“FAT16”是“File Allocation Table,16-bit”的英文缩写,意思是“文件分配表,16位” 。FAT16文件系统是从微软的DOS 3.0系统开始使用的,它能够支持大于16MB小于2GB的分区,Windows 2000以上操作系统可以创建4GB的FAT16分区,但与传统的FAT16不兼容。
FAT16文件系统由DBR、FAT1、FAT2、FDT、数据区五个部分组成,其结构如图所示。
DBR分析
DBR:Dos Boot Record。
DBR包括:跳转指令、OEM参数、BPB(BIOS Parameter Block,BIOS参数块)、引导程序、结束标志(55AA)。
FAT16文件系统DBR大小:512字节。
跳转指令3字节。
OEM参数8字节。
BPB共51字节。
引导程序448字节。
结束标志2字节。
在winhex中,依次点击【查看】-【模板管理器】-【Boot Sector FAT】-【应用】:
BPB分析
重点字段:
FAT16文件系统跳转指令固定为EB 3C 90,通过该跳转指令可知为FAT16文件系统(当然该字段也可能被篡)。EB 3C为跳转指令,从3C的下一个位置开始跳转3C个字节数。因此3C也是从90到BPB结尾的字节个数。
通过上述数据,分析如下:
则可通过winhex跳转到相应扇区,进行数据分析。数据区在根目录区后面,即数据区从56号扇区开始。
同时winhex上也自动计算出相关区域扇区号:
与手动计算一致。
引导扇区即为DBR。System Volume Information就是数据区的第一个文件夹。
