1、引言
说到Windows操作系统,就不可避免的要提及NTFS文件系统了。NTFS(New Technology File System)是微软1993年推出用于NT内核的文件系统,相较于原来的FAT文件系统,性能有了极大的提升。可以说,从NTFS文件系统诞生之初,就与Windows操作系统密不可分了。
但是,由于Windows操作系统的封闭性,我们无法准确得知NTFS文件系统的具体实现,因此,只能通过少量的官方文档和逆向分析的方式来推导NTFS文件系统的工作流程。
2、引导扇区
熟悉ext文件系统的同学们都知道,在ext文件系统的第一个扇区上存储着超级快。而NTFS文件系统也是一样,在卷的第一个的扇区中存储着NTFS文件系统的基本信息。
typedef struct {
b16 bytes; // The size of a hardware sector. 每个物理扇区的字节数
b8 sectors; // The number of sectors in a cluster. 每个簇的扇区数
b8 resv1[7]; // unused
b8 media_descriptor; // Provides information about the media being used.
b8 resv2[2]; // Value must be 0
b16 resv3; // The number of sectors in a track.
b16 resv4; // The number of heads
b8 resv5[8];
} Bpb;
// LCN = Logical Cluster Number
typedef struct {
b8 resv1[4]; // Usually 80 00 80 00
b64 sectors; // The total number of sectors on the hard disk. 磁盘的总扇区数
b64 lcn_mft; // LCN of the $MFT $MFT的逻辑簇号
b64 lcn_mft_mirr; // LCN of the $MFTMirr $MFTMirr的逻辑簇号
b8 clusters_per_mft; // The number of cluster of each record 每个文件记录的簇数
b8 resv2[3];
b8 clusters_per_idx; // The number of cluster of each index 每个索引的簇数
b8 resv3[3];
b8 volume_serial_number[8];
b8 resv4[4];
} ExtendBpb;
typedef struct {
// jump instruction
b8 jmp_code[3]; // 跳转指令
// OEM ID
b8 oem_id[8]; // 文件系统厂商的ID const char kNtfsSignature[] = "NTFS ";
// Bpb and extended Bpb
Bpb bpb; // BPB
ExtendBpb extend_bpb; // 扩展BPB
// boot code
b8 boot_code[426]; // 引导代码
// 0x55AA
b8 mark_AA; // 结束标志
b8 mark_55; // 结束标志
} BootSector;
3、文件记录
在NTFS文件系统中最基本的单位就是文件记录FileRecord。每个文件或者目录都对应一个或者多个文件记录。
而其中每一个记录都由文件记录头和多个文件属性组成,这些文件属性就构成了一个文件或者目录的主体。
为了方便操作系统的管理,NTFS预定义了16个文件记录作为文件系统的跟记录。
| 逻辑簇 | 名称 | 描述 |
|---|---|---|
| 0 | $MFT | 主文件表,包含所有文件的记录信息 |
| 1 | $MFTMirr | MFT前4个记录的备份数据 |
| 2 | $LogFile | 日志文件 |
| 3 | $Volume | 卷信息 |
| 4 | $AttrDef | 属性定义表,定义了NTFS支持的属性信息 |
| 5 | . | 根目录 |
| 6 | $Bitmap | 簇位图,记录当前簇的使用情况 |
| 7 | $Boot | 卷的引导记录 |
| 8 | $BadClus | 列出所有的坏簇 |
| 9 | $Secure | 存储卷的安全描述符 |
| 10 | $UpCase | 大小写字符转换表 |
| 11 | $Extend | 扩展元数据目录 |
| 12-15 | 保留记录 | 标识为使用实际为空的记录 |
| 16-23 | 保留记录 | 标识为未使用的记录 |
通常情况下,当需要从卷中读取文件时,只需要从根目录从查询出文件对应的逻辑簇号(LCN),再根据LCN从MFT记录读取出文件的记录即可。
4、属性
前面说过,文件记录由两部分构成,一部分是文件记录头,另一部分是属性列表。在NTFS系统中所有与文件相关的数据均被认为是属性,包括文件的内容。文件记录是一个与文件相对应的文件属性数据库,它记录了文件数据的所有属性。
每个文件记录中都有多个属性,它们相对独立,有各自的类型和名称。一个属性的偏移00H~03H处的4个字节,为该属性的类型标志,不同的属性其结构和含义各不相同。
| 属性类型 | 属性类型名 | 属性描述 |
|---|---|---|
| 10 00 00 00 | $STANDARD_INFORMATION | 标准信息:包括一些基本文件属性,如只读、系统、存档;时间属性,如文件的创建时间和最后修改时间;有多少目录指向该文件(即其硬连接数(hard link count)) |
| 20 00 00 00 | $ATTRIBUTE_LIST | 属性列表:当一个文件需要多个文件记录时,用来描述文件的属性列表 |
| 30 00 00 00 | $FILE_NAME | 文件名:用Unicode字符表示的文件名,由于MS-DOS不能识别长文件名,所以NTFS系统会自动生成一个8.3文件名 |
| 40 00 00 00 | $VOLUME_VERSION | 在早期的NTFS v1.2中为卷版本 |
| 40 00 00 00 | $OBJECT_ID | 对象ID:一个具有64字节的标识符,其中最低的16字节对卷来说是唯一的 |
| 50 00 00 00 | $SECURITY_DESCRIPTOR | 安全描述符:这是为向后兼容而保留的,主要用于保护文件以防止没有授权的访问,但Windows 2000/XP中已将安全描述符存放在$Secure元数据中,以便于共享 |
| 60 00 00 00 | $VOLUME_NAME | 卷名(卷标识):该属性仅存在于$Volume元文件中 |
| 70 00 00 00 | $VOLUME_INFORMATION | 卷信息:该属性仅存在于$Volume元文件中 |
| 80 00 00 00 | $DATA | 文件数据:该属性为文件的数据内容 |
| 90 00 00 00 | $INDEX_ROOT | 索引根 |
| A0 00 00 00 | $INDEX_ALLOCATION | 索引分配 |
| B0 00 00 00 | $BITMAP | 位图 |
| C0 00 00 00 | $SYMBOLIC_LINK | 在早期的NTFS v1.2中为符号链接 |
| C0 00 00 00 | $REPARSE_POINT | 重解析点 |
| D0 00 00 00 | $EA_INFORMATION | 扩充属性信息 |
| E0 00 00 00 | $EA | 扩充属性 |
| F0 00 00 00 | $PROPERTY_SET | 早期的NTFS v1.2中才有 |
| 00 10 00 00 | $LOGGED_UTILITY_STREAM | EFS加密属性:该属性主要用于存储实现EFS加密的有关加密信息,如合法用户列表、解码密钥等 |
2744
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
