玩玩ntfs之新建文件

最新推荐文章于 2023-11-05 19:01:11 发布
最新推荐文章于 2023-11-05 19:01:11 发布
阅读量4.2k 收藏
点赞数
分类专栏: windows底层核心編程 文章标签: 磁盘 cmd 工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/4791345
版权

作 者: ProgmBoy

by:ProgrammeBoy http://hi.baidu.com/programmeboy
环境:首先新建一个512M的文件.然后用filedisk使用这个文件创建一个volume。然后格式化为ntfs格式。我是按每簇512字节格式化的。
目标:在根目录下添加一个名为777.txt的空文件
工具:filedisk、 Runtime's DiskExplorer for NTFS、winhex
1,先找到$mft,保存重要数据
(根据bootsector中数据找)例如我的bootsector如下图所示
 名称: 1.JPG 查看次数: 240 文件大小: 120.4 KB
这里我们用到的有偏移为B、D、30处这里说明下,显示结果都是10进制的,我们计算下$mft的偏移就是(349525)d *( 512)d* 1= (178956800)d 化成16进制就是(AAAAA00)x。注意这里(数字)d是指10进制的数
而(数字)x是指16进制的数.下同
我们来到这个地方
如下图:
 名称: 2.JPG 查看次数: 241 文件大小: 90.4 KB
2,找到并设置$mft的bitmap
先根据$mft中的bitmap属性(B0)找到run再根据run找到其数据区。
 名称: 3.JPG 查看次数: 240 文件大小: 101.5 KB
选中的那个就是B0属性。这里我们用到的就是紫色那个run,根据run我们知道其数据在55554簇处,即偏移(55554)x*(512)d(我的这个盘一个簇就一个扇区) = (AAAA800)x
我们来到这里:
 名称: 4.JPG 查看次数: 240 文件大小: 66.9 KB
看紫色部分。$mft中的bitmap属性数据中的每一位代表这个mft号的使用情况。比如上面第一二字节16位分别代表$MFT、$MftMirr、$LogFile、$volume、…..$Extend下面的一字节就是系统预留的8个mft号
.再接下来就是0F,化成2进制是00001111,这里得说明一下在bitmap中高位代表低的mft号。
例如:

字节序:            1F
二进制:             0 0 0 1   1 1 1 1 
所代表的mft序号:        8 7 6 5   4 3 2 1  (也就是说第12345正在使用78为空闲)
我们就可以找到空闲位写入我们的MFT了就向上图紫色所示第17位为空闲的,但是这是系统预留的我们不能用。接着往下找29位为空闲。那么我们就可以在第29个MFT中写入我们的MFT。我们设置第29位后bitmap数据由FF FF 00 0F 变成了 FF FF FF 1F
3, 创建新的MFT,写入磁盘
我们来到第29号mft处就是: (AAAA800)x (第一个mft的偏移) + (29 – 1) *(1024)d (每个FILERECORD的大小) = (AAB1A00)x
接下来我们就来手动填充这个MFT,这里我添加了3个最基本的属性, 10, 30, 80。
 名称: 5.JPG 查看次数: 242 文件大小: 186.9 KB
这样不好看,这样
 名称: 6.JPG 查看次数: 243 文件大小: 234.5 KB
额,比直接看数据好多了。。。。。
上面那几个带颜色的时必须填对的…还有那个USA你得在这个MFT的每个扇区的末尾都得设置.例如我这里的是01 00 (看上面偏移AAB1A30处),那么我们就得在这个MFT的两个扇区的末尾都设置成这个.如图:
第一个扇区
 名称: 7.JPG 查看次数: 240 文件大小: 18.3 KB
第二个扇区:
 名称: 8.JPG 查看次数: 240 文件大小: 10.1 KB
就是这样了…
唉,..我这里得atributeID忘加了…日志记录也没加。不过对于我们的目标来说无所谓
4,添加index_entry
Mft添加完了我们得到再到索引中添加….
我们先到第五个MFT也就是root中找到其A0属性,找到索引根
 名称: 9.JPG 查看次数: 240 文件大小: 108.4 KB
其run就是上图紫色部分.我们来到其数据处
 名称: 10.JPG 查看次数: 240 文件大小: 64.1 KB
上面紫色是index_entry的总长度,我们在添加index_entry后也要修改这个值。
我添加的index_entry如下图所示:
 名称: 11.JPG 查看次数: 236 文件大小: 84.3 KB
注意最后这个表示末尾的这一行必须得有呀…别的按照结构体格式直接加就行了。
5,就是在$Bitmap中设置这个扇区为正在使用(注意这个不是$mft中的那个bitmap属性)
   $mft中的bitmap表示哪个mft号在使用
   $Bitmap是表示整个盘中每个扇区的使用情况
这里我们得算下我们的mft在哪个扇区? (AAAB1A00)x / (512)d = (5558D)x
         再算下是第几个字节 (558D)x / 8 = AAB1
我们去第AAB1字节去设置去,$bitmap的数据区在1000BE00(就是在mft中找到$bitmap的FILERECORD然后再找到run就能找到数据区了)
 名称: 12.JPG 查看次数: 238 文件大小: 142.2 KB
我们的MFT的扇区是(AAB1)x + (1000BE00)x = (100168B1)x
 名称: 13.JPG 查看次数: 237 文件大小: 66.1 KB
已经使用了….
基本就是这样了…
我不会刷新缓存,但是重启很麻烦.。这里就体现出用filedisk的方便之处了.首先卸载磁盘,然后重新创建这个磁盘.缓存就会自动刷新了。新建的文件也就会显示出来了。
 名称: 14.JPG 查看次数: 235 文件大小: 99.3 KB

要想加data的话在其FILERECORD得80中加就行了。。
切记。这个程序只对上面说的环境有效。不可在真实磁盘中做实验呀。。。用filedisk创建个虚拟磁盘玩玩还是可以的。。。

下面是添加文件的程序的源代码和doc文件。。本来想写成cmd形式的了,还没写完。。。

iiprogram
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何在NTFS文件系统中创建文件的Link
张羿的CSDN专栏
08-13 4883
大部分朋友可能知道UNIX提供了创建文件的Link的功能,而用过Windows的NTFS文件系统所支持的Link功能的朋友可能就没有那么多了(注意我说的不是Shortcut)。今天正好由于工作原因研究了一下相关内容,整理一下分享出来。本文简单介绍如何在Windows系统中使用NTFS文件系统所提供的功能创建Link。NTFS支持两种Link,Junction Point和Hard Link。J
NTFS文件系统中创建一个文件的基本步骤
03-21
NTFS文件系统中,每一个文件或目录都拥有一个MFT记录,MFT记录中记录了文件或目录的基本信息,对于普通文件来说,一般拥有文件序号,文件名,创建时间,文件大小,文件属性,文件数据地址索引等基本文件信息,而一个目录除了拥有基本文件信息,还拥有其目录下的文件索引项信息,文件与其父目录之间通过该文件的MFT记录中的父目录信息和目录中的索引项来建立隶属关系,这两种信息唯一地确定了文件与父目录之间的对应关系,由此可知,要在一个指定目录下生成一个文件,除了要创建目标文件本身的MFT记录,还需在其父目录的MFT记录或者其索引分配中建立目标文件的索引。在NTFS系统中,文件索引是一个比较复杂的内容,文件的索引采用了树型结构,这给NTFS系统带来了查找文件速度快的优点,但却给当索引结点增加或减少时,如何维护树的平衡带来了难题。在NTFS系统中,小目录的索引直接存放在目录本身MFT记录的90H属性中,而大目录的索引则需另外开辟新的索引分配区来存放相关的索引。原程序中只考虑了小目录的情况,即将文件的索引直接存放在90H属性中,并不考虑大目录的索引情况。除此之外,NTFS系统对于每一个文件操作都会写入日志文件中,以便一致性检查,但由于这方面的内容尚未研究清楚,本程序中也未涉及这方面的内容。
文件玩玩
御风的专栏
01-21 641
#include #include using namespace std; int main(){ ifstream c; ofstream d; char ch[100]; int num_char=0,num_line=0; int i; c.open("a.txt",ios::in); if(!c) { cerr<<"文件不存在"<<endl; exi
没事 创建 个文件夹,玩玩
weixin_34414196的博客
04-05 112
+ (NSString*)getCacheDirectory { NSArray *paths = NSSearchPathForDirectoriesInDomains(NSCachesDirectory, NSUserDomainMask, YES); NSString *dir = [[paths objectAtIndex:0]stringByAppending...
ntfs文件的删除 c语言,NTFS文件系统中创建一个文件基本步骤(完整).doc
weixin_36164462的博客
05-24 284
问题分析在NTFS文件系统中,每一个文件或目录都拥有一个MFT记录,MFT记录中记录了文件或目录的基本信息,对于普通文件来说,一般拥有文件序号,文件名,创建时间,文件大小,文件属性,文件数据地址索引等基本文件信息,而一个目录除了拥有基本文件信息,还拥有其目录下的文件索引项信息,文件与其父目录之间通过该文件的MFT记录中的父目录信息和目录中的索引项来建立隶属关系,这两种信息唯一地确定了文件与父目录之...
零命令玩转Ubuntu 8.10(Wubi安装图文教程)
02-02
确保选择一个NTFS格式且空间充足的分区,例如D盘。建议至少有5GB以上的可用空间,因为4GB的安装大小将分配给Ubuntu的系统分区。根据需求,你可以选择更大的分区大小以容纳更多软件。接着设定用户名和密码,其他选项...
圈圈教你玩usb的假U盘代码
03-12
4. 文件系统:因为U盘通常包含一个文件系统来组织存储的数据,所以了解FAT(File Allocation Table)或其他常见文件系统如FAT32、NTFS、exFAT的结构和操作也是必要的。 5. 安全与隐私:创建假U盘可能用于安全测试,...
玩转windows系统就下
09-11
5. **NTFS权限**: NTFS文件系统提供了详细的权限控制,用户可以为每个文件文件夹设置读取、写入、执行等权限,这对于多用户环境和网络安全至关重要。 6. **系统还原点**: Windows提供系统还原功能,可以在特定...
NTFS文件系统解析(三)
最新发布
qq_38933606的博客
11-05 436
正如上图所示,绿色部分代表IndexEntry的头部,紧接着的红色部分和黄色部分就是去除了标准属性头之后的0x30属性,而最后的紫色部分则存储着子节点的VCN号。为了便于管理,NTFS文件系统为所有的属性定义了统一的头部结构,可以称之为属性头。对于NTFS文件系统而言,无论文件内容本身,抑或真实的文件属性,都被称之为属性。索引根节点通常由标准属性头,索引根属性头,索引属性头和索引属性组成。而由于每种属性的长度不一,因此又额外定义了常驻属性和非常驻属性。属性,这种情况下,文件的基本属性与。
Windows下NTFS文件系统创建与结构概览及DBR字节分析(基于Windows)
weixin_60418242的博客
11-28 1637
本文以图的方式简单明了地示例了一个NTFS文件系统的总体结构是如何的,同时以文字总结配合图示的形式总结DBR重点字节的作用
NTFS文件系统详解 之 文件定位
热门推荐
Nero Zhang的博客
09-11 1万+
一如既往的叨叨     首先要对硬盘分区(MBR、GPT)和文件系统(NTFS、FAT32等)有一定的认识,要知道MBR扇区以及DBR扇区的基本结构,如果后面遇到不清楚的地方可以参考上一篇文章https://blog.csdn.net/hilavergil/article/details/79270379,如果觉得这个文章不行的话,Emmm...还有Google呢。     接下来的代码目前只...
mkfs.ntfs - mkntfs - create an NTFS file system - 创建 NTFS 文件系统
既然选择了远方 便只顾风雨兼程 - 永强
03-07 3509
mkfs.ntfs - mkntfs - create an NTFS file system - 创建 NTFS 文件系统 Documentation https://docs.oracle.com/en/ Oracle Solaris 11.2 Information Library (简体中文) https://docs.oracle.com/cd/E56344_01/ 手册页部分 1M:系统管理命令 https://docs.oracle.com/cd/E56344_01/html/E54077/i
详解NTFS文件系统
weixin_30666753的博客
03-17 760
一、分析NTFS文件系统的结构 当用户将硬盘的一个分区格式化为NTFS分区时,就建立了一个NTFS文件系统。NTFS文件系统同FAT32文件系统一样,也是用“簇”为存储单位,一个文件总是占用一个或多个簇。 NTFS文件系统使用逻辑簇号(LCN)和虚拟簇号(VCN)对分区进行管理。 逻辑簇号:既对分区内的第一个簇到最后一个簇进行编号,NTFS使用逻辑簇号对簇进行定位。 虚拟簇号:既将文件所占...
mft文件记录属性头包括_4-ntfs属性分析.ppt
weixin_36323601的博客
01-12 984
《4-ntfs属性分析.ppt》由会员分享,可在线阅读,更多相关《4-ntfs属性分析.ppt(24页珍藏版)》请在微传网上搜索。1、NTFS属性分析,,MFT文件记录结构,主文件表的文件记录由记录头和属性列表组成,大小为1KB或一个簇大小。属性列表长度可变,以“FF FF FF FF”结束。对于1KB长度的MFT记录,属性列表的起始偏移为0x30文件通过MFT来确定存储位置。MFT是一个对应的数...
NTFS中的$MFT详解
vrix的专栏
02-25 1万+
NTFS是Windows NT引入的新型文档系统,他具备许多新特性。本文旨在探索NTFS的底层结构,所叙述的也仅是文档在NTFS卷上的分布。NTFS中,卷中任何存放的数据均在一个叫$MFT的文档中,叫主文档表(Master File Table)。而$MFT则由文档记录(File Record)数组构成。File Record的大小一般是固定的,通常情况下均为1KB,这个概念相当于Linux中的i
数据恢复软件设计与实现(七)
不 ' 二
11-09 3269
6  NTFS文件系统介绍 NTFS文件系统是随着Windows NT操作系统诞生的,名字都有相似之处。NTFS有很多的特点:安全性、可恢复性、文件压缩、磁盘配额、B-树文件管理。这些特点是文件系统具有极高的安全性和稳定性,在使用中不易产生碎片。 微软未公布NTFS细节及实现,只有一些开源文档揭秘,这些资料目前看来是正确的,但其正确性有待验证,所以深入的研究是不得而知的,这对解析NTFS文件
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值