mft文件记录属性头包括_关于NTFS-MFT

最新推荐文章于 2023-08-11 11:30:00 发布
最新推荐文章于 2023-08-11 11:30:00 发布
阅读量1.8k 收藏 1
点赞数
文章标签: mft文件记录属性头包括
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39572764/article/details/112038065
版权

一、Ntfs文件系统在磁盘上的分布

一个ntfs文件系统由引导扇区、MFT(包含MFT元数据)和数据区组成。

NTFS中存储了两份MFT备份以防MFT文件损坏,两个MFT备份的具体起始位置都存储在引导扇区中。

image.png

二、引导扇区($Boot)

引导扇区是从NTFS文件系统的第一个扇区开始,以55 AA结尾。我们主要关注前88字节的信息,其中重要的就是“NTFS”标识、扇区大小、每簇扇区数、MFT起始簇以及MFT备份MFTMirr位置这些信息。我们可以根据MFT起始簇信息找到MFT,或者根据MFT备份MFTMirr位置找到MFT的另外一个MFT备份。如下图所示:

image.png

1 typedef struct NTFS_BPB{     // 在cmd 输入 fsutil fsinfo ntfsinfo d: 查询 NTFS 信息

2 UCHAR jmpCmd[3];

3 UCHAR s_ntfs[8]; // "NTFS " 标志

4 // 0x0B

5 UCHAR bytesPerSec[2]; // 0x0200  扇区大小,512B

6 UCHAR SecsPerClu; // 0x08   每簇扇区数,4KB

7 UCHAR rsvSecs[2]; //       保留扇区

8 UCHAR noUse01[5]; //

9 // 0x15

10 UCHAR driveDscrp; // 0xF8 磁盘介质 -- 硬盘

11 UCHAR noUse02[2]; //

12 // 0x18

13 UCHAR SecsPerTrack[2]; //  0x003F  每道扇区数 63

14 UCHAR Headers[2]; //  0x00FF 磁头数

15 UCHAR secsHide[4]; //  0x3F  隐藏扇区

16 UCHAR noUse03[8]; //

17 // 0x28

18 UCHAR allSecsNum[8]; // 卷总扇区数, 高位在前, 低位在后

19 // 0x30

20 UCHAR MFT_startClu[8]; // MFT 起始簇

21 UCHAR MFTMirr_startClu[8]; // MTF 备份 MFTMirr 位置

22 //0x40

23 UCHAR cluPerMFT[4];     // 每记录簇数 0xF6

24 UCHAR cluPerIdx[4];     // 每索引簇数

25 //0x48

26 UCHAR SerialNum[8];    // 卷序列号

27 UCHAR checkSum[8];     // 校验和

28 }Ntfs_Bpb,*pNtfs_Bpb;

三、主文件表 (Master File Table, MFT)

MFT是什么,什么作用?

在NTFS中,整个卷的所有文件信息(包括MFT本身、数据文件、文件夹等等)都存储在MFT。每一个文件在 MFT 中都有一个或多个 MFT 项记录文件属性信息。而且每项大小是固定的(一般为1KB),MFT保留了前16项用于特殊文件

最低0.47元/天 解锁文章
weixin_39572764
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mft文件记录属性包括_NTFS 文件系统基础知识
weixin_39634132的博客
12-20 1239
1.NTFS 中所有都是文件包括无数据,都是以文件形式进行访问。元数据文件包括:$Mft $MftMirr $LogFile$Volume $AttrDef $BitMap$Boot $BadClus $Quota$UpCase $Cairo。2.普通文件(目录)的信息都是通过属性/值对来表示的。3.$MFT记录了所有文件文件记录,文...
mft文件记录属性包括_NTFS文件系统规范.doc
weixin_39962770的博客
12-20 188
NTFS文件系统规范.doc硬件白皮书NTFS文件系统规范关键字:Windows NT NTFS 文件系统NTFS作为Microsoft Windows NT?操作系统的标配文件系统克服了FAT/FAT32文件系统的大量缺点;同时又随着Microsoft Windows 2000?、Microsoft Windows XP操作系统的推广得到越来越广泛的应用。和FAT/FAT32文件系统相比,N...
文件系统 文件时间记录在哪里_学懂主流NTFS分区文件系统,你也可以成为MM眼中的大神!...
weixin_39834984的博客
11-18 237
主要NTFS文件系统小讲第一课,学会了你也可以使用WINHEX进行底层数据分析,误删,误格式化,分区出错等一些故障在数据恢复软件处理不了时,你也可以通过这些知识来提高恢复几率。由于篇幅有限不太可能一次讲解完毕,后续会不断更新,让我们一起来提高我们的数据恢复水平吧!NTFS文件系统结构分析NTFS文件系统的结构 当用户将硬盘的一个分区格式化为NTFS分区时,就建立了一个NTFS文件系统。NTFS文件...
随机森林(random forest)
kl195375的博客
10-22 112
1.类似于决策树集合,从集合中选择效果最佳的分类模型。 2.属性建立:从M个属性中选取m个属性,m<<M远小于。 利用规则确认节点属性,如信息增益等。分裂属性直至无属性可选为止。 3.训练模型:从总样本中放回式选取n个样本训练模型 4.选择模型:选择最佳的分类效果的模型。 ...
mft文件记录属性包括_4-ntfs属性分析.ppt
weixin_36323601的博客
01-12 978
《4-ntfs属性分析.ppt》由会员分享,可在线阅读,更多相关《4-ntfs属性分析.ppt(24页珍藏版)》请在微传网上搜索。1、NTFS属性分析,,MFT文件记录结构,主文件表的文件记录记录属性列表组成,大小为1KB或一个簇大小。属性列表长度可变,以“FF FF FF FF”结束。对于1KB长度的MFT记录属性列表的起始偏移为0x30文件通过MFT来确定存储位置。MFT是一个对应的数...
NTFS.rar_ntfs_ntfs-3g
09-21
1. **MFT(Master File Table)主文件表**:这是NTFS的核心,包含了所有文件和目录的元数据。每个文件或目录都有一个唯一的记录,存储了其属性、大小、创建时间等信息。 2. **簇**:NTFS将磁盘空间划分为固定大小的...
mft.rar_The Project_ntfs
09-20
Linux-NTFS项目的工作不仅限于MFT,还包括了其他NTFS特性的实现,如属性表、事务日志、安全权限等。通过对这些组件的深入理解和实现,Linux用户可以在保持与Windows系统兼容的同时,充分利用NTFS的高级特性。 通过...
NTFS.rar_ ntfs_Windows NTFS_ntfs 代码_ntfs 文件系统
09-21
4. $LogFile:日志文件记录了对文件系统的所有更改,确保在系统崩溃或电源故障后能进行恢复。 三、NTFS高级特性 1. 权限控制:NTFS通过ACL(Access Control List)实现了细粒度的权限控制,允许用户设置读取、写入...
mft.rar_MFT_The Project
09-19
MFT(Master File Table)是NTFS(New Technology File System)文件系统的核心组成部分,用于存储关于NTFS卷上所有文件和目录的信息。这个表格记录文件系统中的每个文件和目录的元数据,包括大小、创建日期、修改...
mft.rar_For the Record_MFT
09-24
其中可能包括MFT记录的结构体定义,该结构体包含了如文件号、序列号、属性列表等关键字段。此外,文件还可能定义了处理MFT的函数原型,供其他模块调用。 在NTFS Linux内核驱动中,MFT的访问和管理是非常关键的。...
mft文件记录属性包括_NTFS文件格式--3
weixin_39944233的博客
12-20 700
以下是几个重要的MFT属性介绍(1)MFT文件记录属性结构表6 文件属性说明偏移长度 描述0X00 4 固定值“FILE”0X04 2 更新序列号偏移,与操作系统有关0X06 2 固定列表大小0X08 8日志文...
arm linux ntfs_一起来了解一下现在的NTFS文件系统
weixin_39978696的博客
11-07 144
大家好,我是波仔,今天我们继续接着上期的文件系统进行分享,欢迎大家和我一起来学习吧。为了解决FAT16、FAT32文件系统的安全性差,容易产生碎片以及难以恢复等缺点,微软在windows NT操作系统和之后的基于NT内核的操作系统中使用了新的NTFS文件系统。Windows 10中提供的高级文件管理功能都是基于NTFS文件系统实现的。NTFS文件系统结构总览当用户将硬盘的一个分区格式化成NTFS分...
mft文件记录属性包括_硬盘NTFS分区MFT文件记录结构
weixin_39839541的博客
12-30 926
硬盘NTFS分区MFT文件记录结构MFT文件记录结构分析主文件MFT文件记录记录属性列表组成,由“FF FF FF FF”结束,一般大小为1K,或一个簇大小,记录包括以下一些域:偏移 长度(字节) 属性0X00 4 标志,一定是“FILE”0X04 2 更新序列US的偏移0X06 2 更新序列号USN的大小与数组,包括第一个字节0X08 8 日志文件序列号LSN0X10 2 序列号(S...
NTFS文件系统-MFT属性
weixin_33895516的博客
07-07 1376
前面说过MFT是有一个个属性组成,那么每个属性的具体结构又是如何呢?MFT属性的类型很多,但它们都有个共同的特点,那就是每个属性都有属性属性体。属性又分为常驻属性和非常驻属性。常驻属性和非常驻数据最大的区别是常驻属性的只是在MFT内部记录,非常驻数据由于MFT记录不下(一个MFT项只有1024)所以需要在其它数据区记录。不管是常驻属性还是非常驻属性,它的属性的前面16...
imu与gps之间的时间戳_windows时间规则实验2:文件本卷内移动
weixin_39966909的博客
11-24 644
这是Windows时间规则实验系列第二篇第一篇见:windows时间规则实验1:修改文件名一、实验实验过程:在测试卷根目录建立一个名为“移动与复制”的文件夹,将本卷移动.docx文件移动到文件夹内。1.鼠标拖动直接按鼠标左键将文件拖动到目标文件夹内,移动前后时间戳的变化如下图:2.使用powershell命令PS D:\>New-Item "卷内移动.docx" -ItemType...
mft文件记录属性包括_NTFS文件系统-MFT属性
weixin_39987926的博客
12-20 737
前面说过MFT是有一个个属性组成,那么每个属性的具体结构又是如何呢?MFT属性的类型很多,但它们都有个共同的特点,那就是每个属性都有属性属性体。属性又分为常驻属性和非常驻属性。常驻属性和非常驻数据最大的区别是常驻属性的只是在MFT内部记录,非常驻数据由于MFT记录不下(一个MFT项只有1024)所以需要在其它数据区记录。不管是常驻属性还是非常驻属性,它的属性的前面16个字节是一样的。MFT...
Windows 取证之$MFT
最新发布
qq_44005305的博客
08-11 313
攻击者利用的是Timestomp技术。Timestomp是一种修改文件时间戳(修改,访问,创建和更改时间)的技术,通常用于模拟同一文件夹中的文件。该技术可以用在攻击者修改或创建的文件上,使得它们在取证调查人员或文件分析工具面前更加隐蔽。Timestomp可以与文件名伪装()结合使用来隐藏恶意软件和工具。本文涉及相关实验:[Linux系统取证](https://www.hetianlab.com/expc.do?
MFT
qq_41786318的博客
04-02 3638
 MFT (主文件表(Master File Table)) 编辑 锁定 MFT,即主文件表(Master File Table)的简称,它是NTFS文件系统的核心。MFT由一个个MFT项(也称为文件记录)组成,每个MFT项占用1024字节的空间。每个MFT项的前部几十个字节有着固定的结构,用来描述本MFT项的相关信息。后面的字节存放着“属性”。每个文件和目录的信息都包含在MFT中,每个文...
NTFS文件系统结构探索.pdf
12-09
在第四章,作者详细解析了NTFS的各种属性,如标准属性、标准信息属性文件属性、索引根属性、索引分配属性、位图属性、数据属性属性列表属性。每个属性都有其特定的功能和数据结构,例如,索引根属性用于管理...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值