2.1.4 根據合理性判斷分區信息的正確性

2.1.4  根據合理性判斷分區信息的正確性

如果分區表被刪除或破壞，或者需要判斷現有的分區表是否存在問題時，可以根據其合理性進行判斷。

分區表損壞是經常遇到的故障之一。在這種情況下，我們需要找到磁盤內原來的分區布局結構，以便重寫分區表，進而獲得數據。

恢復分區時，可以利用軟件對某些文件系統的特征碼進行搜索來找到分區的起始位置(例如FAT文件系統的第一個扇區的第510字節和511字節分別為0x55和0xAA)。有的軟件是對每個扇區進行搜索來尋找特征碼，例如Winhex，這種搜索機制可以保證不遺漏任何可能存在的信息，但速度較慢。而有的軟件則只搜索整數柱面的位置，速度相對較快，例如FinalData。其原理是大多數分區機制是將同一柱面的扇區全部劃歸在同一個分區內，而不會將同一柱面的前一部分扇區劃歸一個分區，將其余的扇區劃分給另一個分區?；谶@種原理，卷信息或邏輯分區信息一定起始于某個柱面的起始處。

如果磁盤有過多次不同的分區操作，就會在磁盤上遺留下多個卷信息。經過軟件搜索后，這些信息都會呈現在我們面前。這時，我們需要判斷各個信息間的關系。分區間的關系通常會有如下幾種情況。

1．首尾相連

通常情況下，各個分區會首尾相接(如圖2.7所示)，我們可以利用一個分區的起始位置加上該分區的大小，得到下一分區的起始位置并從搜索到的信息中查找是否有這個起始位置信息，從而逐步將看似雜亂的各個搜索結果分離成組并將各個組串接成可能有用的布局關系。

2．分區間存在未分配空間

當然，也不排除會有分區與分區間存在未分配空間的情況(如圖2.8所示)。這時我們需要考慮以下幾種可能：

如果是根據現在的分區得到的布局結果，則應該考慮現有的分區表是否存在問題。

如果是搜索得到的結果，則應該考慮此處原來確實存在一個分區，但后來被覆蓋了卷信息。

還有一種情況就是這部分空間確實沒有被劃分為分區，我們應該考慮此處可能會被用戶利用來隱藏某些敏感數據。

3．分區交叉

如果根據現有的分區表得到某些不合理的布局，如圖2.9所示，分區1與分區2同時擁有一部分交叉空間，這就是不合理的。應該考慮現有的分區表可能已遭到破壞。

4．分區包含

但在有些情況下，我們必須根據實際情況進行判斷其合理性，如圖2.10所示，分區2包含在分區1中。大多數情況下這是不合理的，但在MAC操作系統下，HFS+卷通常會被封裝在一個HFS卷中，就會出現與圖2.10所示相似的情況。

提示：總而言之，對分區進行分析需要以了解文件系統為基礎，并根據實際情況進行分析。在后續的章節中，我們會詳細介紹有關分區及文件系統的知識。