NTFS文件系统解析

最新推荐文章于 2024-05-28 10:30:00 发布
最新推荐文章于 2024-05-28 10:30:00 发布
阅读量1k 收藏 3
点赞数 1
分类专栏: VC++ windows操作维护 文章标签: NTFS
原文链接:http://t.zoukankan.com/mwwf-blogs-p-4467687.html
版权
VC++ 同时被 2 个专栏收录
592 篇文章 7 订阅 ¥99.90 ¥99.00
订阅专栏
windows操作维护
106 篇文章 4 订阅
订阅专栏

主文件表  (Master File Table, MFT)
  MFT 是由一条条 MFT 项(记录)所组成的,而且每项大小是固定的(一般为1KB),MFT保留了前16项用于特殊文件记录,称为元数据,
元数据在磁盘上是物理连续的,编号为0~15;如果$MFT的偏移为0x0C0000000, 那么下一项的偏移就是0x0C0000400,在下一项就是
0x0C0000800等等;

 

    MFT记录了整个卷的所有文件 (包括MFT本身、数据文件、文件夹等等) 信息,包括空间占用,文件基本属性,文件位置索引,创建时
间用户权限,加密信息等等,每一个文件在 MFT 中都有一个或多个 MFT 项记录文件属性信息,这里的属性包括数据,如果这个文件很小
在 MFT 项中就可以放下,那么这条属性就定义为常驻属性,常驻标志位记为1,如果是非常驻,则有一个索引指向另一条记录(称为一个运行)。

 第一条 MFT 项:  $MFT

  MFT 的第一项记录$MFT描述的是主分区表MFT本身,它的编号为0,MFT项的头部都是如下结构:

 typedef struct MFT_HEADER{
......
......
 }Mft_Header, *pMft_Header;
       
上面的头部结构体在扇区的数据偏移 0x00 ~0x38;
在0x38之后是4条属性,描述名称,时间,索引等等信息,最后以"FF FF FF FF"结束。它们分别以0x10,0x30,
0x80, 0xB0作为标志;这里的四种属性所描述的的信息类型见后;
   

 //------------------  属性头通用结构 ----
 typedef struct NTFSAttribute //所有偏移量均为相对于属性类型 Type 的偏移量
 {
     UCHAR Type[4];           // 属性类型 0x10, 0x20, 0x30, 0x40,...,0xF0,0x100
     UCHAR Length[4];         // 属性的长度 
      ......
 //--------  常驻属性和非常驻属性的公共部分 ----
     union CCommon
     {
     //---- 如果该属性为 常驻 属性时使用该结构 ----
         struct CResident
         {
             UCHAR StreamLength[4];        // 属性值的长度, 即属性具体内容的长度。"48 00 00 00"
             ......
         };
     //------- 如果该属性为 非常驻 属性时使用该结构 ----
         struct CNonResident
         {
             UCHAR StartVCN[8];            // 起始的 VCN 值(虚拟簇号:在一个文件中的内部簇编号,0起)
             UCHAR LastVCN[8];             // 最后的 VCN 值
             ......
         };
     };
 };
    由这个结构体可以知道,属性头的长度取决于是否有属性名,属性名长度是多少;是否常驻,如果常驻,属性内容长度是多少,如果非常驻,运行列表有多长。
   (0x08)日志文件序列号,它又叫文件参考号、文件引用号,一共 8Byte,前6个字节是文件称为文件号;后2个字节是文件顺序号,文件顺序号随重用而增加。

10H 类型:10H属性$STANDART_INFORMATION,描述的是文件的创建、访问、修改时间,传统属性,以及版本信息等等。
20H类型  $ATTRIBUTE_LIST
30H 类型  $FILE_NAME
    30H 类型属性描述的是文件或文件夹的名字和创建基本信息,
40H 属性  $OBJECT_ID
50H 属性  $SECURITY_DESCRIPTOR ( 安全描述符) 略。
60H 属性  $VOLUME_NAME 卷名属性
70H 属性  $VOLUME_INFORMATION  卷版本、状态
80H 属性  $DATA  容纳文件数据(未命名数据流),文件的大小一般指是未命名数据流的大小,没有长度限制,当它为常驻时,数据
  长度最小。它的结构为属性头加上数据流,如果数据流太大,则标记为非常驻,以运行的方式索引到外部。例如找一个MP3文件,从它的MFT
 项中0x80属性中可以看到它一定是非常驻,它的运行所指向的一系列簇就是音乐文件数据流;
90H 属性  $INDEX_ROOT  索引根。实现NTFS的B+树索引的根节点,总是常驻。索引根属性由属性头、索引根和索引项组成。属性头是通用
属性头的常驻部分。
A0H   属性  $INDEX_ALLOCATION  索引分配属性,也是索引,由属性头和运行列表组成,一般指向一个或多个目录文件(INDX文件,即4K缓存);
A0H属性和90H属性共同描述了磁盘文件和目录的 MFT 记录的位置。第5项MFT的A0H属性记录根目录的位置。
B0H   属性  $BITMAP 位图属性,虚拟簇使用(占用)情况,这条属性用在$MFT和索引中;在Bitmap文件中,每一个 Bit 代表分区的一个簇,置1代表其已使用;
第0个字节的第0位表示分区第0簇,之后依次递增。
C0H   属性  $REPARSE_POINT 重解析点。使应用程序为文件或目录关联一个应用程序数据块,详细略。
D0H   $EA_INFORMATION  扩充信息属性。为在NTFS下实现HPFS的OS/2子系统信息,及WinNT服务器的OS/2客户端应用而设置的,一般为非常驻;
E0H   $EA  扩充属性  也是为了实现NTFS下的 HPFS,一般为非常驻;
100H  $LOGGED_UTILITY_STREAM,EFS加密属性,存储用于实现EFS加密有关的信息,合法用户列表,解密密钥等等;

bcbobo21cn
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
订阅专栏
分析NTFS系统,得到特定文件内容
enjoy5512的博客
03-20 2038
手动在硬盘上找到特定文件的内容
分析NTFS文件系统得到特定文件的内容
01-11
通过分析NTFS文件系统得到特定文件的内容,帮助大家了解NTFS文件中数据情况
NTFS文件解析系统的简单分析
10-28
NTFS文件解析系统的简单分析NTFS文件解析系统的简单分析
NTFS:让你的硬盘更安全、更高效!」NTFS文件系统详解,
最新发布
A_991128a的博客
05-28 501
本文详细介绍了NTFS文件系统的结构、Boot文件、Boot文件、Boot文件、MFT元文件、文件记录、属性属性头和属性体分析。
NTFS详解
2301_76767077的博客
04-12 3298
NTFS是Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式,提供长文件名、数据保护和恢复,能通过目录和文件许可实现安全性,并支持跨越分区。
NTFS文件系统解析(三)
qq_38933606的博客
11-05 428
正如上图所示,绿色部分代表IndexEntry的头部,紧接着的红色部分和黄色部分就是去除了标准属性头之后的0x30属性,而最后的紫色部分则存储着子节点的VCN号。为了便于管理,NTFS文件系统为所有的属性定义了统一的头部结构,可以称之为属性头。对于NTFS文件系统而言,无论文件内容本身,抑或真实的文件属性,都被称之为属性。索引根节点通常由标准属性头,索引根属性头,索引属性头和索引属性组成。而由于每种属性的长度不一,因此又额外定义了常驻属性和非常驻属性属性,这种情况下,文件的基本属性与。
MFTECmd:从NTFS文件系统解析$ MFT
05-04
MFTECmd是一款强大的工具,专门用于解析NTFS文件系统中的主文件表(MFT),它在数字取证和数据恢复领域有着广泛的应用。NTFS(New Technology File System)是微软Windows操作系统中使用的文件系统,而MFT是NTFS的...
NTFs文件系统解析
04-10
本书主要介绍NTFS文件系统的内部结构,通过对内部结构的学习,你可以不经过操作系统中的文件系统中的驱动而直接访问磁盘上的文件。
NTFS文件系统的MFT解析
08-12
总的来说,NTFS文件系统的MFT解析器是理解和操作NTFS分区的关键工具,它简化了与NTFS交互的过程,使得开发者能高效地处理文件和目录,同时也为各种数据恢复和分析任务提供了基础支持。通过提供的头文件,用户可以...
极速创建硬盘文件索引 NTFS MTF
12-06
使用C#读取NTFS硬盘中的MTF文件信息,以便极速创建全盘文件索引,非常有技术含量的代码。
解读NTFS(二)
09-16 2768
NTFS文件系统结构分析在NTFS文件系统中,文件存取是按簇进行分配,一个簇必需是物理扇区的整数倍,而且总是2的整数次方。NTFS文件系统并不去关心什么是扇区,也不会去关心扇区到底有多大(如是不是512字节),而簇大小在使用格式化程序时则会由格式化程序根据卷大小自动的进行分配。文件通过主文件表(MFT)来确定其在磁盘上的存储位置。主文件表是一个对应的数据库,由一系列的文件记录组成--卷中每一个文件
Windows 取证之$MFT
m0_59598029的博客
08-09 1369
MFT,全称,即主文件表,它是NTFS文件系统的核心。它是包含了NTFS卷中所有文件信息的数据库,在$MFT中每个文件(包括MFT本身)至少有一个MFT,记录着该文件的各种信息。这些信息被称为属性NTFS使用MFT条目定义它们对应的文件,有关文件的所有信息,比如大小、时间、权限等都存在MFT条目中,或者由MFT条目描述存储在MFT外部的空间中。MFT由一个个MFT项(也称为文件记录())组成,每个MFT项占用1024字节的空间。这个概念相当于Linux中的inode在$MFT文件中物理上是连续的,且从0。
Everything研究之读取NTFS下的USN日志文件代码
marg112536的博客
02-27 914
everything,c++
NTFS(微软专用文件系统
weixin_40191861的博客
06-13 2469
(英語:),是公司开发的,从开始成为家族的默认文件系统。可选数据流NTFS取代(文件分配表)和(高性能文件系统)并进行一系列改进成为更加完善的安全系统,例如增强对的支持,使用更高级的数据结构以提升性能、可靠性和磁盘空间利用率,并附带一系列增强功能,如(ACL)和文件系统日志。其他台式机和服务器操作系统也支持NTFS。和提供代码的软件NTFS-system,可用于读写NTFS文件。内核不能对NTFS进行读操作。
尚硅谷2020最新版宋红康JVM教程-中篇-第1章Class文件结构-3-Class文件结构
admin741admin的博客
09-28 898
魔数:Class文件的标志 官方文档位置: https://docs.oracle.com/javase/specs/jvms/se8/html/jvms-4.html Class文件版本号
NTFS文件系统解析:从定位到数据组织
"如何定位NTFS文件系统下的文件-NTFS数据组织" 在Windows操作系统中,NTFS(New Technology File System)是一种高级的文件系统,用于管理和组织硬盘上的数据。了解如何定位NTFS文件系统下的文件至关重要,这涉及到...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值