NTFS文件系统详解(三)之NTFS元文件解析

最新推荐文章于 2024-07-15 13:38:21 发布
最新推荐文章于 2024-07-15 13:38:21 发布
阅读量2.2w 收藏 71
点赞数 12
分类专栏: Windows操作系统基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/enjoy5512/article/details/50966009
版权

在NTFS中,所有存储在卷上的数据都包含在文件中,包括用来定位和获取文件的数据结构,引导程序和记录这个卷的记录(NTFS元数据)的位图,这体现了NTFS的原则:磁盘上的任何事物都为文件。在文件中存储一切使得文件系统很容易定位和维护数据,而在NTFS中,卷中所有存放的数据均在一个叫做MFT的文件记录数组中,称为主文件表(Master File Table),MFT是由高级格式化产生的。而MFT则由文件记录(File Record)数组构成。File Record的大小一般是固定的,不管簇的大小是多少,均为1KB,这个概念相当于Linux中的inode(i节点)。File Record在MFT文件记录数组中物理上是连续的,且从0开始编号。MFT仅供系统本身组织、架构文件系统使用,这在NTFS中称为元数据(metadata)。其中最基本的前16个记录是操作系统使用的非常重要的元数据文件。这些NTFS主文件表的重要的元数据文件都是以$(美元符号)开始的名字,所以是隐藏文件,在Windows 2000中不能使用dir命令(甚至加上/ah参数)像普通文件一样列出这些元数据文件。实际上File System Driver(ntfs.sys)维护了一个系统变量NTFS Protect System Files用于隐藏这些元数据。但是微软公司也提供了一个OEM TOOL,叫做NFI.EXE,用此工具可以转储NTFS主文件表的重要的元数据文件(元数据:是存储在卷上支持文件系统格式管理的数据。它不能被应用程序来访问,它只能为系统提供服务)

我们第一步就是先找到MFT的位置,通过分区表,我们得到本分区的引导扇区所在的扇区号,就拿C盘分区来实践,通过上一节,我们得到C盘的引导扇区的扇区号是63,首先进到扇区号为63的扇区
这里写图片描述
然后根据下表对照
这里写图片描述

00 02 每个扇区512(200H)字节
08 每个簇占8扇区
00 00
00 00 00
00 00
F8 硬盘
00 00
3F 00 每磁头63扇区
FF 00 每柱面255磁头
3F 00 00 00 隐含扇区63
00 00 00 00
80 00 80 00
C0 FF BF 03 00 00 00 00 扇区总数62914496
00 00 0C 00 00 00 00 00 MFT开始簇号786432
10 00 00 00 00 00 00 00 MFTmirr开始簇号 16
F6 00 00 00 每个MFT占的簇数 246
01 00 00 00 每个索引占的簇数 1
B9 63 23 FC AA 23 FC B6 卷标

文件记录由两部分构成,一部分是文件记录头,另一部分是属性列表,最后结尾是四个“FF”。然后我们根

最低0.47元/天 解锁文章
enjoy5512
关注
专栏目录
文件(3)NTFS文件格式解析完了
Returns' Station
05-11 965
上次说到解析NTFS根目录,后来写成MFC的,才发现有几个很重要的小问题~初看资料很有可能遗漏的东西,结果是致命的。特此号外~~ 1.USA 在FileRecord和INDX里面每个扇区最后两位用来做校检了,是一个校检值,扇区里的原始数据被移到了别的地方,一开始没注意,结果我悲剧了。。导致调试N久。详见这里 2.Attribute List 一开始看微软文档说这个属性很罕见
NTFS文件系统 数据
yingpansjhf的专栏
02-27 1938
作者:北京北亚数据恢复中心    文章来源:WWW.SJHF.NET[NTFS文件系统 数据(数据恢复基础)]数据恢复是近些年的新兴行业,算是IT业的一个小分支。其实这个领域和其他IT业的分支领域有很多相似点,技术是最关键的,而绝大多数的数据恢复都是基于文件系统的,所以学习文件系统的相关知识是不可跨越的一个门槛。既然要学习,就应该先从基础做起,在文件系统这个知识体系里,最基础的应该算是FAT32
NTFS详解
2301_76767077的博客
04-12 3408
NTFS是Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式,提供长文件名、数据保护和恢复,能通过目录和文件许可实现安全性,并支持跨越分区。
离散时间傅里叶级数-信号与系统复习大全
最新发布
Corn1223的博客
07-15 329
考研[话题]# #考研信号与系统[话题]# #考研良哥[话题]# #考研信号与系统网课[话题]# #2025考研[话题]# #复习大全[话题]# #研究生初试[话题]# #北京邮电大学考研[话题]#由于序列是N周期的,我们可以将求和范围限制在一个周期内,即 n=0,1,...,N−1。简单来说,就是存在一个正整数N,使得对于所有的n,都有x[n] = x[n+N]。DTFS在信号处理中有着广泛的应用。注意,这里的求和虽然是无限的,但由于序列的周期性,实际上只有N个不同的项在求和。
NTFS文件系统详解
06-04
详细的解释了NTFS文件系统。(纯英文原版)
NTFS:让你的硬盘更安全、更高效!」NTFS文件系统详解
m0_59598029的博客
01-25 3706
本文详细介绍了NTFS文件系统的结构、Boot文件、Boot文件、Boot文件、MFT文件文件记录、属性的属性头和属性体分析接下来我将给各位同学划分一张学习计划表!
NTFS解析
LEE的专栏
06-27 1141
据说NTFS是很复杂的文件系统, 想要解析一下, 看了很多资料, 但是也不是官方的. 为了备忘记了一下.第一部分:从MBR到NTFS 基于古老的bios的PC, 硬盘的第一个扇区是MBR. 基于新的EFI的有所不同, 还没有仔细研究. I386结构也就是下x86支持四个基本分区, 在MBR的offset 0x1bE, 0x1cE, 0x1DE, 0x1EE. 每个分区的数据结构如下: struct partition_dos { unsigned char boot
深度解析NTFS文件系统
weixin_34061482的博客
11-27 464
深度解析NTFS文件系统更新时间: 2006-08-02 14:04:33 作者: techrepublic.com.com关键词: NTFS Windows 微软 微软Windows操作系统中,有两种文件系统:FAT文件系统NTFS文件系统。在本文中,我会详细介绍微软的NTFS文件系统NTFS稳定性和安全性微软做的很多事情都让他们受尽责备。但是它做的一件非...
NTFS文件系统解析
飞鹤的程序员人生
02-01 1872
MFT表项记录着文件的相关属性,有常驻属性(比较小),有非常驻属性(数据较大,此属性只记录真实数据的索引)。Bitmap和LogFile一般都超过1K,都是记录在MFT的非常驻DATA属性中。MFT表项由MFT_HEADER+多个属性项构成。NTFS文件写操作过程中,最常修改的文件系统内容分别为:MFT、Bitmap、LogFile,其次是DBR区的一些其他文件如MFTMirror和MFTMirror和MFTMirror和AttrDef等。
磁盘与文件系统详解(FAT32+NTFS+安全删除文件流程及C代码实现)
05-11
### 磁盘与文件系统详解 #### 零、MBR DPT EBR - **MBR(主引导记录/扇区)** - 作为磁盘的第一个扇区,通常位于0柱面0磁道1扇区的位置,占据512字节的空间。 - 包含446字节的引导程序、64字节的DPT(磁盘分区表...
NTFS文件系统文件.pdf
07-11
下面将详细介绍几个关键的NTFS文件。 1. **$MFT (Master File Table)** $MFT是NTFS的核心组件,它是一个包含所有文件和目录数据的数据库。每个文件或目录在$MFT中都有一个对应的记录,称为MFT项。$MFT自身用0...
NTFS文件系统详解文件定位
Nero Zhang的博客
09-11 1万+
一如既往的叨叨     首先要对硬盘分区(MBR、GPT)和文件系统(NTFS、FAT32等)有一定的认识,要知道MBR扇区以及DBR扇区的基本结构,如果后面遇到不清楚的地方可以参考上一篇文章https://blog.csdn.net/hilavergil/article/details/79270379,如果觉得这个文章不行的话,Emmm...还有Google呢。     接下来的代码目前只...
NTFS - 系统解析
weixin_43763292的博客
03-02 1630
NTFS系统解析概述一,工具二,实现思路1:获取物理硬盘下的GPT分区信息3:数据获取 - 多线程4:usnjournal日志保存 - 多线程5:数据库保存 - 多线程6:ini配置,遇到的问题 概述 ntfs系统解析是基于Windows下GPT分区的ntfs系统完成的。类似于everyThing快速搜索的程序。相比较everyThing此程序有非常的不足。在算法和内存上还有很大的空间优化。这里所有文件信息获取实现是直接解析ntfs下的结构信息获取得到的。并没有用到Windows的API。在实现上需要了解
硬盘内部硬件结构和工作原理详解
热门推荐
txer的专栏
07-22 6万+
一般硬盘正面贴有产品标签,主要包括厂家信息和产品信息,如商标、型号、序列号、生产日期、容量、参数和主从设置方法等。这些信息是正确使用硬盘的基本依据,下面将逐步介绍它们的含义。硬盘主要由盘体、控制电路板和接口部件等组成,如图1-1所示。盘体是一个密封的腔体。硬盘的内部结构通常是指盘体的内部结构;控制电路板上主要有硬盘BIOS、硬盘缓存(即CACHE)和主控制芯片等单,如图1-2所示;硬盘接
详解NTFS文件系统
子曰小玖的博客
07-10 2066
上篇在详解FAT32文件系统中介绍了FAT32文件系统存储数据的原理,这篇就来介绍下NTFS文件系统.NTFS,用过的的Windows系统的人都知道,它是一个很强大的文件系统,支持的功能很多,存储的原理也很复杂。目前绝大多数的的Windows用户都是使用NTFS文件系统,它主要以安全性和稳定性而闻名,下面是它的一些主要特点。 安全性高:NTFS支持基于文件或目录的访问控制列表,并且支持加密文件系...
NTFS文件系统详解数据与结构解析
本书深入解析NTFS文件系统的内部结构,使得用户能够直接访问磁盘上的文件,无需依赖操作系统的文件系统驱动。 首先,NTFS将所有文件划分为数据文件和常规文件两大类。数据文件,通常以"$"符号开头,如$MFT...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值