FAT32 FAT区__FAT表解析

一、 FAT 表概述

位置： 紧跟在文件系统的“保留区”之后 ； 有两个数据结构完全相同的FAT(FAT,File Allocation Tbale 文件分配表)组成。

作用： FAT表项，描述文件系统内的簇分配状态，说明文件系统内数据所分配的连续簇的顺序关系(即表明文件或目录的下一簇的序号)。

常规规则：
· 数量： 通常情况下一个FAT 文件系统会有两个FAT 表， 但有时候也会允许只有一个FAT 表， FAT 表的具体个数记录在引导扇区的 偏移 0x10 字节处。
· 位置： 因为FAT区位于文件系统的保留区之后，所以FAT1在文件系统中的位置可以通过引导记录中偏移0x0E~0x0F 字节处的“保留扇区”数得到。
· FAT2 紧跟在FAT1之后， 它的位置可以通过FAT1的位置加上每个FAT 表的大小扇区数获得。

FAT 表中记录了每个文件的簇链结构； FAT 表中记录的与数据区簇对应的表项，从0号标记开始至当前数据区所分配的簇的最大数值，记录簇信息到FAT 项；但是注意：其中 0号~1号簇的值都是操作系统预先不留设定的特殊标记，而数据区的起始簇是2号簇。

二、、FAT 表的特性

FAT 表由一些列大小相等的表项组成，有如下特性：

· FAT32 中每个簇的状态，使用32bit(4字节)记录在FAT表中。 FAT 表中的所有字节位置以
4个字节为单位进行划分；并以所有划分后的位置由0进行地址编号。“0号 和 1号” 地址被系统保留并存储特殊标识内容。从 2号 地址开始，
每个地址对应于数据区的簇号， FAT 表中的地址编号与数据区中的簇号相同。 称FAT 中的这些四字节一组划分的项的地址为 FAT 表项， FAT表项中记录的值为FAT 表项值。(簇编号与簇内内容关系如果 Map中的键-值 关系相同)

当文件系统创建时(就是格式化操作时)， 分配给FAT 区域的空间将会被清空， 在FAT1与FAT2 的0号和1号表项写入特定值。 由于创建文件系统的同时，也会创建根目录， 也就是为根目录分配了一个簇空间，通常为2号簇，所以2号簇所对应的“2号FAT表项”也会被写入一个结束标记。

· 如果某个簇未被使用，他所对应的FAT 表项内的FAT 表项值即用0进行填充，表示该FAT 表项所对应的簇未被分配使用

· 当某个簇被分配使用时，那么他所对应的FAT表项的值为文件的下一个存储文件的簇号。 如果该文件结束于该簇，则在它的FAT表项中记录的是一个文件结束标记，对于FAT32 而言，代表文件结束的FAT表项值为0x0FFFFFFF。
· 如果某个簇存在坏扇区，则整个簇会用FAT 表项值 0x0FFFFFF7 标记为坏簇， 不再使用，这个坏簇标记就记录在它所对应的FAT表项中。

· 由于簇号起始于2， 所以FAT表的0号表项与1号表项不予任何簇对应。 FAT32 的0号表项值总是“F8FFFF0F”

注意： 可以搜索扇区偏移0字节处的该值(F8FFF0F)以查找FAT表。

· 1号表项可能被用于记录“脏标志”， 以说明文件系统没有被正常卸载或者磁盘表面存在错误。 不过此值似乎不重要，正常情况下，1号表项值“FFFFFFFF”或“FFFFFF0F”

 

项内容填写规则：

·在文件系统中新建文件时，如果新建的文件只有一个簇，为其分配的簇所对应的FAT表项将会被写入结束标记。如果新建的文件不只占用一个簇，则在其所占用的每个簇对应的FAT表项中写入为其分配的下一个簇的簇号，在最后一个簇对应的FAT 表项中写入结束标记。

· 新建目录时，只为其分配一个簇的空间，对应的FAT 表项中写入结束标记。当目录增大超过一个簇的大小时，将会在空闲空间中继续为其分配一个簇，并在FAT 表中为其建立FAT 表链以描述它所占用的簇的情况。

· 对文件或目录进行删除操作时，他们所对应的FAT 表项将会被清空，设置为0以表示其所对应的簇处于未分配的状态。

三、 FAT表的使用

一个文件的"起始簇号"记录在它的目录项中， 该文件的 "其他簇" 则用一个簇连结构记录在FAT 表中。

如果一个簇所对应的FAT表项的表项值为非零， 则表明该簇已经被分配使用了，但是这时表项值可能为两种情况，一个是一个文件的下一个簇号值，也有可能是一个文件的结束标记0x0FFFFFFF，或者是一个坏簇标记0x0FFFFFF7 。
如果要寻找一个文件的下一个簇，只需要查看该文件的目录项中描述的起始簇号所对应的FAT项，如果该文件只有一个簇，则此处的值为一个结束标记0x0FFFFFFF；如果该文件不只一个簇，则此处 的值是它的下一个簇的簇号。

>> 查询簇连接结构模拟步骤：

当我们要寻找某个文件时， 首先从该文件的“目录项”中获取该文件的第一“簇”的簇号，然后根据“第一簇”的“簇号 N”，然后根据N 从FAT区的FAT表找出N簇号所对应的FAT 表项，查看FAT 表项的内容：
若是文件结束，该表项值为 0x0FFFFFFF；
若是没有结束，而该文件的大小超出一个簇，则N所对应的FAT表项的表项值为该文件下一个簇的簇号，然后再找到下一个簇号N+1
所对应的FAT表项，查看其表项值，依次类推，就推出了一个文件在FAT表中的 簇链连接结构； 也或者表项值为 0xFFFFFFF7 坏簇标识。

>> 其他

查找FAT 表项： 要找到一个簇的FAT 表项，只要用他的 簇号乘以每个FAT 表项的字节数即可 。对于FAT32而言，每个FAT 表项占用4个四字节， 如果我们寻找9号簇的表项位置，则用 4*9=36，也就是说位于FAT 表内偏移36(0x24)字节处。

注意：
WinHex 提供了直接跳转到某个指定FAT 表项的功能。

文件系统大小的上限值却绝育FAT 项的大小。 簇链中的每个FAT 项记录着下一个簇的簇地址，FAT
项所能表示的数字有一个上限，这个上限也就是文件系统中的最大簇号。 FAT 32文件系统的FAT 项只使用了32bit 中的28bit
，因此只能描述 268435456个簇(实际上还要考略小于这个值，因为这其中还包含了结束标志及坏簇标志的保留值)。

操作系统通过检测FAT 表中的表项来确定文件系统中的各个簇是否被分配使用。当我们在Windows 下右击某个FAT 分区查看其属性时，显示的已用空间和未用空间就是根据FAT 表统计而来的。

有时我们会遇到，查看属性时发现已用空间并没有减少，但存储的文件却不见了。这是因为某些病毒在某些文件的目录项中写入了删除标记，但并没有清楚FAT 表内的簇链所至。