NTFS元文件
序 号 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16~23 23+ 元 文 件 $MFT $MFTMIRR $LOGFILE $VOLUME $ATTRDEF $ROOT $BITMAP $BOOT $BADCLUS $SECURE $UPCASE $EXTEND METADATA DIRECTORY $EXTEND\\$REPARSE $EXTEND\\$USNJRNL $EXTEND\\$QUOTA $EXTEND\\$OBJID 功 能 主文件表本身 主文件表的部分镜像 日志文件 卷文件 属性定义列表 根目录 位图文件 引导文件 坏簇文件 安全文件 大写文件 扩展元数据目录 重解析点文件 变更日志文件 配额管理文件 对象ID文件 保留 用户文件和目录
文件记录可能的属性
类型 0X10 0X20 0X30 0X40 0X40 0X50 0X60 0X70 0X80 0X90 0XA0 0XB0 0XC0 0XC0 0XD0 操作系统 NT 2K NT 2K 名称 标准信息 属性列表 文件名 卷版本 对象ID 安全描述符 卷名 卷信息 数据 索引根 索引分配 位图 符号连接 重解析点 扩展信息 0XE0 0XF0 0X100 NT 2K 扩展 特权设置 日志流
MFT文件记录头部结构布局
偏移 长度 0X0 0X4 0X6 0X8 0X10 4 2 2 8 2 固定值,一定是“FILE” 更新序列号的偏移 更新序列号与更新数组以字为单位大小(S) 日志文件序列号(每次记录被修改,都将导致该序列号加1) 序列号(用于记录本文件记录被重复使用的次数,每次文件删除时加1,跳过0值,如果为0,则保持为0) 0X12 0X14 0X16 0X18 0X1C 0X20 2 2 2 4 4 8 硬连接数,只出现在基本文件记录中,目录所含项数要使用到它 第一个属性流的偏移地址 标志字节,1表示记录使用中,2表示该记录为目录 文件记录实际大小(填充到8字节,即以8字节为边界) 文件记录分配大小(填充到8字节,即以8字节为边界) 所对应的基本文件记录的文件参考号(扩展文件记录中使用,基本文件记录中为0,在基本文件记录的属性列表0X20属性存储中扩展文件记录的相关信息) 0X28 2 下一个自由ID号,当增加新的属性时,将该值分配给新属性,然后该值增加,如果MFT记录重新使用,则将它置0,第一个实例总是0 0X2A 2 边界,WINDOWS XP中使用,也就是本记录使用的两个扇区的最后两个字节的值 0X2C 0X30 4 2 WINDOWS XP中使用,本MFT记录号 更新序列号 描述 0X32 2S-2 更新序列数组
标准属性的属性头结构
偏移 大小 值 描述 0X00 4 0X10 属性类型(10,标准属性) 0X04 4 0X60 总长度(包括头部本身) 0X08 1 0X09 1 0X0A 2 0X0C 2 0X0E 2 0X00 非常驻标志(1表示非常驻) 0X00 属性名的名称长度 0X18 属性名的名称偏移 0X00 标志(似乎已经不再使用,统一放在文件属性中) 属性ID(此处的属性ID不是指与0X10同级别的属性,应该是指下一级属性,如多数据流,每个数据流属性都有一个属性ID,但都是数据流属性0X80) 0X10 4 0X14 2 0X16 1 0X17 1 0X18 L L 属性体长度(L) 0X18 属性内容起始偏移 索引标志 0X00 填充 从此处开始,共L字节为属性
标准属性的属性体结构
偏移 大小 操作系统 ~ ~ 描述 标准属性头(已经分析过) C TIME – 文件创建时间 A TIME – 文件修改时间 M TIME – MFT变化时间 R TIME – 文件访问时间 文件属性(按照DOS术语来称呼,都是文件属性) 文件所允许的最大版本号(0表示未使用) 文件的版本号(最大版本号为0,则也为0) 类ID(一个双向的类索引) 所有者ID(表示文件的所有者,是文件配额$QUOTA中$O和$Q索引的关键字,为0表示未使用磁盘配额) 安全ID是文件$SECURE中$SII索引和$SDS数据流的关键字,注意不要与安全标识相混淆 本文件所占用的字节数,它是文件所有流占用的总字节数,为0表示未使用磁盘配额 更新系列号(USN),是到文件$USNJRNL的一个直接的索引,为0表示USN日志未使用 2K 2K 2K 2K 0X00 8 0X08 8 0X10 8 0X18 8 0X20 4 0X24 4 0X28 4 0X2C 4 0X30 4 0X34 4 0X38 8 0X40 8
文件名属性的属性头结构
偏移 大小 值 描述 0X00 4 0X30 属性类型(30,文件名属性) 0X04 4 0X68 总长度(包括头部本身) 0X08 1 0X09 1 0X0A 2 0X0C 2 0X00 非常驻标志 0X00 属性名的名称长度 0X18 属性名的名称偏移 (0X0001表示压缩,0X4000表示加密,0X80000X00 标志表示稀疏文件,常驻属性不会被压缩) 0X0E 2 0X10 4 0X14 2 0X16 1 0X17 1 0X18 L 0X03 属性ID(同标准属性的属性头) 0X4A 属性长度(L) 0X18 属性内容起始偏移 0X01 索引标志 0X00 填充 从此处开始,共L字节为属性 文件名属性体结构布局
偏移 大小 ~ 值 ~ 标准的属性头结构(见前表) 父目录的文件参考号(即父目录的基本文件记录号,分为两个0X00 8 部分,前6个字节48位为父目录的文件记录号,此处为0X05,即根目录,所以$MFT的父目录为根目录,后2个字节为序列号) 0X08 8 文件创建时间 0X10 8 文件修改时间 0X18 8 最后的一次MFT更新时间 0X20 8 最后一次的访问时间 0X28 8 文件分配大小 0X30 8 文件实际大小 0X38 4 标志,如目录、压缩、隐藏等 0X3C 4 用于EAS和重解析点 0X40 1 以字符计的文件名长度,每字符占用字节数由下一字节命名空间确定,一个字节长度,所以文件名最大255字节长。 0X41 1 文件名命名空间 0X42 2L 以UNICODE方式表示的文件名 文件名命名空间
01 02 03 WIN32 DOS DOS&WIN32
数据流属性的属性头结构
偏移 大小 值 意义 0X00 4 0X80 属性类型(0X80,数据流属性) 0X04 4 0X48 属性长度(包括本头部的总大小) 0X08 1 0X01 非常驻标志,此处就表示数据流非常驻 0X09 1 0X00 名称长度,$ATTRDEF中定义,所以名称长度为0 0X0A 2 0X00 名称偏移 0X0C 2 0X0E 2 0X10 8 0X18 8 标志,如0X0001压缩,0X4000加密,0X8000稀疏文件标志 属性ID(每个属性都有一个惟一的标识) 起始VCN,此处为0 结束VCN,此处为0X1FF1 0X20 2 0X40 数据运行的偏移 0X22 2 单位压缩尺寸(一般为2倍簇大小,0表示未压缩) 0X24 4 0X00 填充 0X28 8 0X30 8 0X38 8 0X40 ... 为属性值分配大小(按分配的簇的字节数计算) 属性值实际大小 属性流初始大小 数据运行
未命名常驻属性标准属性头结构
偏移 0X00 0X04 0X08 0X09 0X0A 0X0C 0X0E 0X10 0X14 0X16 0X17 0X18 大小 4 4 1 1 2 2 2 4 2 1 1 L 值 意义 属性类型(如0X10,0X60) 属性长度(包括本头部的总大小) 非常驻标志 名称长度 名称偏移 标志 属性ID(每个属性都有一个惟一的标识) 属性长度 属性偏移 索引标志 填充 具体的属性值 0X00 0X00 0X00 0X00 L 0X18 0X00
未命名非常驻属性标准属性头结构
偏移 0X00 0X04 0X08 0X09 0X0A 大小 4 4 1 1 2 值 意义 属性类型(如0X80,0XA0) 属性长度(包括本头部的总大小) 非常驻标志 名称长度 名称偏移 0X01 N 0X40
扫一扫
983
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
