分析FAT32內部結構-入門篇-

FAT32(File Allocation Table)是一種32位的FAT檔案系統，微軟在1996年8月發布，

FAT32的數字32是下面會講到的FAT中每個表項的長度，

磁盤（硬碟）是資料的載體，而檔案系統則是將這些資料以某種合理的結構組織起來方便作業系統的管理，

借此文分析一下微軟的FAT32檔案系統格式：（本文分析的FAT32磁區是D盤，大小為128MB！環境為VMware虛擬機下的XP系統！）

FAT32由4個部分組成，分別是DBR,FAT1,FAT2和DATA，如圖：

DBR：該磁區的引導程式，在DBR的結尾部分會有一些重要的保留扇區（這些保留扇區屬于DBR，圖中未畫出）

FAT1：FAT的首要檔案分配表

FAT2：檔案分配表的備份

DATA：資料區（最小單位為簇(cluster)，一般2個扇區為1簇，是微軟規定的一種磁盤存盤單位，與Linux的block概念類似）

FAT32的DBR結構圖：

紅色：跳轉指令，將當前執行流程跳轉到引導程式處，占2位元組，對應匯編JUMP 58H; NOP;

藍色：OEM代號，由創建該檔案系統的廠商規定，占8位元組，一般為”MSDOS5.0”

綠色：BPB(BIOS Paramter Block)，從DBR的第12個位元組開始共占用79位元組，記錄了檔案系統的重要資訊，相關欄位引數見下表

粉紅色：DBR引導程式，如果該磁區沒安裝作業系統那么這段程式是沒用的

黃色：DBR結束標記

FAT32檔案系統在DBR的保留扇區中有一個檔案系統資訊扇區，用以記錄資料區中空閑簇的數量及下一個空閑簇的簇號，該扇區一般在磁區的LAB1扇區，也就是緊跟著DBR后的一個扇區，其內如下：

褐色：擴展引導標簽，為52 52 61 41，ASCII為”RRaA”

青色：檔案系統資訊簽名，為72 72 41 61，ASCII為”rrAa”

藍色：空閑簇的數量，(1FBB0)=129968，每個簇1K，約等于127MB，即D盤的大小

紫色：下一個空閑簇的簇號

黃色：結束標記

其他位元組：不使用，填充0

由于FAT緊跟在DBR的保留扇區之后，所以定位到最后一個保留扇區，那么下一個扇區就是FAT啦！

在上面的DBR圖中可以找到保留扇區的個數為20H=32（20 00是小端表示法），所以DBR往后32個扇區就是首要FAT啦，如圖：

FAT以4位元組（32位）為一個表項，每個表項值的含義：

每個表項的值對應了相應簇的使用情況，如2號表項對應了2號簇的使用情況，3號表項對應了3號簇的使用情況，注意的是，最開頭的兩個表項是不使用的，它們代表FAT的表頭，其值是固定的0xFFF FFF8和0xFFFF FFFF，所以！FAT32中不存在0號簇和1號簇，第1個簇是2號簇！畫張圖：

如果該簇是檔案的最后一簇，填入的值為0x0FFFFFFF，如果該簇不是檔案的最后一簇，則填入的值為該檔案占用的下一簇號（所以可以看出在FAT32檔案系統中檔案是以簇鏈表的形式保存起來的），

2號表項存盤的是2號簇的使用情況，一般2號簇（也就是檔案系統的第1個簇）存盤的是檔案系統的根目錄，雖然在FAT32中，根目錄的位置不再硬性固定，可以存盤在磁區內可尋址的任意簇內，不過通常根目錄是最早建立的（格式化時）目錄，所以基本上都是根目錄首簇緊鄰FAT2，占簇區順序上的第1個簇（即2號簇），同時，FAT32將根目錄當做普通的資料檔案，所有沒有了目錄個數的限制，在需要的時候可以分配空簇，這一項（2號表項）的值為0x0FFFFFFF ，說明當前根目錄占了1個簇的大小，

現在來分析資料區，資料區是緊接在FAT2之后的，所以在DBR往后（保留扇區+FAT1占用的扇區+FAT2占用的扇區）個扇區就是資料區啦，如圖（這是資料區的第一個扇區，也是第一個簇的前半部分）：

發現前11位元組是我們的卷標！

而在BPB中卷標那項的值永遠是”NO NAME    ”，也就是說卷標被移動到了資料區的前11位元組，而且FAT32卷標最長11位元組（因為BPB中已經規定了），而NTFS已經突破了這個限制，

其實，卷標是根目錄下的第一個檔案！

現在來分析一下FAT32下檔案和目錄之間是如何組織的，如何存盤的，如何保存屬性的：

先低級格式化D盤，以確保磁區干凈（指的是資料區全填充為0），

低級格式化完成（如果磁區較大，低格的速度會變慢，耐心等待）之后，查看一個首要FAT表，

有一個表項，它的值為FFF FFFFH，意思就是結束簇，這就是我們的根目錄啦，再查看一個根目錄所在的起始簇，

發現前兩行（32位元組）有資料，后面全是0，然后我們在D盤（根目錄）下粘貼一個空檔案（在其他盤（如C盤）新建一個文本檔案，然后復制到D盤，下面會講為什么不能直接在D盤新建檔案，而非要從其他盤復制），

再去首要FAT中查看變化，發現沒有變化，看起來新建的檔案不占表項，再去根目錄所在簇查看一下，

發現！多了2行（32位元組），這就是我們剛剛新建（其實是粘貼）的空檔案A.TXT啦，現在我們要引入一個FAT32下短檔案目錄項概念了，來個表格，

可以看出檔案長度為0，起始簇號高16位為0H，低16位也為0H，也就是指向0號簇，但是0號簇不存在，所以此檔案不存在起始簇，也就驗證了檔案長度為0，現在我們用記事本打開此檔案，向其中寫幾個單詞，

再來看看此檔案的屬性，

現在先去看一下首要FAT的變化，

哈哈，多了一個表項哦，這個多的表項的值也是FFF FFFFH，也就是結束簇，我們再去根目錄所在簇看看，

發現了沒，起始簇號和檔案長度都發現了相應的變化，圖中給出了計算值，這符合前面用右鍵查看的A.TXT屬性，且起始簇號為3也是正確的，因為簇號2被根目錄所占用，那么下一個簇號就是3啦，現在我們去簇號3看看，

現在我們將A.TXT增加到幾KB（我從網上找了微軟的百度百科復制了其中一段），這里需要注意，因為我這個D盤的簇大小僅僅為1KB，所以大于1KB就可以完成本步驟的實驗了，如果你們的簇大小為NKB，那么A.TXT需要大于NKB才行，

然后我們先去根目錄查看一下，

數值又發生了變化，但是一定和上圖的屬性中一樣，這里不再計算，然后我們再去首要FAT看一下，

發現，多了6項，且原來的3號表項已經不是FFF FFFFH了，取而代之的是9號表項變成了FFF FFFFH，這樣就形成了簇鏈，檔案系統讀取時就通過這個單鏈表讀取，我們簡單計算一下，A.TXT最多占7個簇（第7個簇恰好全部用完，即占用空間的大小），最少占6個簇（第7個簇只用了1個位元組），那么推測出A.TXT大小在[6144+1,7168]位元組，而A.TXT在其的屬性截圖中大小為6546位元組，占用空間為7168位元組，完全符合，

現在我們來看一下FAT32的長檔案目錄項格式（現在基本用的都是長檔案名啦），

我們再從其他盤復制過來一個長檔案名的空文本檔案，

查看一下根目錄，

長檔案名是以鏈表方式存盤的，所以能存很長很長的檔案名，檔案名結束符為’\0’，即0H，如果結束符之后還有剩余的Unicode字符則以FFH填充，在長檔案目錄項的最后兩行是它的短目錄項存盤格式哦，簡單說一下為什么長檔案目錄項第1行第1位元組為43H，下圖，

至此，簡單的FAT32組織結構已經介紹完了，歡迎讀者深入探究，

附上，一篇寫FAT32不錯的博文：https://blog.csdn.net/yangyang031213/article/details/79030247

來說一下為什么上面要復制其他盤的檔案到D盤，因為直接在D盤新建一個文本檔案是“新建 文本檔案.txt”，然后我們將它重名名為“NEW.TXT”，然后在winhex查看，發現還是存在一個“新建 文本檔案.txt”的，只不過是洗掉狀態的，所以為了避免這項因素的干擾，我就選擇了從其他盤復制檔案過來，

附上簇的取值范圍表：

題外話，也算是一個練習，驗證網上說的“FAT32最大只能存放4G的檔案”：

因為FAT32中目錄項中每個檔案的檔案長度是4位元組，4位元組最大能尋址的位元組數為2的32次，換算為G就是4G啦，即2^32B/1024^3=4G，

標籤：Windows

上一篇：[windows]c盤瘦身、系統盤清理臨時檔案、快取等垃圾檔案

下一篇：Windows Ping | Tracert 's Bat 腳本并行測驗