用WinHex解析分区表

1.利用Winhex软件，打开磁盘主引导扇区，查看磁盘主分区表，计算各分区的大小和起始位置

主引导扇区介绍:
主引导记录$（446字节）（0000 -- 01BD）$
分区表项1 $（16字节） （01BE -- 01CD）$
分区表项2$（16字节） （01CE -- 01DD）$
分区表项3$（16字节） （01DE -- 01ED）$
分区表项4$（16字节） （01EE -- 01FD）$
结束标志$（2字节）： 55 AA (01FE 01FF)$

主分区表(DPT)：

分区 & 偏移位置 & 分区大小 表格如下：

（1）分区1第一字节为$80$，为活动分区；第五字节为$07$，文件类型为NTFS
（2）分区2第一字节为$00$，非活动分区；第五字节为$OF$，为主扩展分区

2.利用Winhex软件，打开磁盘扩展分区，逐个查找每个扩展分区的大小和起始位置

扩展分区表四个分区表项内容介绍：
第一项代表当前分区
第二项如果存在代表存在下一个扩展分区，如果没有则扩展分区结束
第三、四项为空

扩展分区：

物理位置：$0C 80 10 00 = 00 00 00 00 + offset（0C 80 10 00）$

本扩展分区位置：$00 00 08 00$，大小：$16 80 00 00 （180GB）$
后续扩展分区位置：$16 80 08 00$，大小：$15 F9 08 00 （175GB）$
后续扩展分区物理位置等于扩展分区物理位置+偏移地址
第二扩展分区物理地址：$0C 80 10 00 + 16 80 08 00 = 23 00 18 00$

跳转到物理地址： $23 00 18 00$

本扩展分区位置：$00 00 08 00$，大小： $15 F9 00 00 （175GB）$

扩展分区结束

文献参考：《计算机病毒与反病毒技术》2006-6-1清华大学出版社出版，作者：张仁斌，李钢，侯整风