了解NTFS文件系统基本构造

已于 2022-12-25 03:39:50 修改
阅读量901 收藏
点赞数
分类专栏: VC++ windows操作维护 文章标签: NTFS MFT
于 2022-12-25 03:39:49 首次发布
原文链接:https://www.jianshu.com/p/8471b7f4152a
版权
VC++ 同时被 2 个专栏收录
589 篇文章 6 订阅 ¥99.90 ¥99.00
订阅专栏
windows操作维护
106 篇文章 4 订阅
订阅专栏

一、Ntfs文件系统在磁盘上的分布
    一个ntfs文件系统由引导扇区、MFT(包含MFT元数据)和数据区组成。
   NTFS中存储了两份MFT备份以防MFT文件损坏,两个MFT备份的具体起始位置都存储在引导扇区中。

二、引导扇区($Boot)
    引导扇区是从NTFS文件系统的第一个扇区开始,以55 AA结尾。我们主要关注前88字节的信息,其中重要的就是“NTFS”标识、扇区大小、每簇扇区数、MFT起始簇以及MFT备份MFTMirr位置这些信息。我们可以根据MFT起始簇信息找到MFT,或者根据MFT备份MFTMirr位置找到MFT的另外一个MFT备份。

三、主文件表 (Master File Table, MFT)
    在NTFS中,整个卷的所有文件信息(包括MFT本身、数据文件、文件夹等等)都存储在MFT。每一个文件在 MFT 中都有一个或多个 MFT 项记录文件属性信息。而且每项大小是固定的(一般为1KB),MFT保留了前16项用于特殊文件记录,称为元数据。
可以根据MFT快速的找到文件的详细信息和具体位置等。

1、MFT项
一个MFT项包括MFT头和关于文件的4条属性,以FF FF FF FF结尾。

......

四、常见问题
(一)如何从NTFS文件系统中找到$MFT文件的起始和总大小
1、从引导扇区找到“MFT起始簇”或者”MFT备份MFTMirr位置“;
2、根据“MFT起始簇”或者”MFT备份MFTMirr位置“找到第一个MFT项(1KB),第一个MFT项就是$MFT的属性内容;
3、在第一个MFT项中找到80H属性,根据80H属性的属性结构找到文件起始和总大小;
4、上面3找到的就是MFT文件的起始和总大小了。

(二)MFT文件和MFTMirr文件的区别
MFT文件是对NTFS中全部MFT(卷上的所有文件,包括文件名、时间戳、流名和数据流所在的群集号列表、索引、安全标识符以及诸如“只读”、“压缩”、“加密”之类的文件属性)的存储,可以根据MFT文件快速的查找卷上的所有文件;而MFTMirr文件是对MFT文件中比较重要项的复制,一般是4KB。

bcbobo21cn
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
订阅专栏
分析NTFS文件系统内部结构
weixin_33845477的博客
01-13 794
上一篇文章《FAT32文件系统详解》中作者介绍了FAT32文件系统存储数据的原理,接下来作者就介绍一下NTFS文件系统NTFS、用过Windows系统的人都知道,它是一个很强大的文件系统,支持的功能很多,存储的原理也很复杂。目前绝大多数Windows用户都是使用NTFS文件系统,它主要以安全性和稳定性而闻名,下面是它的一些主要特点。安全性高:NTFS支持基于文件或目...
NTFS体系结构
daidodo的专栏
07-24 6586
假定读者对NTFS(New Technology File System)已有基本了解,不再赘述NTFS的特性。Microsoft发明了NTFS文件系统,为了能出色的完成使命,NTFS在设计上及其精细和完整。本文详细讨论NTFS卷(volumes)的体系结构,和构成NTFS分区(partition)的关键数据结构,解释NTFS如何使用重要的文件系统结构来储存信息,有时会与FAT文件系统进行比
NTFS文件系统结构解析
来啊,相互伤害啊
07-30 5756
NTFS是一个比FAT复杂的多的文件系统,我们一起努力来把它完整的解读出来。        NTFS 的引导扇区也是完成引导和定义分区参数,和FAT分区不同,FAT分区的BOOT记录正常,就显示分区没有错误,即使文件不正确,而NTFS分区的 BOOT不是分区的充分条件,它要求必须MFT中的系统记录如$MFT等正常该分区才能正常访问。其BPB参数如下表所示。         字节偏移 长度 常用值 意义        0x0B 字 0x0002 每扇区字节数        0x0D 字节 0x08 每簇扇区
剖析硬盘分区方案和NTFS文件系统结构
最新发布
lzx的博客
03-28 1057
一个NTFS分区的数据结构如下VBR,存储跟引导相关的数据,大小为16个扇区File Area:一切皆为文件,包括元数据文件、常规文件、目录,一切的一切都是文件BBS,分区的第一个扇区是分区引导记录,是能否引导系统的关键,所以用分区的最后一个扇区备份第一个扇区,用于修复损坏的第一个扇区卷中第一个扇区存放和的数据偏移长度含义00-02H3跳转指令EB 52 9003-0AH8NTFS0B-0CH2每个扇区的字节总数,一般是5120DH1簇大小0E-0FH2保留扇区10-12H3。
NTFS文件系统结构详解
04-24
NTFS文件系统的结构详解,这个文档里详细介绍了NTFS文件系统的各个组成结构
NTFS文件系统结构
qq_41786318的博客
09-25 548
https://wenku.baidu.com/view/2c43ee9aa58da0116c1749a9.html
NTFS文件系统结构探索.pdf
12-09
NTFS文件系统结构探索 ...NTFS文件系统结构探索是对NTFS文件系统的深入探索和分析,本文对NTFS文件系统的结构、组成、工作原理和实现机制进行了详细的介绍和分析,为读者提供了一个深入了解NTFS文件系统的机会。
用Winhex手工定位NTFS文件系统下的文件[汇编].pdf
10-14
手工定位 NTFS 文件系统下的文件需要对 MFT 和其它结构有深入的理解,需要了解索引项的结构和工作原理,需要对 MFT 的分布情况进行分析。通过对 NTFS 文件系统的深入理解和分析,可以更好地掌握文件系统的结构和工作...
Linux虚拟文件系统原理.pdf
09-06
例如,EXT2、EXT3、EXT4、FAT、NTFS、NFS等文件系统都可以在Linux中使用,而无需改变内核的基本文件系统处理代码。 理解Linux的VFS原理对于系统开发者和高级用户来说非常重要,它有助于理解文件系统的内部工作,...
NTFS元数据文件表.pdf
07-11
元数据文件NTFS文件系统的核心组成部分,它们存储了关于文件系统本身的信息,包括文件、目录、权限、簇分配等关键数据。 **$MFT(Main File Table)** 是NTFS中最核心的元文件,它包含了文件系统中所有文件和目录...
Linux中如何查看已挂载的文件系统类型详解
09-15
1. **基本用法**:不加任何参数时,`findmnt`会以树状结构显示所有已挂载的文件系统,包括挂载点(TARGET)、源设备(SOURCE)、文件系统类型(FSTYPE)以及挂载选项(OPTIONS)。 ``` $ findmnt ``` 2. **列表...
NTFS文件结构
05-09
简单的介绍下NTFS文件结构
NTFS DBR结构
09-17
讲解的DBR的各部分结构及意义,并用图解的方式表示出来。非常好的关于NTFS DBR的讲解资料!
解析NTFS底层结构
07-15
解析NTFS底层结构 一、NTFS系统结构 NTFS是Windows NT引入的新型文件系统,如果您是一位熟悉FAT磁盘格式的专业人士,您可能会觉得NTFS系统的思想蹩脚而晦涩,如果您对FAT格式一无所知,那么恭喜您,您会更快的了解这种更有效率的磁盘格式。 NTFS的结构复杂,内容繁多,笔者仅对NTFS卷上的底层结构做分析,并提供卷上数据删除的特征状态供大家参考。 现在,我们首先来建立了解NTFS需要的基本概念。 1.0基本结构及基本概念 在NTFS中,文件以簇的形式分配。最小的单位为扇区,N个扇区为一簇。其中,N的值可以通过BPB(引导扇区)读出(以下会详细介绍)。 1.0.1卷与簇 卷大小(分区大小) 每簇的扇区 缺省的簇大小 小于等于512MB 1 512字节 513MB~1024MB(1GB) 2 1024字节(1KB) 1025MB~2048MB(2GB) 4 2048字节(2KB) 大于等于2049MB 8 4KB 表1 卷与簇的关系 从上面可以看出,也就是说不管驱动器多大NTFS簇的大小不会超过4KB。 1.0.2 NTFS基本数据结构 NTFS的数据大体上可分为4个部分 (1) Partition boot sector(引导扇区,又称BPB),此部分为所有磁盘格式都共有,占用一个扇区,但是具体的内容当然各不相同(见表3)。 (2) Master File Table(主文件列表,MFT),它是对卷上所有文件的记录,每一个文件对应一个记录项,理论上占用该卷12%的空间。 (3) System files(系统文件),NTFS系统一共有16个系统文件,和8个保留文件。 (4) File area(数据区),留给用户的空间。 Partition boot sector 引导扇区 Master File Table 主文件列表 System files 系统文件 File area 用户文件区(数据区) 表2 NTFS的磁盘分配情况
解析ntfs底层结构
weixin_33913332的博客
04-27 258
Ntfs是我们经常用的文件系统,不仅在Windows分区中起到了很大的作用。还在我们经常使用的U盘上也平凡出现,那么我们了解经常使用的ntfs吗?小编就来带大家解析ntfs底层结构。 一、NTFS系统结构 NTFS是Windows NT引入的新型文件系统,如果您是一位熟悉FAT磁盘格式的专业人士,可能会觉得NTFS文件系统的思想蹩脚而晦涩,如果您对FAT格式一无所知,那么恭喜您,您会更快的了解...
NTFS底层结构
wswzjdez的专栏
06-25 1826
一、NTFS系统结构NTFS是Windows NT引入的新型文件系统,如果您是一位熟悉FAT磁盘格式的专业人士,您可能会觉得NTFS系统的思想蹩脚而晦涩,如果您对FAT格式一无所知,那么恭喜您,您会更快的了解这种更有效率的磁盘格式。NTFS的结构复杂,内容繁多,笔者仅对NTFS卷上的底层结构做分析,并提供卷上数据删除的特征状态供大家参考。    现在,我们首先来建立了解NTFS需要的基本概念。1.0基本结构及基本概念在NTFS中,文件以簇的形式分配。最小的单位为扇区,N个扇区为一簇。其中,N的值可以通过BP
NTFS 结构说明
EffortForever
12-30 3796
 NTFS 结构说明 NTFS 结构说明 关键字:Windows NT NTFS 文件系统 MFT 在Windows NT?中,Microsoft使用了一种新型的文件系统NTFS,它针对FAT/FAT32文件系统安全性差、容易产生碎片、难以恢复等缺点作了重大改进,使得系统总能保持较好的性能。不过使用NTFS的分区只能被Windows NT?系统识别和操作,而且它的结构是Micros
NTFS:让你的硬盘更安全、更高效!」NTFS文件系统详解,
weixin_74021557的博客
06-14 3579
本文详细介绍了NTFS文件系统的结构、$Boot文件、$MFT元文件文件记录、属性的属性头和属性体分析。
go解析ntfs文件系统结构
04-08
这是一个技术问题,我可以回答。NTFS(New Technology File System)是Windows NT操作系统上的文件系统,它使用一种分层的结构来组织文件和目录。...解析NTFS文件系统结构需要深入了解NTFS的内部机制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值