NTFS文件系统的属性分析

最新推荐文章于 2024-01-25 11:00:00 发布
最新推荐文章于 2024-01-25 11:00:00 发布
阅读量1.4k 收藏 1
点赞数 2
分类专栏: 数据恢复 文章标签: 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63910725/article/details/122254803
版权

0

1

2

3

4

5

6

7

8

9

A

B

C

D

E

F

0

10

00

00

00

48

00

00

00

属性类型10、30等

包括属性头在内本属性的长度

1

00

00

18

00

00

00

00

00

30

00

00

00

18

00

00

00

是否为常驻属性

属性名长度

        属性名的开始偏移

压缩加密稀疏标志

属性ID

属性体的长度

        属性体开始的偏移

索引标志

无意义

常驻没有属性名的属性头结构

08--0B四字节:为十六进制“10 00 00 00”,表示此属性是10H类型的属性,即$STANDARD---INFORMATION属性,称为标准信息属性:

0C---0F四字节:包括属性头在内的属性长度,这里为16进制48 00 00 00,也就是说该属性的总长度60H

10H为非常驻属性标志:“00”表示该属性为常驻属性,“10”类型的总是常驻属性,所以该字节总为00

11H为属性名长度,此处为16进制数“00”表示该属性没有属性名

12--13H为属性名开始的偏移,此处为16进制数“18 00”对于没有属性名的属性,该值毫无意义

14--15两个字节为属性标志,表示此属性是否压缩、加密等,为00 00H表示不是压缩、加密属性,只有非常住的80H属性(数据属性)此处才可能非00 00H

16--17为属性ID,此处为16进制值“00 00”

18--1B为属性体长度,此处为16进制数“48 00 00 00”也就是说属性体长度为48H

1C--1D为该属性体开始的偏移,此处为16进制数“18 00”,表示属性体开始的偏移为18H也就是属性头的长度:

1E为索引标志此处为“00”

1F没有实际意义,此处为00

0

1

2

3

4

5

6

7

8

9

A

B

C

D

E

F

0

10

00

00

00

48

00

00

00

属性类型10、30等

包括属性头在内本属性的长度

1

00

00

18

00

00

00

00

00

30

00

00

00

18

00

00

00

是否为常驻属性

属性名长度

        属性名的开始偏移

压缩加密稀疏标志

属性ID

属性体的长度

        属性体开始的偏移

索引标志

无意义

LYNG&BR
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
NTFS文件系统
qq_53318766的博客
11-09 1096
一、NTFS文件系统基本介绍NTFS文件系统与FAT文件系统一样,也是以簇为基本单位对磁盘空间和文件存储进行管理的。一个文件总是占有若干个簇,即使在最后一个簇没有放满的情况下,也是占用了整个簇的空间,这也是造成磁盘空间浪费的主要原因。&BOOT文件某元文件&MFT文件某元文件某元文件&MFTMirr文件&BOOT第一个扇区(即DBR)备份二、NTFSDBR分析跳转指令占用两个字节,它将程序执行流程跳转到引导程序处OEM代号占8个字节,由厂商具体安排字节偏移字段长度字段名字节偏移字段长度字段名0X0B2每扇区
NTFS文件系统规范
冰工厂 Ice Works
12-21 2125
<br />硬件白皮书<br />NTFS文件系统规范<br /> <br />关键字:Windows NT  NTFS  文件系统<br />NTFS作为Microsoft Windows NT®操作系统的标配文件系统克服了FAT/FAT32文件系统的大量缺点;同时又随着Microsoft Windows 2000®、Microsoft Windows XP操作系统的推广得到越来越广泛的应用。<br />和FAT/FAT32文件系统相比,NTFS文件系统主要有以下优点。<br />•支持大容量存储单元(最
NTFS常用属性
05-21
NTFS常用属性表,包括0x10标准信息属性,0x30文件名属性,0x80数据属性等等
数据恢复笔记——NTFS文件系统
weixin_46146678的博客
05-18 4703
Winhex数据恢复(NTFS文件系统)DBR的数据结构NTFS文件系统的元文件主文件表MFTMFT属性类型10h属性体数据结构30h属性体的数据结构60h属性体的数据结构70h属性体的数据结构80h属性体的数据结构MFT属性中的属性头数据结构MFT的簇流运行数据结构手工提取文件数据手工提取片段文件数据常驻80h属性 DBR的数据结构 偏移 描述 00-02 跳转指令 0D-0D 每簇扇区数 28-2F 文件系统扇区总数 30-37 (MFT)主文件表起使簇号 跳转指令对应数
NTFS权限和文件详解
柒烨~的博客
05-04 9664
一,NTFS权限 1.NTFS权限概述 通过设置NTFS权限,实现不同的用户访问不同的权限 分配了不同权限后,每个用户才能访问各自的资源 设置权限可以防止资源被篡改或删除
NTFS:让你的硬盘更安全、更高效!」NTFS文件系统详解,
最新发布
m0_59598029的博客
01-25 3172
本文详细介绍了NTFS文件系统的结构、Boot文件、Boot文件、Boot文件、MFT元文件、文件记录、属性属性头和属性分析接下来我将给各位同学划分一张学习计划表!
NTFS文件系统解析(三)
qq_38933606的博客
11-05 398
正如上图所示,绿色部分代表IndexEntry的头部,紧接着的红色部分和黄色部分就是去除了标准属性头之后的0x30属性,而最后的紫色部分则存储着子节点的VCN号。为了便于管理,NTFS文件系统为所有的属性定义了统一的头部结构,可以称之为属性头。对于NTFS文件系统而言,无论文件内容本身,抑或真实的文件属性,都被称之为属性。索引根节点通常由标准属性头,索引根属性头,索引属性头和索引属性组成。而由于每种属性的长度不一,因此又额外定义了常驻属性和非常驻属性属性,这种情况下,文件的基本属性与。
NTFS文件系统详解
缘木之鱼
10-10 1万+
  NTFS (New Technology File System),是 Windows NT 环境的文件系统。新技术文件系统是Windows NT家族(如,Windows 2000、Windows XP、Windows Vista、Windows 7和 windows 8.1)等的限制级专用的文件系统(操作系统所在的盘符的文件系统必须格式化为NTFS文件系统,4096簇环境下)。NTFS取代了老式的FAT文件系统。   NTFS对FAT和HPFS作了若干改进,例如,支持元数据,并且使用了高级数据结构,
NTFS文件系统 元数据
yingpansjhf的专栏
02-27 1921
作者:北京北亚数据恢复中心    文章来源:WWW.SJHF.NET[NTFS文件系统 元数据(数据恢复基础)]数据恢复是近些年的新兴行业,算是IT业的一个小分支。其实这个领域和其他IT业的分支领域有很多相似点,技术是最关键的,而绝大多数的数据恢复都是基于文件系统的,所以学习文件系统的相关知识是不可跨越的一个门槛。既然要学习,就应该先从基础做起,在文件系统这个知识体系里,最基础的应该算是FAT32
分析NTFS文件系统得到特定文件的内容
01-11
分析NTFS文件系统以获取特定文件的内容,涉及到对NTFS结构的深入理解和利用工具进行数据提取。以下是对这一过程的详细解释: 1. **分区表/分区链表**:首先,我们需要找到磁盘的分区信息,这通常在硬盘的主引导记录...
NTFS文件系统结构探索.pdf
12-09
NTFS文件系统结构探索 ...NTFS文件系统结构探索是对NTFS文件系统的深入探索和分析,本文对NTFS文件系统的结构、组成、工作原理和实现机制进行了详细的介绍和分析,为读者提供了一个深入了解NTFS文件系统的机会。
NTFS文件系统若干技术
04-09
NTFS文件系统若干技术研究 1 RESEARCH ON SOME TECHNIQUE OF NTFS 1 目录 2 表目录 4 图目录 5 摘 要 6 第一章 NTFS介绍 7 1.1现状 7 1.2 NTFS特点 9 1.2.1优点 9 1.2.2 NTFS的不足 11 1.3 NTFS未来 12 ...
NTFS文件系统元文件.pdf
07-11
NTFS文件系统元文件详解】 NTFS(New Technology File System)是Windows操作系统中的一种先进文件系统,它在创建时会生成一系列元文件,这些元文件对于管理和维护NTFS卷至关重要。元文件存储了文件系统的基本...
数据恢复-NTFS文件系统知识 .pptx
11-02
NTFS文件系统DBR(Boot Sector)分析: DBR是硬盘上的第一扇区,包含跳转指令、OEM代号、BPB(BIOS Parameter Block)、引导程序和结束标语。跳转指令将控制权转移到引导程序,OEM代号由创建文件系统的厂商定义,...
如何判断用户对文件是剪切还是复制?
活得痛快的专栏
12-26 3665
工作需要,模拟windows文件操作,要对剪贴板数据操作,在exe中模拟右键的文件复制,剪切,粘贴。网上完全没有找到类似的东西得到zswang的帮助,完成这个功能。 模拟文件剪切: DataObject cDataObject = new DataObject();                         cDataObject.SetData(DataFormats.Fi
NTFS文件系统-MFT的属性
weixin_33895516的博客
07-07 1362
前面说过MFT是有一个个属性组成,那么每个属性的具体结构又是如何呢?MFT属性的类型很多,但它们都有个共同的特点,那就是每个属性都有属性头和属性体。属性头又分为常驻属性和非常驻属性。常驻属性和非常驻数据最大的区别是常驻属性的只是在MFT内部记录,非常驻数据由于MFT记录不下(一个MFT项只有1024)所以需要在其它数据区记录。不管是常驻属性还是非常驻属性,它的属性头的前面16...
NTFS文件系统MFT的属性列表
weixin_34364135的博客
07-06 2452
MFT是由一个个属性体组成,每个属性体都有一个对应的属性名。如0x10类型的属性表示标准属性,这个属性记录着文件的基本信息。NTFS文件系统的MFT属性列表MFT属性类型值(16进制)MFT属性名描述10$STANDARD_IFORMATION标准属性,包含文件的基本属性,只读 创建时间、最后访问时间等属性。20$ATTRIBUTE_LIST属性列表30$FILE_NAME文...
NTFS文件系统详解(三)之NTFS元文件解析
热门推荐
enjoy5512的博客
03-23 2万+
NTFS中,所有存储在卷上的数据都包含在文件中,包括用来定位和获取文件的数据结构,引导程序和记录这个卷的记录(NTFS元数据)的位图,这体现了NTFS的原则:磁盘上的任何事物都为文件。在文件中存储一切使得文件系统很容易定位和维护数据,而在NTFS中,卷中所有存放的数据均在一个叫做MFT的文件记录数组中,称为主文件表(Master File Table),MFT是由高级格式化产生的。而MFT则由文件
ntfs文件系统实例详解
03-28
NTFS(New Technology File System)是Windows操作系统中使用的一种文件系统,它具有较高的安全性、可靠性和灵活性。下面是一个NTFS文件系统实例的详解: 1. 硬盘分区 首先,需要在硬盘上分出一个区域来存储NTFS文件系统。在Windows中,可以使用磁盘管理工具来完成这一操作。在分区的过程中,需要选择NTFS文件系统作为分区的文件系统类型。 2. 创建文件夹 在NTFS文件系统中,所有的文件和文件夹都是存储在文件夹中的。因此,需要先创建一个文件夹来存储文件。在Windows中,可以通过右键单击桌面或文件资源管理器中的任何位置来创建一个新文件夹。 3. 创建文件 在文件夹中创建文件很简单,只需右键单击文件夹并选择“新建”>“文本文档”即可。可以给文件命名,并在文本文档中输入一些内容。 4. NTFS文件属性 NTFS文件系统具有一些特殊的文件属性,例如安全性、压缩和加密等。可以使用Windows中的属性对话框来设置这些属性。 5. NTFS权限 NTFS文件系统还允许为文件和文件夹设置权限,以控制哪些用户或用户组可以访问它们。可以使用Windows中的安全选项卡来设置这些权限。 6. NTFS磁盘配额 NTFS文件系统还支持磁盘配额,这意味着可以限制用户使用硬盘空间的总量。可以使用Windows中的磁盘配额选项卡来设置这些限制。 7. 数据备份 NTFS文件系统支持数据备份,可以使用Windows中的备份工具来备份和还原文件和文件夹。 总之,NTFS文件系统是一种功能强大的文件系统,可以为用户提供安全、可靠和灵活的文件存储和管理功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

LYNG&BR

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值