“FAT16”是“File Allocation Table,16-bit”的英文縮寫,意思是“文件分配表,16位” 。FAT16文件系統(tǒng)是從微軟的DOS 3.0系統(tǒng)開始使用的，它能夠支持大于16MB小于2GB的分區(qū)，Windows 2000以上操作系統(tǒng)可以創(chuàng)建4GB的FAT16分區(qū)，但與傳統(tǒng)的FAT16不兼容。
FAT16文件系統(tǒng)由DBR、FAT1、FAT2、FDT、數(shù)據(jù)區(qū)五個(gè)部分組成，其結(jié)構(gòu)如圖所示。

DBR分析
DBR：Dos Boot Record。
DBR包括：跳轉(zhuǎn)指令、OEM參數(shù)、BPB（BIOS Parameter Block，BIOS參數(shù)塊）、引導(dǎo)程序、結(jié)束標(biāo)志（55AA）。
FAT16文件系統(tǒng)DBR大小：512字節(jié)。
跳轉(zhuǎn)指令3字節(jié)。
OEM參數(shù)8字節(jié)。
BPB共51字節(jié)。
引導(dǎo)程序448字節(jié)。
結(jié)束標(biāo)志2字節(jié)。

在winhex中，依次點(diǎn)擊【查看】-【模板管理器】-【Boot Sector FAT】-【應(yīng)用】：

BPB分析

重點(diǎn)字段：

FAT16文件系統(tǒng)跳轉(zhuǎn)指令固定為EB 3C 90，通過該跳轉(zhuǎn)指令可知為FAT16文件系統(tǒng)（當(dāng)然該字段也可能被篡）。EB 3C為跳轉(zhuǎn)指令，從3C的下一個(gè)位置開始跳轉(zhuǎn)3C個(gè)字節(jié)數(shù)。因此3C也是從90到BPB結(jié)尾的字節(jié)個(gè)數(shù)。

通過上述數(shù)據(jù)，分析如下：

則可通過winhex跳轉(zhuǎn)到相應(yīng)扇區(qū)，進(jìn)行數(shù)據(jù)分析。數(shù)據(jù)區(qū)在根目錄區(qū)后面，即數(shù)據(jù)區(qū)從56號(hào)扇區(qū)開始。
同時(shí)winhex上也自動(dòng)計(jì)算出相關(guān)區(qū)域扇區(qū)號(hào)：

與手動(dòng)計(jì)算一致。
引導(dǎo)扇區(qū)即為DBR。System Volume Information就是數(shù)據(jù)區(qū)的第一個(gè)文件夾。

總結(jié)

以上是生活随笔為你收集整理的使用winhex对fat16文件系统分析的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。