Загрузочный сектор, FSINFO, таблица FAT и записи каталогов FAT

Читайте о системных структурах файловой системы FAT: загрузочный сектор, FSINFO, таблица FAT и записи каталогов. Описание, размерность полей и интерпретация. Процесс поиска удаленных файлов состоит из обнаружения и интерпретации содержимого диска. Этой статьей мы откроем цикл, в котором расскажем, как найти и правильно «прочитать» системную информацию. Существует четыре версии FAT — FAT8, FAT12, FAT16 и FAT32. Мы проведем анализ FAT32 диска, расположенного на SD-карте памяти фотоаппарата.

Загрузочный сектор, FSINFO, таблица FAT и записи каталогов FAT

Логический диск под управление FAT32 можно разделить на 3 логических части, которые идут последовательно друг за другом:

  • Зарезервированная область;
  • Область FAT;
  • Область данных (содержит корневой каталог и содержимое файлов);
Структура данных FAT

Рис.1 Физическая структура FAT.

Система FAT очень проста и условно в ней можно выделить 4 структуры:

Перейти к просмотру
Флешка не работает с автомагнитолой, телевизором, TV приставкой, камерой, видеорегистратором 🛠️👨‍💻🤔

Флешка не работает с автомагнитолой, телевизором, TV приставкой, камерой, видеорегистратором 🛠️👨‍💻🤔

Загрузочный сектор

Загрузочный сектор занимает 1 сектор (чаще всего 512 байт) и располагается в первом секторе. Давайте рассмотрим подробнее его содержимое.

Смещение Размер Описание Обязательное
0 3 Ссылка на загрузочный код Нет
3 8 Метка ОС I Нет
11 2 Сколько байт в секторе Да
13 1 Сколько секторов в кластере II Да
14 2 Размер резервной области в секторах Да
16 1 Сколько копий FAT-таблицы Да
17 2 Сколько объектов в корневом каталоге III Да
19 2 Сколько секторов на диске IV Да
21 1 Метка носителя V Нет
22 2 Размер таблицы FAT в секторах III Да
24 2 Сколько секторов в дорожке Нет
26 2 Сколько головок Нет
28 4 Сколько секторов перед началом раздела Нет
32 4 Сколько секторов в кластере II Да
36 4 Размер таблицы FAT в секторах Да
40 2 Режим обновления VI Да
42 2 Номер версии Да
44 4 Кластер с корневым каталогом Да
48 2 Сектор с FSINFO Нет
50 2 Сектор с резервной копией
загрузочного сектора		 Нет
52 12 Резерв Нет
64 1 Номер диска Нет
65 1 Не используется Нет
66 1 Последовательность байт 0x29 VII Нет
67 4 Серийный номер тома Нет
71 11 Метка тома I Нет
82 8 Метка Нет
90 420 Резерв Нет
510 2 Последовательность байт 0xAA55 Нет

Таб.1 Структура загрузочного сектора FAT.

  • I В кодировке ASCII;
  • II Задается степенью 2;
  • III Использовалось для ранних версий FAT. Для FAT32 = 0;
  • IV Если количество секторов на диске больше 65535, используется поле по адресу 32;
  • V Для жестких дисков – 0xf8, для съемных – 0xf0;
  • VI Если бит 7 равен 1, активна только одна копия FAT, индекс которой определяется разрядами 0-3. В противном случае все структуры FAT являются зеркальными копиями друг друга;
  • VII Последовательность байт 0x29;

Информация из загрузочного сектора играет основополагающую роль в восстановлении удаленных файлов, поэтому его обнаружение чрезвычайно важно.

Перейти к просмотру
Восстановление файлов карты памяти фотоаппарата, телефона, планшета, видеокамеры, регистратора 📁🔥⚕️

Восстановление файлов карты памяти фотоаппарата, телефона, планшета, видеокамеры, регистратора 📁🔥⚕️

Структура FSINFO

Ссылка на начало структуры хранится в загрузочном секторе, размер составляет 1 сектор (обычно 512 байт). FAT использует FSINFO для алгоритма выделения свободных секторов диска.

Смещение Размер Описание Обязательное
0 4 Последовательность байт
0x41615252		 Нет
4 480 Резерв Нет
484 4 Последовательность байт
0x6147272		 Нет
488 4 Сколько свободных кластеров Нет
492 4 Следующий свободный кластер Нет
496 12 Резерв Нет
508 4 Последовательность байт
0xAA550000		 Нет

Таб.2 Структура данных FSINFO.

Поскольку FSINFO может не обновляться и все ее поля не обязательны, опираться на нее для извлечения данных мы не можем.

Таблица FAT

Файловая система может иметь несколько копий этой таблицы, точное количество таблиц и их размер указаны в загрузочном секторе. Обычно используется 2 копии, полностью дублирующие друг друга. Они располагаются последовательно, одна за другой, и имеют столько записей, сколько кластеров на диске.

В FAT32 структура состоит из записей размером 4 байта. Каждая запись соответствует кластеру на логическом диске и может принимать следующие значения:

  • 0x000 0000 – если кластер свободен;
  • 0x0fff fff7 – если кластер поврежден и не должен выделяться;
  • 0x0fff fff8 – если кластер завершает файл или каталог;
  • 0x000 0001 … 0x0fff fff6 – указатель на следующий кластер, занимаемый файлом или каталогом.

Чтение и анализ основной таблицы FAT и её копий позволяют выяснить, в каких кластерах хранится содержимое нужного файла.

Перейти к просмотру
NTFS, FAT32 или ExFAT для флешки, внешнего USB диска, как отформатировать без потери данных

NTFS, FAT32 или ExFAT для флешки, внешнего USB диска, как отформатировать без потери данных

Записи каталогов

Записи каталогов содержат имя, атрибуты файлов и каталогов, а также время создания, последнего доступа и редактирования объектов. Эта информация хранится в кластерах, выделенных родительскому каталогу, ссылку на который можно получить из загрузочного сектора.

Базовая структура (Simple File Name) поддерживает только короткие имена файлов (8 символов – имя и 3 символа – расширение). Для поддержки длинных имён файлов в добавление к базовой записи создаются дополнительные структуры (Long File Name). Записи LFN имеют размер 32 байта и предшествуют базовой записи.

Смещение Размер Описание Обязательное
0 1 Порядковый номер
или последовательность байт 0xe5 I, II		 Да
1 10 Первые 5 символов имени файла I Да
11 1 Последовательность байт 0x0f Да
12 1 Резерв Нет
13 1 Контрольная сумма Да
14 12 Следующие 6 символов имени файла I Да
26 2 Резерв Нет
28 4 Следующие 2 символа имени файла I Да

Таб.3 Структура записи каталога Long File Name.

  • I Имя файла хранится в Unicode;
  • II FAT заменяет первый символ имени файла на 0xe5, если он удален.

Для хранения длинного имени файла может использоваться несколько структур LFN. Чтобы получить полное имя, нужно сложить все эти структуры. После дополнительных следует базовая запись каталога размером 32 байта.

Смещение Размер Описание Обязательное
0 1 Первый символ имени файла I, II Да
1 10 Следующие 10 символов имени файла I Да
11 1 Атрибуты III Да
12 1 Резерв Нет
13 1 Десятые доли секунды времени создания Нет
14 2 Часы, минуты, секунды времени создания Нет
16 2 Дата создания Нет
18 2 Дата последнего обращения Нет
20 2 Старшие 2 байта ссылки на первый кластер Да
22 2 Часы, минуты, секунды времени модификации Нет
24 2 Дата модификации Нет
26 2 Младшие 2 байта ссылки на первый кластер Да
28 4 Размер файла Да

Таб.4 Структура базовой записи каталога FAT.

  • I Имя файла в кодировке ASCII;
  • II FAT заменяет первый символ имени файла на 0xe5, если он удален;
  • III Возможные атрибуты перечислены в таблице.
Значение Описание
0x01 Доступ только для чтения
0x02 Скрытый файл
0x04 Системный файл
0x08 Метка тома
0x0f Длинное имя файла
0x10 Каталог
0x20 Архивный файл

Таб.5 Атрибуты.

Из базовой записи можно восстановить атрибуты файла, время создания и редактирования, а также ссылку на первый кластер содержимого.

HEX редактор

Продукты компании Hetman Software имеют встроенный HEX редактор, который позволяет быстро найти и просмотреть содержимое загрузочного сектора и его копии, записи FAT-таблицы, корневого каталога и области данных. Подробнее о том, как использовать эти таблицы и алгоритмы восстановления диска FAT, читайте у нас в блоге.

Maxim Cherniga

Автор: , Технический писатель

С 1996 года начал интересоваться IT сферой, постепенно изучая и переводя свои интересы в профессиональное русло. В начале 2000-х был студентом компьютерной академии, где изучал администрирование, программирование и дизайн. В 2011 году получил высшее образование, защитив диплом по специальности «Художник компьютерной графики».

Michael Miroshnichenko

Редактор: , Технический писатель

Мирошниченко Михаил – одни из ведущих программистов в Hetman Software. Опираясь на пятнадцатилетний опыт разработки программного обеспечения он делится своими знаниями с читателями нашего блога. По мимо программирования Михаил является экспертом в области восстановления данных, файловых систем, устройств хранения данных, RAID массивов.

  • Обновлено:
  • Оценок:
  • 14
  • /
  • :

Поделиcь

Вопросы и ответы

  • Что такое FAT-структуры?

    FAT-структуры (File Allocation Table) - это способ организации файлов на диске. Он используется в операционных системах MS-DOS и Windows. Он хранит информацию о том, какие файлы и данные расположены на диске, а также о том, какие участки диска свободны. FAT-структуры также используются для хранения информации о размере, дате создания и модификации файлов.

  • Какова роль FAT-структур в функционировании файловой системы?

    FAT-структура является важным компонентом файловой системы, поскольку она используется для хранения информации о файлах и каталогах. Она предоставляет информацию, необходимую для навигации по файловой системе, а также служит для хранения метаданных, таких как имя файла, размер файла, даты создания и изменения.

  • Какие типы информации хранятся в FAT-структурах?

    FAT-структуры хранят информацию о разделах диска, файлах, папках, атрибутах файлов и дате и времени последнего изменения. Также хранятся индексы файлов, содержащие информацию о местоположении файлов на диске.

  • Каким образом FAT-структуры могут повлиять на производительность системы?

    FAT-структуры могут замедлить производительность системы в том случае, если они используются для хранения большого количества файлов. Файлы, хранящиеся в FAT-структурах, могут быть слишком большими или разбросаны по разным каталогам, что увеличивает время доступа к ним. Также FAT-структуры могут замедлять скорость чтения/записи файлов, так как они требуют, чтобы система сначала прочитала FAT-таблицу, чтобы найти нужные файлы.

  • Какие угрозы могут возникнуть при повреждении FAT-структур?

    1. Потеря данных: при повреждении FAT-структуры могут быть потеряны данные, хранящиеся на диске.

    2. Нарушение доступа к файлам: если FAT-структура повреждена, пользователи могут не иметь доступа к файлам, хранящимся на диске.

    3. Нарушение целостности файлов: если FAT-структура повреждена, то файлы, хранящиеся на диске, могут быть повреждены.

    4. Утечка секретной информации: при повреждении FAT-структуры существует риск утечки секретной информации, хранящейся на диске.

Комментарии (11)

  • Денис Кузьмин
    Денис Кузьмин 2.07.2015 01:33 #
    Какова причина возможности повреждения структуры FAT и какие могут быть последствия?
    Ответить
    • Hetman Software
      Hetman Software 2.07.2015 01:58 #
      Основная причина повреждения структуры FAT состоит в том, что файловая система FAT основана на нецелостной технологии, которая не предоставляет достаточной защиты от повреждения. Последствиями повреждения структуры FAT могут быть потеря данных, невозможность доступа к файлам, системным сбоям или даже полной потере файлов.
      Ответить
  • Семен Маслов
    Семен Маслов 1.07.2015 21:27 #
    Какие данные хранятся в таблице размещения файлов (File Allocation Table) структуры FAT?
    Ответить
    • Hetman Software
      Hetman Software 1.07.2015 21:52 #
      Таблица размещения файлов (FAT) структуры FAT хранит информацию о размещении файлов и папок на диске. Она представляет собой таблицу, которая содержит следующую информацию: имя файла, длину файла, дату создания, последнюю дату модификации, атрибуты файла, номер первого кластера, номер последнего кластера.
      Ответить
  • Руслан Сазонов
    Руслан Сазонов 1.07.2015 17:31 #
    Каким образом происходит форматирование диска для использования структуры FAT?
    Ответить
    • Hetman Software
      Hetman Software 1.07.2015 17:47 #
      Для форматирования диска для использования структуры FAT необходимо воспользоваться командой «Format». Эта команда предоставляет пользователю выбор типа файловой системы. После этого необходимо выбрать тип файловой системы FAT. Затем нужно задать размер кластера, который обычно равен 4 КБ. После этого необходимо указать, должны ли все файлы быть удалены с диска. Если указано «да», то форматирование начнется. В противном случае, форматирование не будет произведено.
      Ответить
  • Николай Васильев
    Николай Васильев 1.07.2015 15:30 #
    Что такое MBR и влияет ли он на структуру FAT?
    Ответить
    • Hetman Software
      Hetman Software 1.07.2015 15:47 #
      MBR (Master Boot Record) - это начальный сектор жесткого диска, в котором хранится загрузочная запись, информация о разделах диска, и другие системные данные. MBR не влияет на структуру FAT (File Allocation Table), хотя он может использоваться для запуска системы, которая работает с файловой системой FAT.
      Ответить
  • Даниил Симонов
    Даниил Симонов 1.07.2015 13:26 #
    Какие преимущества имеет структура FAT по сравнению с другими файловыми системами?
    Ответить
    • Hetman Software
      Hetman Software 1.07.2015 13:51 #

      1. Простота и доступность. FAT является одной из самых простых и доступных файловых систем, поэтому она является предпочтительной для различных устройств, включая USB-флешки, карты памяти, съемные жесткие диски и т.д.

      2. Поддержка различных операционных систем. FAT является универсальной файловой системой, которая поддерживается многими операционными системами, включая Windows, Mac OS, Linux, DOS и т.д.

      3. Высокая скорость работы. FAT является одной из самых быстрых файловых систем, поэтому она предпочтительна для устройств, требующих высокой скорости работы.

      4. Поддержка различных размеров файлов. FAT поддерживает файлы до 4 GB, что достаточно для большинства устройств.

      Ответить
  • Hetman Software: Data Recovery
    Hetman Software: Data Recovery 18.09.2017 10:06 #
    Если у вас остались вопросы про загрузочный сектор, FSINFO, таблицу FAT и записи каталогов FAT, задавайте их в комментариях.
    Ответить
Оставьте комментарий
User
Оставьте ответ
Ваш электронный адрес не будет опубликован. Необходимые поля отмечены *

Рекомендуем для вас
Этот сайт использует куки для улучшения вашего опыта. Описание
Вас приветствует ассистент Hetman Software, созданный на основе искусственного интеллекта.
Начать Чат