使用winhex对fat16文件系统分析

最新推荐文章于 2025-10-25 16:30:25 发布
原创 最新推荐文章于 2025-10-25 16:30:25 发布 · 2.1k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #linux #运维

本文介绍了FAT16文件系统的组成部分,包括DBR、FAT、FDT和数据区,并详细讲解了如何在Winhex中利用BPB字段进行分析。通过跳转指令EB 3C 90确认文件系统类型,并解析DBR结构,指出数据区从56号扇区开始。

“FAT16”是“File Allocation Table,16-bit”的英文缩写,意思是“文件分配表,16位” 。FAT16文件系统是从微软的DOS 3.0系统开始使用的,它能够支持大于16MB小于2GB的分区,Windows 2000以上操作系统可以创建4GB的FAT16分区,但与传统的FAT16不兼容。
FAT16文件系统由DBR、FAT1、FAT2、FDT、数据区五个部分组成,其结构如图所示。
在这里插入图片描述
DBR分析
DBR:Dos Boot Record。
DBR包括:跳转指令、OEM参数、BPB(BIOS Parameter Block,BIOS参数块)、引导程序、结束标志(55AA)。
FAT16文件系统DBR大小:512字节。
跳转指令3字节。
OEM参数8字节。
BPB共51字节。
引导程序448字节。
结束标志2字节。
在这里插入图片描述
在winhex中,依次点击【查看】-【模板管理器】-【Boot Sector FAT】-【应用】:
在这里插入图片描述
在这里插入图片描述

BPB分析

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
重点字段:
在这里插入图片描述
FAT16文件系统跳转指令固定为EB 3C 90,通过该跳转指令可知为FAT16文件系统(当然该字段也可能被篡)。EB 3C为跳转指令,从3C的下一个位置开始跳转3C个字节数。因此3C也是从90到BPB结尾的字节个数。

在这里插入图片描述
通过上述数据,分析如下:
在这里插入图片描述
则可通过winhex跳转到相应扇区,进行数据分析。数据区在根目录区后面,即数据区从56号扇区开始。
同时winhex上也自动计算出相关区域扇区号:
在这里插入图片描述
与手动计算一致。
引导扇区即为DBR。System Volume Information就是数据区的第一个文件夹。

FAT16介绍与结构
qq_53318766的博客
11-08 1442
计算过程:一个扇区有512个字节,两个字节为一个簇,512/2=256,一个FAT扇区有256个簇,FAT表大小为256个扇区,则一个FAT表有256*256=65536个簇,每簇扇区数为64,一个簇有64个扇区,一个扇区有512个字节,那么两个扇区就是1KB了,64个扇区是32KB,65536*32=2097152KB=2048MB=2GB。FAT1:FAT文件分配表,FAT16有两份FAT表,FAT1是第一份,是主要FAT。DBR类似于目录,这个目录有很多重要的信息,可以带我们跳转到指定的位置。
WinHex软件解析FAT32文件系统
热门推荐
考拉研究僧的博客
10-16 1万+
WinHex软件解析FAT32文件系统准备工作:将一个U盘格式化为FAT32格式,在U盘内创建几个文件,最好是TXT文档,其中至少有一个是长文件(命名较长)。补充知识:短文件名表示长文件名表示当一个文件名为长文件名时,会由几个长文件名表示法和一个缩略名的短文间名表示,并且其文件大小以及首簇号等信息存放在短文件内开始解析(1)U盘信息:保留扇区:2226;文件目录首簇号:2;FAT表大小 :1527
winhex查看FAT32文件系统并分析
06-22
利用WINHEX查看FAT系统的过程,基础的
fat16文件系统
01-07
支持单片机上运行的fat16文件系统,可用
WinHex专业级十六进制编辑与数据恢复工具详解
最新发布
weixin_35757191的博客
10-25 494
WinHex是一款基于十六进制的底层数据编辑与分析工具,采用C++编写,具备直接访问物理存储设备的能力。其内核支持Windows驱动级接口(如),可对硬盘、U盘、内存镜像等进行只读或读写操作。架构上分为三大模块:十六进制编辑引擎文件系统解析器(支持FAT/NTFS/exFAT)和取证分析组件,支持通过API扩展功能。在数据恢复中,WinHex常用于手动重建被删除文件的簇链;在数字取证领域,可通过搜索关键词、正则表达式或文件签名提取证据;在信息安全。
FAT16文件系统
Gampt
07-04 1721
原文地址:FAT16文件系统作者:yoyoone1.基本知识 扇区:每个磁道被分为若干个弧段,这些弧段就是扇区。通常情况下,每个扇区512个字节。 簇:FAT将磁盘空间按一定数目的扇区为单位进行划分,这样的单位称为簇。簇的大小一般为2的N次方。   2.FAT16表的组织形式     使用FAT文件系统必须具有几个部分:保留区,存放FAT文件系统的重要参数和引导程序;FAT表,记录簇的使用情况
四极管:转 FAT16 文件系统
杨琦(四极管)
09-05 1129
解析FAT16文件系统   引导扇区的信息如下:   1.  偏移地址00H,长度3,内容:EB 3C 90 跳转指令。 2.  偏移地址03H,长度8,内容:4D 53 44 4F 53 35 2E 30 为厂商标志和os 版本号,这里是MSDOS5.0。 3.  偏移地址0BH,长度2,内容:00 02。注意这里数据的布局,高地址放高字节,低地址放低字节(数据为小端格式组织),所以
fat32文件系统分析工具
02-13
本文将深入探讨FAT32文件系统,介绍一款名为“fat32文件系统分析工具”的实用软件,并结合提供的WinHex、ATTO Disk Benchmark等工具,解析其在存储稳定性测试和文件系统优化中的应用。 FAT32,全称为File ...
winhex数据恢复FAT16文件系统.pdf
11-05
Winhex 的数据恢复功能可以对 FAT16 文件系统进行深入的分析和恢复。 Winhex 数据恢复 FAT16 文件系统是一种复杂的过程,需要对 FAT16 文件系统结构和工作机理有深入的了解。通过对 FAT16 文件系统的详细介绍和 ...
利用WinHex分析FAT32文件系统文件簇链
WinHex文件系统分析、数据恢复和取证调查方面表现出色,尤其适用于专业用户和IT专家。 - **查看FAT32文件系统并分析**:FAT32是微软设计的一种文件系统格式,广泛应用于各类存储设备中,比如USB闪存驱动器、外部...
winhex分析fat32
04-02
使用Winhex,可以分析FAT32文件系统,了解文件系统的结构和组织方式。 学习FAT32文件系统 学习FAT32文件系统需要了解其结构和组成部分,包括Reserved Region、FAT Region和Data Region。同时,了解FAT32 ...
WINHEX数据底层分析工具
12-06
强大 好用的数据分析工具,适用于数据恢复行业朋友,各种逻辑故障、RAID都好使!
基于EEPROM的FAT16文件系统(原创)
06-28
文件系统使用EEPROM作存储介质,提供了基于FAT16文件操作,具有FileFormat,FileOpen,FileClose,FileRead,FileWrite,FileDel,FileGetSize,FileSeek等操作,已正常用于作者的数个项目中,现授权优快云的注册用户免费使用
FAT16文件系统结构简述
分享空间
01-08 1万+
近一个礼拜为解决项目中的一个BUG而学习了一点新知识。大致总结出来和有兴趣的朋友分享学习一波。 这个 BUG是这样的,当系统将采集到的数据存到SD卡中时,未知问题导致单片机卡死在写数据到SD卡过程中某个段点,超过看门狗喂狗时间,最终导致整个系统重启。在本系统中写数据到SD用到了FAT文件系统相关知识,想要找到代码中的BUG第一步当然是了解这个FAT文件系统是怎么回事。所以我决定重学FAT文件系统
解析FAT16文件系统
weixin_34208283的博客
06-02 727
引导扇区的信息例如以下: 1.  偏移地址00H,长度3,内容:EB 3C 90 跳转指令。2.  偏移地址03H,长度8。内容:4D 53 44 4F 53 35 2E 30 为厂商标志和os 版本号号,这里是MSDOS5.0。3.  偏移地址0BH,长度2,内容:00 02。注意这里数据的布局,高地址放高字节,低地址放低字节(数据为小端格式组织),所以数据应该是0200,即512。表示的意...
使用winhex查看FAT16格式结构
IOsetting的专栏
10-04 2465
winhex介绍 winhex可以直接查看磁盘二进制信息, 可以比较直观地查看到各种文件系统格式的区别. winhex使用 查看硬盘要管理员权限, 即启动的时候要用邮件管理员权限启动 点击Tools->Open Disk查看硬盘 磁盘浏览界面字体如果太小, 可以在Option->General->Font(右下角)调整 View->Show->Data Inter...
fat16 文件系统的结构
cassie_huang的博客
03-15 8817
1.引言 FAT文件系统在Windows比较常见,相对于ext系统而言,也比较简单。是学习文件系统的切入点。 2.FAT16的基本结构 首先先了解下FAT16文件系统的基本结构依次为:DBR扇区、FAT表1、FAT表2、根目录和数据区。 DBR扇区:DBR是操作系统可以直接访问的第一个扇区,包括一个引导程序和一个称为BPB的本分区参数记录表。引导程序的主要任务是当MBR将系统控制权交给
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值