MFT和USN

于 2021-10-20 13:16:43 发布
阅读量1.3k 收藏 8
点赞数 2
文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a541456/article/details/120854869
版权
本文档详细介绍了Windows NTFS文件系统的MFT(主文件表)和USN(更新序列号日志)。内容包括MFT的结构、属性类型定义、MFT条目属性、USN的作用及FCSTL_READ_USN_JOURNAL操作的使用,旨在帮助开发者理解MFT和USN在文件系统中的工作原理和应用。
摘要由CSDN通过智能技术生成

MFT和USN

缩写

MFT : 主文件表(Master File Table)
USN : 更新序列号(Update Sequence Number)
NTFS : NT文件系统(NewTechnology File System)
VCN : 虚拟簇号(Virtual Cluster Number)
LCN : 逻辑簇号(Logical Cluster Number)

前言

最近在实现一个类似Everything的本地搜索引擎,用到MFT和USN那一套东西,网上搜索到的代码,基本能用,但是确不全面,丢失了很多文件,且很多数据的提取不正确,经过一旦时间的研究,写了此文档。

类型定义

下面定义的这些结构体或者宏,来源于MSDN, 和网上能搜索到ntfs.h的定义有很大的区别,但对应结构基本是一致的,因为部分定义和windows库的定义有冲突,最好是使用命名空间包含,或者重命名对应类型定义, 其它用到的结构体定义在winioctl.h中,这里不做累述。

属性类型定义

typedef enum _ATTRIBUTE_TYPE_CODE { //此定义来源于MSDN
        STANDARD_INFORMATION = 0x10,  //常驻第一个位置
        ATTRIBUTE_LIST = 0x20,      //如果有,则在第二个位置
        FILE_NAME = 0x30,          //文件名
        OBJECT_ID = 0x40,
        VOLUME_NAME = 0x60,
        VOLUME_INFORMATION = 0x70,
        DATA = 0x80,          //文件大小,目录没有该属性,文件一定有该属性
        INDEX_ROOT = 0x90,
        INDEX_ALLOCATION = 0xA0,
        BITMAP = 0xB0,
        REPARSE_POINT = 0xC0,
        ATTRIBUTE_END = 0xFFFFFFFF
}ATTRIBUTE_TYPE_CODE;

MFT条目索引

typedef struct _MFT_SEGMENT_REFERENCE {
    union
    {
        struct
        {
            ULONGLONG SegmentNumber;
        };
        struct
        {
            ULONG  SegmentNumberLowPart;        //MFT条目下标
            USHORT SegmentNumberHighPart;       //没有用,都是0.
            USHORT SequenceNumber;              //本条目复用次数,也没啥用
        };
    };
} MFT_SEGMENT_REFERENCE, * PMFT_SEGMENT_REFERENCE;
typedef MFT_SEGMENT_REFERENCE FILE_REFERENCE, * PFILE_REFERENCE;

MFT条目头

typedef struct _MULTI_SECTOR_HEADER { 
        UCHAR  Signature[4]; 
        USHORT UpdateSequenceArrayOffset;
        USHORT UpdateSequenceArraySize;
} MULTI_SECTOR_HEADER, * PMULTI_SECTOR_HEADER;

typedef struct _FILE_RECORD_SEGMENT_HEADER {
        MULTI_SECTOR_HEADER   MultiSectorHeader;
        ULONGLONG             Reserved1;
        USHORT                SequenceNumber;
        USHORT                Reserved2;
        USHORT                FirstAttributeOffset;
        USHORT                Flags;
        ULONG                 Reserved3[2];
        FILE_REFERENCE        BaseFileRecordSegment;
        USHORT                Reserved4;
        //UPDATE_SEQUENCE_ARRAY UpdateSequenceArray; 
} FILE_RECORD_SEGMENT_HEADER, * PFILE_RECORD_SEGMENT_HEADER;

typedef FILE_RECORD_SEGMENT_HEADER FILE_RECORD_HEADER, * PFILE_RECORD_HEADER;

属性头

typedef struct _ATTRIBUTE_RECORD_HEADER {
        ATTRIBUTE_TYPE_CODE TypeCode;
        ULONG               RecordLength; 
        UCHAR               FormCode;  
        UCHAR               NameLength;
        USHORT              NameOffset;
        USHORT              Flags;	//0x00 常驻 0x01 非常驻

        USHORT              Instance;
        union {
                struct {  //常驻属性, 值在偏移ValueOffset处
                        ULONG  ValueLength;	
                        USHORT ValueOffset;
                        UCHAR  Reserved[2];
                } Resident;
                struct {  //非常驻属性,值在簇外
                        VCN      LowestVcn;
                        VCN      HighestVcn;
                        USHORT   MappingPairsOffset;
                        UCHAR    Reserved[6];
                        LONGLONG AllocatedLength;
                        LONGLONG FileSize;
                        LONGLONG ValidDataLength;
                        LONGLONG TotalAllocated;
                } Nonresident;
        } Form;
} ATTRIBUTE_RECORD_HEADER, * PATTRIBUTE_RECORD_HEADER;

FILE_NAME值内容

typedef struct _FILE_NAME_ATT
最低0.47元/天 解锁文章
a541456
关注
人工智能-项目实践-信息检索-用C++实现的基于NTFS下MFTUSN-Journal检索与类正则表达式-NFA-DFA字符串
03-01
标题中的“人工智能-项目实践-信息检索-用C++实现的基于NTFS下MFTUSN-Journal检索与类正则表达式-NFA-DFA字符串”表明这是一个关于人工智能领域,特别是信息检索技术的项目实践。这个项目的核心是用C++编程语言...
C语言基础一
qing_tian__的博客
08-05 419
C语言基本数据类型、运算符、输入输出函数、控制语句、数组、字符串常用函数
USN
lusic01的专栏
04-03 1838
我在第一次使用 Everything 时,对其速度确实感到惊讶,后来了解到是通过操作 USN 实现的,并且有一定的局限性(只有 NTFS 下才能使用)。 近来清闲无事(失业了),搞些自己的小项目玩玩。其中也要处理到本地搜索这块,首先我想到的就是Everything 。 我仔细地将官网和他论坛的帖子都看了遍,基本没找到什么讲到原理的。倒是官网上提供了一个 Everything 的SDK 下载,是一个...
uinion数据类型
wang7890的专栏
02-15 1370
 uinion数据类型是指不同的数据项存放于同一段内存单元的一种数据结构类型!     这么多的成员共同占同一个空间,空间大小由类型最大的确定,如下的空间就为一个float类型大小;     如:   一个共同体变量不是同时存放多个成员的值,而只能存放其中的一个值,  就是最后赋予它的值;        union test        {            int   a;  
一例硬盘逻辑坏道修复案例
热门推荐
大师的资源
03-30 2万+
驱动程序检测到设备 \Device\Harddisk0\DR0 会出故障。 请立即备份您的数据,替换硬盘驱动器。 故障可能会很快发生。 这个是事件查看器记录的。 这个是怎么了?请问我的硬盘是否要坏了。 chkdsk 使用 扫描并试图恢复坏扇区(N),发现4KB坏扇区 HD Tune Pro 检测发现一个坏块: LBA 65654776  32057MB
在解释RunList时不得不防USN
Laokaddk的专栏
05-03 1373
在NTFS中为数据的完整性,提出了USN的概念.若要自己解释FILE  INDEX结构 ,则不得不考虑USN否则将出现想像不到的结果 一.FILE结构的解释BYTE  buffer[1024];1.把FILE读入内存中2.把USN修改回来 buffer[510] = buffer[0x32]; buffer[511] = buffer[0x33]; buff
用C++实现的基于NTFS下MFTUSN-Journal检索与类正则表达式-NFA-DFA字符串匹配的本地文件查找系统.zip
最新发布
06-05
C++是C语言的继承,进一步扩充和完善了C语言,成为一种面向对象的程序设计语言。C++这个词在中国大陆的程序员圈子中通常被读做“C加加”,而西方的程序员通常读做“C plus plus”,“CPP”。 在C基础上,一九八三年...
NTFS-Search
07-09
NTFS-Search通过读取和解析MFT,结合USN Journal的变化记录,能够在短时间内获取到最新的文件信息,为用户提供即时的文件搜索服务。 项目包含的文件中,UpgradeLog.htm可能是软件升级或更新的日志文件,LICENSE文件...
everything源码模拟
03-11
在实现过程中,`NtfsDesktopSearch`可能包含了实现这个功能的相关代码,比如读取USN日志的函数、解析MFTUSN Journal的逻辑、构建及更新索引的算法,以及搜索接口等。这部分代码需要仔细阅读和理解,以确保正确地...
探索Everything背后的技术1
08-04
它通过顺序遍历MFT中的每条数据,查找每个文件和目录的USN字段,这样就可以非常高效地列出卷上的所有文件。此外,通过监控Change Journal的下一条记录,Everything能够实时跟踪文件系统的变动,保持其搜索索引的最新...
读取USN,建立索引优化后的全盘快速搜索工具
09-02
C#.net 做的文件搜索工具。原理是读取USN文件日志,然后内建索引加快文件搜索速度。 1、列表文件支持批量处理(删除、复制、复制文件名路径、打开、重命名),或者引用系统菜单。 2、支持拼音首字母缩写搜索,指定文件夹内搜索,多关键词搜索。 3、支持大部分文件打开、保存对话框的搜索定位。 4、ctrl+~ 快捷键出现以及隐藏窗口。 最新版本以及更多支持信息可以在www.leahygo.com下载,有问题可以交流。
Unicode编码简介
哖_少オ輕狂
12-13 1214
先从ASCII说起。ASCII是用来表示英文字符的一种编码规范,每个ASCII字符占用1个字节(8bits) 因此,ASCII编码可以表示的最大字符数是256,其实英文字符并没有那么多,一般只用前128个(最高位为0),其中包括了控制字符、数字、大小写字母和其他一些符号 。而最高位为1的另128个字符被成为“扩展ASCII”,一般用来存放英文的制表符、部分音标字符等等的一些其他符号 这种字符编码规
window 编程数据类型
瘦子
11-03 437
Windows Data Types The data types supported by Windows are used to define function return values, function and message parameters, and structure members. They define the size and meaning of these e
linux读usn设备缓存,linux设备驱动之USB数据传输分析
weixin_35906864的博客
05-09 463
三:传输过程的实现说到传输过程,我们必须要从URB开始说起,这个结构的就好比是网络子系统中的skb,好比是I/O中的bio.USB系统的信息传输就是打成URB结构,然后再过行传送的.URB的全称叫USB request block.下面从它的接口说起.3.1:URB的相关接口1:URB的创建URB的创建是由usb_alloc_urb()完成的.这个函数会完成URB内存的分配和基本成员的初始化工作....
NTFS Change Journal(USN Journal)详解
于大大大洋
07-18 1万+
写在前面最近又用了一下usn日志来获取所有文件列表,在分多次加载文件列表的时候发现有文件丢失的情况,后来发现一篇文章比较详细的讲了usn。用cmd来读取usn日志如图: 以下是转载内容:还是那个文件监控的应用,发现使用Windows API(ReadDirectoryChangesW)还是不能满足要求,如果变化量大又密集时,丢失通知现象很严重。好在需要监控的大部分的Windows用户都转到NTFS
利用windows UsnJournal实现文件搜索时遇到的问题
gigggg的博客
09-10 757
我的目的是通过windows UsnJournal的特性实现NTFS格式本地磁盘的文件快速搜索。在获取全盘文件信息时,如果每次都遍历MFT,则会消耗几秒的时间和较大的系统资源。所以应该在第一次遍历MFT后,根据UsnJournal中的记录来更新全盘文件信息。但是当我遍历完MFT并将其数据存储后,在处理UsnJournal记录时发现对于某些删除行为(reason为USN_REASON_DELETE)对应的文件并没有出现在之前建立的数据库中,显然删除一个不存在的文件是错误的,网上搜了一下发现没人提出过这样的蠢问
NTFS文件系统数据恢复----解析MFT
闲云野鹤的专栏
05-11 2万+
http://blog.csdn.net/jha334201553/article/details/9089119 开始先说下DBR, DBR是继MBR 之后最先访问的地方,MBR利用int 13h 读取MBR并将之加载到物理地址0x7c00的地方. 然后将段地址:代码地址入栈后retf跳过去运行.         MBR利用BIOS中断int 13h读取数据加载到内存指定位置..传统的int
Everything实现原理
kaooo的专栏
12-15 1万+
一、USN Journal及MFT原理 everything搜索文件的速度之所以快得令人愤怒,主要原因是利用了NTFS的USNJournal特性,直接从系统的主文件表里读取文件信息。        USNJournal(Update SequenceNumber Journal)也被称作Change Journal。微软在NTFS 5.0(Windows 2000)中引入了USN Journa
Everything研究之读取NTFS下的USN日志文件(2)
鼓浪屿对面海景房
11-23 8951
原文地址:http://univasity.iteye.com/blog/805235 续>> /******************************************  2010.11.10更新了代码,调整了一处地方,lowUsn的设置。   ******************************************/   第四步:获取 USN Jour
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值