x0002 系统找不到指定的档案。
3 0x0003 系统找不到指定的路径。
4 0x0004 系统无法开启档案。
5 0x0005 拒绝存取。
6 0x0006 无效的代码。
7 0x0007 储存体控制区块已毁。
8 0x0008 储存体空间不足,无法处理这个指令。
9 0x0009 储存体控制区块位址无效。
10 0x000A 环境不正确。
11 0x000B 尝试载入一个格式错误的程式。
12 0x000C 存取码错误。
13 0x000D 资料错误。
14 0x000E 储存体空间不够,无法完成这项作业。
15 0x000F 系统找不到指定的磁碟机。
16 0x0010 无法移除目录。
17 0x0011 系统无法将档案移到 其他的磁碟机。
18 0x0012 没有任何档案。
19 0x0013 储存媒体为防写状态。
20 0x0014 系统找不到指定的装置。
21 0x0015 装置尚未就绪。
22 0x0016 装置无法识别指令。
23 0x0017 资料错误 (cyclic redundancy check) 24 0x0018 程式发出一个长 度错误的指令。
25 0x0019 磁碟机在磁碟找不到 持定的磁区或磁轨。
26 0x001A 指定的磁碟或磁片无法存取。
27 0x001B 磁碟机找不到要求的磁区。
28 0x001C 印表机没有纸。
29 0x001D 系统无法将资料写入指定的磁碟机。
30 0x001E 系统无法读取指定的装置。
31 0x001F 连接到系统的某个装置没有作用。
32 0x0020 The process cannot access the file because it is being used by
another process.
33 0x0021 档案的一部份被锁定, 现在无法存取。
34 0x0022 磁碟机的磁片不正确。 请将 %2 (Volume Serial Number: %3) 插入磁碟
机%1。
36 0x0024 开启的分享档案数量太多。
38 0x0026 到达档案结尾。
39 0x0027 磁碟已满。
50 0x0032 不支援这种网路要求。
51 0x0033 远端电脑无法使用。
52 0x0034 网路名称重复。
53 0x0035 网路路径找不到。
54 0x0036 网路忙碌中。
55 0x0037 The specified network resource or device is no longer available.
56 0x0038 The network BIOS command limit has been reached. 57 0x0039 网路配接卡发生问题。
58 0x003A 指定的伺服器无法执行要求的作业。
59 0x003B 网路发生意外错误。
60 0x003C 远端配接卡不相容。
61 0x003D 印表机伫列已满。
62 0x003E 伺服器的空间无法储存等候列印的档案。
63 0x003F 等候列印的档案已经删除。
64 0x0040 指定的网路名称无法使用。
65 0x0041 拒绝存取网路。
66 0x0042 网路资源类型错误。
67 0x0043 网路名称找不到。
68 0x0044 超过区域电脑网路配接卡的名称限制。
69 0x0045 超过网路 BIOS 作业阶段的限制。
70 0x0046 远端伺服器已经暂停或者正在起始中。
71 0x0047 由於连线数目已达上限,此时无法再连线到这台远端电脑。
72 0x0048 指定的印表机或磁碟装置已经暂停作用。
80 0x0050 档案已经存在。
82 0x0052 无法建立目录或档案。
83 0x0053 INT 24?失败
84 0x0054 处理这项要求的储存体无法使用。
85 0x0055 近端装置名称已经在使用中。
86 0x0056 指定的网路密码错误。
87 0x0057 参数错误。
88 0x0058 网路发生资料写入错误。
89 0x0059 此时系统无法执行其他行程。
100 0x0064 无法建立其他的系统 semaphore。 101 0x0065 属於其他行程专用的 semaphore 。
102 0x0066 semaphore 已经设定,而且无法关闭。
103 0x0067 无法指定 semaphore 。
104 0x0068 在岔断时间无法要求专用的 semaphore 。
105 0x0069 此 semaphore 先前的拥有权已经结束。
106 0x006A 请将磁片插入 %1。
107 0x006B 因为代用的磁片尚未插入,所以程式已经停止。
108 0x006C 磁碟正在使用中或被锁定。
109 0x006D Pipe 已经中止。
110 0x006E 系统无法开启指定的 装置或档案。
111 0x006F 档名太长。
112 0x0070 磁碟空间不足。
113 0x0071 没有可用的内部档案识别字。
114 0x0072 目标内部档案识别字不正确。
117 0x0075 由应用程式所执行的 IOCTL 呼叫 不正确。
118 0x0076 写入验证参数值不正确。
119 0x0077 系统不支援所要求的指令。
120 0x0078 此项功能仅在 Win32 模式有效。
121 0x0079 semaphore 超过逾时期间。
122 0x007A 传到系统呼叫的资料区域 太小。
123 0x007B 档名、目录名称或储存体标签语法错误。
124 0x007C 系统呼叫层次不正确。
125 0x007D 磁碟没有设定标签。
126 0x007E 找不到指定的模组。
127 0x007F 找不到指定的程序。
128 0x0080 没有子行程可供等待。
129 0x0081 %1 这个应用程式无法在 Win32 模式下执行。
130 0x0082 Attempt to use a file handle to an open disk partition for an
operation other than raw disk I/O.
131 0x0083 尝试将档案指标移至档案开头之前。
132 0x0084 无法在指定的装置或档案,设定档案指标。
133 0x0085 JOIN 或 SUBST 指令 无法用於 内含事先结合过的磁碟机。
134 0x0086 尝试在已经结合的磁碟机,使用 JOIN 或 SUBST 指令。
135 0x0087 尝试在已经替换的磁碟机,使 用 JOIN 或 SUBST 指令。
136 0x0088 系统尝试删除 未连结过的磁碟机的连结关系。
137 0x0089 系统尝试删除 未替换过的磁碟机的替换关系。
138 0x008A 系统尝试将磁碟机结合到已经结合过之磁碟机的目录。
139 0x008B 系统尝试将磁碟机替换成已经替换过之磁碟机的目录。
140 0x008C 系统尝试将磁碟机替换成已经替换过之磁碟机的目录。
141 0x008d系统尝试将磁碟机 SUBST 成已结合的磁碟机 目录。
142 0x008E 系统此刻无法执行 JOIN 或 SUBST。
143 0x008F 系统无法将磁碟机结合或替换同一磁碟机下目录。
144 0x0090 这个目录不是根目录的子目录。
145 0x0091 目录仍有资料。
146 0x0092 指定的路径已经被替换过。
147 0x0093 资源不足,无法处理这项 指令。
148 0x0094 指定的路径这时候无法使用。
149 0x0095 尝试要结合或替换的磁碟机目录,是已经替换过的的目标。
150 0x0096 CONFIG.SYS 档未指定系统追踪资讯,或是追踪功能被取消。
151 0x0097 指定的 semaphore事件 DosMuxSemWait 数目不正确。
152 0x0098 DosMuxSemWait 没有执行;设定太多的 semaphore。 153 0x0099 DosMuxSemWait 清单不正确。
154 0x009A 您所输入的储存媒体标 元长度限制。
155 0x009B 无法建立其他的执行绪。
156 0x009C 接收行程拒绝接受信号。
157 0x009D 区段已经被舍弃,无法被锁定。
158 0x009E 区段已经解除锁定。
159 0x009F 执行绪识别码的位址不正确。
160 0x00A0 传到 DosExecPgm 的引数字串不正确。
161 0x00A1 指定的路径不正确。
162 0x00A2 信号等候处理。
164 0x00A4 系统无法建立执行绪。
167 0x00A7 无法锁定档案的部份范围。
170 0x00AA 所要求的资源正在使用中。
173 0x00AD 取消范围的锁定要求不明显。
174 0x00AE 档案系统不支援自动变更锁定类型。
180 0x00B4 系统发现不正确的区段号码。
182 0x00B6 作业系统无法执行 %1。
183 0x00B7 档案已存在,无法建立同一档案。
186 0x00BA 传送的旗号错误。
187 0x00BB 指定的系统旗号找不到。
188 0x00BC 作业系统无法执行 %1。
189 0x00BD 作业系统无法执行 %1。
190 0x00BE 作业系统无法执行 %1。
191 0x00BF 无法在 Win32 模式下执行 %1。
192 0x00C0 作业系统无法执行 %1。
193 0x00C1 %1 不是正确的 Win32 应用程式。
194 0x00C2 作业系统无法执行 %1。
195 0x00C3 作业系统无法执行 %1。
196 0x00C4 作业系统无法执行 这个应用程式。
197 0x00C5 作业系统目前无法执行 这个应用程式。
198 0x00C6 作业系统无法执行 %1。
199 0x00C7 作业系统无法执行 这个应用程式。
200 0x00C8 程式码的区段不可以大於或等於 64KB。
201 0x00C9 作业系统无法执行 %1。
202 0x00CA 作业系统无法执行 %1。
203 0x00CB 系统找不到输入的环境选项。 \r
205 0x00CD 在指令子目录下,没有任何行程有信号副处理程式。
206 0x00CE 档案名称或副档名太长。
207 0x00CF ring 2 堆叠使用中。
208 0x00D0 输入的通用档名字元 * 或 ? 不正确, 或指定太多的通用档名字元。
209 0x00D1 所传送的信号不正确。
210 0x00D2 无法设定信号处理程式。
212 0x00D4 区段被锁定,而且无法重新配置。
214 0x00D6 附加到此程式或动态连结模组的动态连结模组太多。
215 0x00D7 Can`t nest calls to LoadModule.
230 0x00E6 The pipe state is invalid.
231 0x00E7 所有的 pipe instances 都在忙碌中。
232 0x00E8 The pipe is being closed.
233 0x00E9 No process is on the other end of the pipe.
234 0x00EA 有更多可用的资料。
240 0x00F0 作业阶段被取消。
254 0x00FE 指定的延伸属性名称无效。
255 0x00FF 延伸的属性不一致。
259 0x0103 没有可用的资料。
266 0x010A 无法使用 Copy API。
267 0x010B 目录名称错误。
275 0x0113 延伸属性不适用於缓冲区。
276 0x0114 在外挂的档案系统上的延伸属性档案已经毁损。
277 0x0115 延伸属性表格档满。
278 0x0116 指定的延伸属性代码无效。
282 0x011A 外挂的这个档案系统不支援延伸属性。
288 0x0120 意图释放不属於叫用者的 mutex。
298 0x012A semaphore 传送次数过多。
299 0x012B 只完成 Read/WriteProcessMemory 的部份要求。
317 0x013D 系统找不到位於讯息档 %2 中编号为 0x%1 的讯息。
487 0x01E7 尝试存取无效的位址。
534 0x0216 运算结果超过 32 位元。
535 0x0217 通道的另一端有一个行程在接送资料。
536 0x0218 等候行程来开启通道的另一端。
994 0x03E2 存取延伸的属性被拒。
995 0x03E3 由於执行绪结束或应用程式要求,而异常终止 I/O 作业。
996 0x03E4 重叠的 I/O 事件不是设定成通知状态。
997 0x03E5 正在处理重叠的 I/O 作业。
998 0x03E6 对记忆体位置的无效存取。
999 0x03E7 执行 inpage 作业发生错误。
1001 0x03E9 递回太深,堆叠满溢。
1002 0x03EA 视窗无法用来传送讯息。
1003 0x03EB 无法完成这项功能。
1004 0x03EC 旗号无效。
1005 0x03ED 储存媒体未含任何可辨识的档案系统。 请确定以载入所需的系统驱动 |
|