清水儿

《用WIN32程序探秘NTFS扇区存储》
          ——NTFS系统的基本特性、扇区分配、EFS加密、数据压缩、隐藏机密文件、数据恢复、数据属性分析

作者：宋群生  宋亚琼        作者主页：http://www.jnhdd.com

    全书分三篇，共计41章。第1章至第3章是“基础篇”，重点介绍了NTFS文件系统的性能和存储特点，同时也辅助性地介绍了FAT16和FAT32两种文件系统；第4章 至第29章是“工具篇”，介绍了笔者编写的工具程序；第30章至第41章是“探秘篇”， 使用工具程序对NTFS文件系统的扇区存储规律进行了探索。

      内容提要：

          本书主要内容包括：介绍NTFS文件系统优越的性能特征；介绍笔者为了探索NTFS文件系统的存储特点，编写的21个WIN32工具程序；使用笔者编写的WIN32工具程序，探秘NTFS文件系统的扇区存储规律。全书分三篇，共计41章。第1章至第3章是“基础篇”，重点介绍了NTFS文件系统的性能和存储特点，同时也辅助性地介绍了FAT16和FAT32两种文件系统；第4章至第29章是“工具篇”，介绍了笔者编写的工具程序；第30章至第41章是“探秘篇”，使用工具程序对NTFS文件系统的扇区存储规律进行了探索。
        本书可供从事数据恢复和硬盘维修的技术人员参考，也可供研究文件系统和进行扇区数据分析的技术人员参考。

       前言：

       NTFS文件系统在众多的磁盘文件系统中，是各项性能都比较优越的文件系统。它所具备的一些基本功能，集中体现了高效和安全两大特性。NTFS文件系统由于具有众多的优越性能，早年在服务器领域得到了广泛地应用。自从微软公司推出WINDOWS 2000和WINDOWS XP以来，在个人PC机上，NTFS文件系统也得到了迅速的普及。

    现在出版的涉及到NTFS文件系统的书籍，只是介绍了NTFS文件系统的优越性能，并没有揭示其在磁盘上的扇区存储规律。到目前为止，在有关NTFS文件系统的扇区存储方面，也没有发现比较系统全面的介绍资料。在互联网上找到的一些内容，也都是使用者的实践经验，而不是NTFS文件系统的设计者发表的官方资料。

    NTFS文件系统的设计者为什么不公开其扇区存储规律呢？这主要是从安全方面考虑的。因为公开了这些扇区存储规律，文件系统的许多保护机制，都能用修改硬盘物理扇区数据的方法进行修改，文件系统的安全保护功能就被削弱了。

    不过这是一把双刃剑，如果能够了解NTFS文件系统的扇区存储规律，就能在系统维护、数据恢复、开拓应用范围等方面，为操作者提供很多不可替代的方法和技巧。

    为了探索NTFS文件系统的扇区存储规律，笔者编写了21个WIN32工具程序，这些工具程序都收录在随书附送的光盘中。使用这些WIN32工具程序，可以对硬盘物理扇区进行各种操作，可以监测、分析扇区中的数据变化，从而发现NTFS文件系统的优越性能，是如何通过扇区数据存储实现的。

    这些工具程序虽然在本书中是用于探索NTFS的扇区存储规律，但是它们在磁盘扇区的读写与分析领域是具有通用性的。在探索其他文件系统的扇区存储规律方面、在修复系统参数和恢复硬盘数据方面，可以开拓更多的应用空间。

    本书用具体的演示实例，对21个WIN32工具程序的使用；对NTFS文件系统的基本特性；对NTFS文件系统的扇区分配；对NTFS文件系统的EFS加密；对NTFS文件系统的数据压缩；对修改位图数据隐藏用户的机密文件；对NTFS逻辑盘的数据恢复；对NTFS文件系统的数据属性，都进行了详细的分析和介绍。

    笔者对NTFS文件系统的扇区存储规律所进行的探索努力，可以为读者继续进行此项工作，起到一种启示和借鉴的作用。NTFS文件系统拥有众多的优越性能，完全揭示其扇区存储规律，还有待于更多技术分析人员的不懈努力。

    在对演示实例的操作与分析中，有很多内容是在其他的书籍和资料中找不到的。特别是笔者介绍的隐藏文件的方法、恢复EFS加密文件数据的方法、恢复NTFS压缩文件数据的方法，都是现有书籍中没有涉及到的领域。

    也正是因为在笔者探索的这些领域，可供借鉴的资料很少，所以书中在对NTFS文件系统的扇区存储规律进行逻辑推导时，可能会在推理过程中出现某些疏漏，敬请读者批评指正。读者的意见或建议可以通过电子邮件与笔者交流，笔者的电子邮箱是：jnsqsheng@163.com

笔者

2005年1月于济南

——————————————————————————————————————————

欢迎访问本书作者主页：  http://www.jnhdd.com

[ 本帖最后由 清水儿 于 2007-2-25 15:52 编辑 ]

清水儿

《用WIN32程序探秘NTFS扇区存储》
          ——NTFS系统的基本特性、扇区分配、EFS加密、数据压缩、隐藏机密文件、数据恢复、数据属性分析

作者：宋群生  宋亚琼        作者主页：http://www.jnhdd.com

目录：

前言

基础篇

    第1章FAT文件系统的数据结构

            1.1主引导记录

1.2主分区表

1.3分区引导记录

1.3.1FAT16文件系统的BPB表
1.3.2FAT32文件系统的BPB表

1.4文件分配表FAT

1.4.1扇区分簇管理
1.4.2簇链和文件检索过程

1.4.3FAT表扇区寻址

1.5文件目录表FDT

1.6数据区DATA

第2章FAT文件系统的扇区分配

2.1FAT16的扇区分配
2.2FAT16扇区寻址实例分析

2.3FAT32的扇区分配

2.4FAT32扇区寻址实例分析

第3章NTFS文件系统

3.1NTFS的磁盘管理功能
3.2NTFS的Unicode编码格式

3.3NTFS的扇区分配

3.4NTFS的系统引导特性

3.5NTFS的文件表结构

3.6NTFS的文件存储特性

3.6.1NTFS的驻留属性
3.6.2NTFS的非驻留属性

3.7NTFS的数据压缩特性

3.8NTFS的EFS加密特性

3.9NTFS的其他特性

工具篇

第1部分WIN32程序

第4章读硬盘扇区数据程序
第5章写硬盘扇区数据程序

第6章监视0磁道变化程序

第7章查看硬盘扇区数据程序

第8章连续扇区清零程序

第9章查找硬盘扇区特征程序

9.1NTFS文件系统扇区特征介绍
9.1.1BOOT扇区
9.1.2DOS文件名

9.1.3长文件名

9.1.4扇区字符串

9.1.5汉字文件名

9.2工具程序的使用方法

第10章查找汉字文件名程序

第11章读扇区拷贝文件程序

第12章剪切文件程序

第13章备份系统扇区数据程序

第14章查看扇区文件数据程序

第15章文件字节比较程序

第16章修改扇区文件数据程序

第17章数制转换程序

第18章监测扇区数据变化程序

第19章即时修改扇区数据程序

第20章拷贝文件数据块程序

第21章查找扇区字段值程序

第22章写隐藏文件数据程序

第23章备份宽字符文件名程序

第24章提取文件扇区数据程序

第2部分16位程序

第25章读扇区文件程序READSF.EXE
第26章修改文件字节值程序SEDIT.EXE

第27章文件块拷贝程序SBLOCK.EXE

第28章剪切文件程序CUTFILE.EXE

第29章文件字节比较程序COMPSF.EXE

探秘篇

第30章改变NTFS逻辑盘的ID属性
第31章查找每簇扇区数的字段记录

第32章查找标记MFT地址的字段记录

第33章查找标记MFT镜像位置的字段记录

第34章读物理硬盘恢复一个run的文件数据

34.1实验演示前的准备工作
34.2查找MFT文件表

34.3查找并计算MFT表中的字段记录

34.4读硬盘物理扇区恢复文件数据

第35章读物理硬盘恢复多个run的文件数据

35.1查找第1 个run
35.2查找第2 个run

35.3查找第3 个run

35.4读硬盘物理扇区恢复文件数据

第36章读物理硬盘恢复误删除文件

第37章读物理硬盘恢复格式化逻辑盘文件

第38章修改Bitmap扇区实现文件隐藏

38.1隐藏文件前的准备工作
38.1.1将逻辑盘的扇区清零
38.1.2格式化逻辑盘

38.2隐藏文件的可行性试验

38.2.1查找位图文件的MFT记录
38.2.2确定位图文件数据区地址

38.2.3修改位图文件的扇区数据

38.2.4文件系统对修改数据的反映

38.3位图与扇区地址的对应关系

      38.3.1提取位图文件数据区的扇区特征

38.3.2确定试验文件数据的存储地址

38.3.3查找位图数据被修改的字节位

38.3.4推导通用的计算公式

38.4隐藏文件实战演示

第39章恢复EFS加密文件

39.1准备实验用的文件和数据
      39.1.1查找文件的MFT记录

      39.1.2分析MFT记录的字段值

39.2观察EFS加密后的数据变化

      39.2.1对文件进行EFS加密

            39.2.2比较加密前后的MFT记录

39.3读物理扇区备份密文数据和FEK记录

39.3.1备份密文数据
39.3.2备份FEK密钥记录

39.4导出用户对FEK进行加密的私钥

39.4.1在IE浏览器中导出
39.4.2在控制面板中导出

39.5移植密文数据和FEK到另一块硬盘

39.5.1复制密文数据文件并查找MFT
39.5.2移植FEK密钥

39.6移植MFT记录让系统承认加密文件

39.7导入原用户的EFS加密私钥

39.8实际操作中的几个系统数据问题

39.8.1每簇包含的扇区数
39.8.2逻辑盘的起始扇区号

39.8.3如何取得文件全名

39.8.4如何取得含有汉字的文件名

第40章解读压缩文件MFT的数据属性

40.1设置演示操作的磁盘环境
40.2确定位图文件数据存储地址

40.2.1查找位图文件的MFT记录
40.2.2确定位图文件数据区地址

40.3设置演示操作的文件实例

40.3.1查找实验文件的MFT记录
40.3.2备份位图文件的扇区存储现场

40.4保存位图文件数据的扇区特征

40.5压缩文件并备份MFT记录

40.6检测并备份压缩后的位图扇区数据

40.7备份压缩后变化的位图扇区数据

40.8提取压缩前的位图扇区数据

40.9解读压缩文件的MFT数据属性

      40.9.1压缩前后数据在存储地址上的变化情况

      40.9.2计算系统分配给压缩数据的逻辑簇号

40.10读扇区备份压缩文件数据

第41章移植压缩数据恢复压缩文件

41.1制造模板文件
41.2查找模板文件压缩后的MFT记录

41.3计算数据属性中的扇区地址

41.4写入压缩数据


欢迎访问本书作者主页：http://www.jnhdd.com

[ 本帖最后由 清水儿 于 2007-2-8 12:05 编辑 ]

清水儿

《用WIN32程序探秘NTFS扇区存储》
          ——NTFS系统的基本特性、扇区分配、EFS加密、数据压缩、隐藏机密文件、数据恢复、数据属性分析

作者：宋群生  宋亚琼        作者主页：http://www.jnhdd.com

                           工  具  篇



本篇提供了笔者编写的26个工具程序，分为两部分介绍这些程序的功能和使用方法，这些工具程序全部收录在随书附送的光盘中。第一部分介绍21个WIN32程序，用来对物理硬盘扇区进行读写、查找扇区特征以及处理扇区数据的备份文件。这也是本书探秘NTFS文件系统的扇区存储规律时，必须使用的工具程序。第二部分介绍5个DOS下运行的16位程序，作为对WIN32程序的补充。

对物理硬盘扇区进行读写的方法，基本上有两种。

第一种方法是在16位应用程序中，使用INT13H中断，调用BIOS磁盘服务程序，对硬盘扇区进行读写。使用这种方法的应用程序，一般只能在DOS实模式下运行，因为32位的WINDOWS操作系统屏蔽了INT13H中断功能。在笔者所写的另一本书中，曾经对这种方法进行过详细介绍，书名为《硬盘扇区读写技术━━修复硬盘与恢复文件》，已由机械工业出版社出版。在该书中提供了笔者编写的20多个类别，共计40多个工具程序。

    第二种方法是在WIN32应用程序中，通过调用WINDOWS API函数CreateFile()，对硬盘扇区进行读写。使用这种方法的应用程序，可以运行在NT内核的操作系统中，如WINDOWS 2000操作系统等。但是这一类的应用程序，不能在WINDOWS 9X内核的操作系统中运行，这是因为函数CreateFile()打开磁盘的功能，在WINDOWS 9X中不被支持的缘故。

    本书介绍的是第二种方法，所有的WIN32程序都在WINDOWS 2000下编译连接，可以运行在WINDOWS 2000和WINDOWS XP操作系统中。

    除了这两种基本的方法以外，还有另外的一种方法，可以在WINDOWS 9X内核的操作系统中，实现对物理硬盘扇区的读写。因为本书的主题是探秘NTFS文件系统的扇区存储规律，运行有关的工具程序时，其操作平台应该能够识别NTFS文件系统。而WINDOWS 9X内核的操作系统不能识别NTFS文件系统，所以笔者在编写工具程序时，没有使用这一种方法。

    目前对硬盘进行各种操作的应用软件很多，是否还有必要使用这些功能比较单一的工具程序呢？笔者解释一下工具程序与应用软件的区别，应用软件的功能被限定在编程者的思维框架之内，有很大的局限性。硬盘出现的引导和逻辑故障五花八门，文件和数据丢失的具体情况各种各样，应用软件很难满足所有的需要。同时使用者并不了解编程者的思路，在使用中具有很大的盲目性。
    因为软件是人编写的，软件本身没有智能、没有思维，它永远不可能超越人的大脑。在处理具体的硬盘故障时，除了借助于软件对硬盘进行操作外，还必须配合操作者的分析判断，才能快速准确地找到故障，达到修复硬盘或恢复数据的目的。
    工具程序则不同，它只是授予操作者一种方法。操作者使用这种方法，就能透明地观察硬盘扇区数据，然后再运用自己大脑的思维活动，去准确地判断故障所在。这就给了操作者最大的发挥自己的灵感和想像力的空间，是应用软件无法比拟的。

欢迎访问本书作者主页：http://www.jnhdd.com

[ 本帖最后由 清水儿 于 2007-2-25 15:50 编辑 ]

清水儿

《用WIN32程序探秘NTFS扇区存储》
          ——NTFS系统的基本特性、扇区分配、EFS加密、数据压缩、隐藏机密文件、数据恢复、数据属性分析

作者：宋群生  宋亚琼        作者主页：http://www.jnhdd.com


第1部分  WIN32程序



这一部分介绍21个WIN32工具程序，这些工具程序概括起来讲，主要有三项功能。

第一项功能是读写物理硬盘的扇区数据，包括将扇区数据保存到文件中进行备份，或是将先前备份到文件中的数据写回到扇区中去。

    第二项功能是根据操作者的设定，查找物理硬盘中具有某些特征的扇区地址，如系统引导扇区、存储某一文件名的扇区、具有某些字段值的扇区等。

第三项功能是处理文件中的数据，如对两个文件的内容进行比较、对文件中的字节数据进行修改、将一个大文件剪切到指定的字节数等。

    这21个WIN32工具程序，虽然在本书中是为了探索NTFS的扇区存储规律而编写的，但是这些程序具有通用性，它们可以更广泛地应用于其他领域。因为计算机中的所有数据，不管是操作系统的、文件系统的、还是用户的，最后都是以磁介质的形式存储在物理磁盘上。所以只要掌握了对磁盘扇区基本的读写与分析方法，就能不受操作系统和文件系统的限制，开拓更多的应用空间。

    为了使读者能正确地运行和使用这些工具程序，现将它们的主要特点和运行注意事项列举如下：

    1．每个工具程序只具备一项，或至多几项功能。这样能使操作者有目的地使用工具程序，去解决某一个具体问题。对于一些扇区操作不太熟练的读者，功能比较单一的程序，使用时更容易上手。

    2．笔者在编写工具程序时，尽量使程序界面具有“操作向导”式的显示风格，这样能引导操作者一步一步地循序操作。

    3．工具程序不同于公开发表的成品软件，它只具备基本功能，而一些检测、异常处理、软件保护等功能没有设置。这样处理的目的，是使程序运行时简捷、高效。因为任何附加功能，都要增加程序的运行开销。

    4．由于程序中省略了一些附加功能，所以操作者在运行程序时，必须按照要求进行正确地操作。如果操作失误，可能会造成一些不良后果，具体有以下几个方面：

    ●在将扇区数据保存到文件中进行备份时，输入的文件名要保证在当前目录中是唯一的。如果当前目录中还有其他的同名文件，则原来的文件将会被破坏。因为将数据保存到文件时，是以“写”方式打开文件，这种方式是按照新建立的文件写入数据，原来的数据就被覆盖掉了。

    ●输入文件名时，文件名连同其全路径所使用的字符数不要太多，一般限制在40个字符以下即可，最好是在根目录下运行工具程序并建立文件。因为笔者在编写程序的源代码时，定义的数组下标值不是太大。如果下标值越界，程序运行可能失败。

    ●在输入某些由操作者设定的参数时，一定事先了解该项参数的取值范围，如硬盘编号和扇区编号等。如果超过了取值范围，程序本身虽没有提示功能，但操作系统可能会发现错误并作出提示，不过这种提示一般不能确切地说明错误的实质。

    工具程序中读写扇区数据时，是使用线性寻址方式对扇区进行定位的，线性寻址方式的有关规定如下：

    1．物理硬盘是用其编号来识别的，起始号为“0”。一般情况下，都将硬盘的跳线设置在主盘的位置。这时接在第一IDE口上的是“0”号硬盘；接在第二IDE口上的是“1”号硬盘；如果还接有SCSI硬盘，则其编号为“2”。需要说明的是，硬盘的编号是由主板BIOS程序进行识别的。接在同一位置的硬盘，不同的主板BIOS，可能赋予它不同的编号。

    2．物理扇区的地址是用其线性编号来识别的，起始号为“0”。这种寻址方式与硬盘分区和逻辑驱动器无关，从“0”开始一直编到最后一个扇区，是由BIOS磁盘服务程序管理硬盘时虚拟的。

    3．每个扇区中，包含512个字节。字节在扇区中的地址，是用字节位移来标识的，其起始号为“00H”，写成十六进制的形式。这种寻址方式在编程时比较好用，但在观察和寻找扇区中的字段值时，感觉不太方便。

    为此笔者在编写程序时，将对话框中显示的扇区字节从“1”开始编号，一直编到扇区中的最后一个字节。这样每行显示16个字节，一共显示32行。在查找扇区中某一个字节的位置时，就与编号统一起来了，并且在排列上感觉很有对称性。

为了使读者在分析扇区数据时有一个参考的对象，笔者将自己所用的计算机作为标本，进行各种扇区字段的分析和有关数据计算。

    笔者使用的计算机上挂接了两块硬盘，都是西部数据公司生产的。一块容量是6.2GB，接在第一IDE口上，硬盘编号是“0”；另一块容量是40GB，接在第二IDE口上，硬盘编号是“1”。


欢迎访问本书作者主页：http://www.jnhdd.com

[ 本帖最后由 清水儿 于 2007-3-3 14:14 编辑 ]

清水儿

《用WIN32程序探秘NTFS扇区存储》
          ——NTFS系统的基本特性、扇区分配、EFS加密、数据压缩、隐藏机密文件、数据恢复、数据属性分析

作者：宋群生  宋亚琼        作者主页：http://www.jnhdd.com


第4章  读硬盘扇区数据程序



本章介绍的工具程序，能根据操作者指定的扇区号，将扇区数据读出，并以十六进制的形式，将字节值显示在对话框中。还能根据操作者指定的文件名，将扇区数据存入文件中进行备份。
    用鼠标双击可执行文件名“读硬盘扇区数据.EXE”，程序运行后的主窗口初始界面如图4-1所示。

图4-1

    在图4-1的程序界面中，编辑框里输入硬盘的编号，然后点击“硬盘确定”按钮，程序转入下一个界面，如图4-2所示。
    在输入硬盘的编号时，一定要了解想操作的是哪一块硬盘。以笔者使用的计算机为例，如果想操作的是接在第二IDE口上的，也就是那块40GB的硬盘，则在编辑框中输入“1”。如果想操作的是接在第一IDE口上的，也就是那块6.2GB的硬盘，则在编辑框中输入“0”。如果读者使用的计算机中只有一块硬盘的话，则不管它接在哪个IDE口上，都在编辑框中输入“0”即可。

图4-2

    在图4-2的程序界面中，编辑框里输入需要读取的扇区号。这里要注意的一个问题是，此处输入的扇区号是线性寻址所使用的扇区编号，起始号为“0”。初次进行扇区操作的读者，在这个问题上很容易发生错误。举例来说，如果想读取0磁道第1个扇区的主引导记录，则第1个扇区的扇区号应该是“0”，而不是“1”。
    假设需要读取的就是“0”号扇区，在编辑框中输入“0”，然后点击“扇区确定”按钮，程序转入下一个界面，如图4-3所示。

图4-3

    在图4-3的程序界面中，编辑框里输入存储扇区数据的备份文件名。输入文件名可以用两种方法，既可以敲击键盘直接输入，也可以点击编辑框右边的“浏览”按钮，打开存储对话框进行选择。
先介绍键盘输入的操作方法。使用键盘输入文件名时，如果不加路径，则文件建立在执行程序的当前目录中。如果在文件名前加入存储文件的路径，则必须保证逻辑驱动器的盘符和目录名必须存在。否则在后面存储数据的操作中，会出现一个错误提示对话框，程序运行失败。错误提示界面如图4-4所示。

图4-4

    图4-4中的错误提示对话框，并不是在工具程序中设置的，而是在发现存储数据时发生路径错误以后，由操作系统作出的提示。
    后面章节中介绍的所有程序，凡是输入文件名发生路径错误时，都会出现如图4-4的错误提示。
    操作者在正确输入路径和文件名以后，点击“文件确定”按钮，程序转入下一个界面，如图4-5所示。

图4-5
    在图4-5的程序界面中，点击“读取数据”按钮，程序将指定扇区的数据读出，并将数据存入指定的文件中。同时打开一个对话框，将扇区中512个字节值以十六进制的形式，显示在对话框中。程序的运行界面如图4-6所示。

图4-6

    在图4-6的程序界面中，弹出的对话框里每行显示16个字节数据，总共显示32行。
    在图4-6主窗口的编辑框中，还出现了一个5位数“10084”，编辑框上面的提示是“字节算术累加和”，现在重点解释一下程序的这项功能。
    分析扇区数据的过程当中，经常需要观察扇区是否发生了写操作。如果将扇区中的512个字节逐一进行比较，则费时费力，对操作者来讲是一件很繁重的工作。
在程序中使用这种“字节算术累加和”的监测功能，就能很直观地看出扇区数据是否被改动。当发现两次计算的累加和不一致时，说明扇区数据被改动了。然后再仔细查看每一个字节的值，或是运行“文件字节比较.EXE”程序，将前后两次备份的扇区文件进行比较，就能发现哪些字节被写入了新的数据。这是一个快速实用的监测方法，读者在实际操作中很快就能体会到它的方便之处。
    现在再介绍另一种输入文件名的方法。在图4-3的程序界面中，点击编辑框右边的“浏览”按钮，程序转入下一个界面，如图4-7所示。

图4-7

    在图4-7的程序界面中，弹出一个保存文件对话框。在上面的“保存在”编辑框中选择逻辑驱动器的盘符；在中间的编辑框中选择存储目录；在下面的“文件名”编辑框中输入建立的文件名。然后点击“保存”按钮，程序转入下一个界面，如图4-8所示。

图4-8

    在图4-8的程序界面中，编辑框里出现了带有路径的文件名，然后点击“文件确定”按钮，程序转入图4-5所示的界面。接下来的操作与前面所讲过的相同，不再赘述。
从图4-8中可以看出，文件起名为“SECTOR”，存储在E盘的根目录下。建立的这个文件中，存储的是硬盘主引导记录所在扇区的数据，其中也包含主分区表。在《基础篇》中曾经讲过，该扇区数据在系统引导过程中，具有非常重要的作用。如果日后硬盘出现引导故障时，就可以使用写扇区工具程序，把保存在文件中的数据再写回到原来的扇区中去，覆盖掉错误的数据，就能使硬盘恢复如初。
    保存扇区数据的文件应该在其他的存储设备上有另外的备份，因为当硬盘不能引导时，硬盘上的文件也就读不出来了。如果计算机中有两块硬盘，可以采用交叉备份的方法。即在“0”号硬盘上备份“1”号硬盘的引导扇区数据，在“1”号硬盘上备份“0”号硬盘的引导扇区数据。
    也可以用写扇区工具程序，将文件中的数据写入0磁道的2-63扇区中进行保存。在《基础篇》中曾经讲过，系统的引导数据只使用第1扇区，其他的62个扇区弃之不用。当硬盘出现引导故障时，将数据读出来再写入第1扇区，就能修复硬盘，这种方法比在文件中保存数据更加可靠。
    当程序运行到图4-6的界面时，如果想结束程序运行，可以点击“退出”按钮；如果想继续读取其他扇区的数据，可以点击“刷新”按钮，程序将转到图4-1的初始界面。


欢迎访问本书作者主页：http://www.jnhdd.com

[ 本帖最后由 清水儿 于 2007-3-3 14:18 编辑 ]