mft文件记录属性头包括_MFT结构

最新推荐文章于 2023-06-14 09:43:08 发布
最新推荐文章于 2023-06-14 09:43:08 发布
阅读量354 收藏
点赞数
文章标签: mft文件记录属性头包括
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39781326/article/details/111733176
版权

2000-04-27 19:31 67,336 $Bitmap

2000-04-27 19:31 8,192 $Boot

2000-04-27 19:31

$Extend

2000-04-27 19:31 13,139,968 $LogFile

2000-04-27 19:31 27,575,296 $MFT

2000-04-27 19:31 4,096 $MFTMirr

2000-04-27 19:31 131,072 $UpCase

2000-04-27 19:31 0 $Volume

9 个文件 40,961,960 字节

1 个目录 51,863,552 可用字节

需要指出的是ntfs.sys将元数据文件以一种特殊的方式打开,所以在打开NtfsProtectSystemFiles后,如果使

用ReadFile 等产生IRP_MJ_READ等IRP包时将会导致Page Fault(详见Gary Nebbett的《Windows NT/2000

Native API Reference》)。

以上的讨论均是基于$MFT文件而讨论的,即基于$MFT中的File Record(inode)讨论的。为更好的继续以下的讨论

,这儿我列出File Record Header的结构:

typedef struct {

ULONG Type;

USHORT UsaOffset;

USHORT UsaCount;

USN Usn;

} NTFS_RECORD_HEADER, *PNTFS_RECORD_HEADER;

typedef struct {

NTFS_RECORD_HEADER Ntfs;

USHORT SequenceNumber;

USHORT LinkCount;

USHORT AttributesOffset;

USHORT Flags; // 0x0001 = InUse, 0x0002 = Directory

ULONG BytesInUse;

ULONG BytesAllocated;

ULONGLONG BaseFileRecord;

USHORT NextAttributeNumber;

} FILE_RECORD_HEADER, *PFILE_RECORD_HEADER;

下面我将讨论如何定位$MFT。稍微有点操作系统知识的人都会知道引导扇区(Boot Sector),其物理位置为卷中的

第一个扇区。以下由dskprobe.exe(Windows 2000 Resource Kit中的一个小工具)分析的第一个扇区(当然也可以

使用WinHex等其他应用程序):

file: d:\Sector00.bin

Size: 0x00000200 (512)

Address | 00 01 02 03-04 05 06 07 : 08 09 0A 0B-0C 0D 0E 0F | 0123456789ABCDEF

---------|-------------------------:-------------------------|-----------------

00000000 | EB 52 90 4E-54 46 53 20 : 20 20 20 00-02 08 00 00 | ?R?NTFS .....

00000010 | 00 00 00 00-00 F8 00 00 : 3F 00 F0 00-3F 00 00 00 | .....?..?.e.?...

00000020 | 00 00 00 00-80 00 80 00 : 90 C0 41 00-00 00 00 00 | ......惱A.....

00000030 | 04 00 00 00-00 00 00 00 : 09 1C 04 00-00 00 00 00 | ................

00000040 | F6 00 00 00-01 00 00 00 : 04 9D 31 E8-BB 31 E8 94 | ?.......?杌1钄

. .

. .

. .

000001F0 | 00 00 00 00-00 00 00 00 : 83 A0 B3 C9-00 00 55 AA | ........儬成..U?

这512字节为如下的格式:(摘自Gary Nebbett书中,深圳OK电脑维修网本文许多代码均来自或参考此书。)

#pragma pack(push, 1)

typedef struct {

UCHAR Jump[3];

UCHAR Format[8];

USHORT BytesPerSector;

UCHAR SectorsPerCluster;

USHORT BootSectors;

UCHAR Mbz1;

USHORT Mbz2;

USHORT Reserved1;

UCHAR MediaType;

USHORT Mbz3;

USHORT SectorsPerTrack;

USHORT NumberOfHeads;

ULONG PartitionOffset;

ULONG Reserved2[2];

ULONGLONG TotalSectors;

ULONGLONG MftStartLcn;

ULONGLONG Mft2StartLcn;

ULONG ClustersPerFileRecord;

ULONG ClustersPerIndexBlock;

ULONGLONG VolumeSerialNumber;

UCH

weixin_39781326
关注
mft文件记录属性包括_MFT记录结构
weixin_39953845的博客
12-30 941
MFT文件记录结构分析主文件MFT文件记录记录属性列表组成,由“FF FF FFFF”结束,一般大小为1K,或一个簇大小(这样一般就更大),记录包括以下一些域:偏移 长度(字节) 属性0X00 4 标志,一定是“FILE”0X04 2 更新序列US的偏移0X06 2 更新序列号USN的大小与数组,包括第一个字节0X08 8 日志文件序列号LSN0X10 2 序列号(SN)0X12 2 ...
mft文件记录属性包括_关于NTFS-MFT
weixin_39572764的博客
12-30 1903
一、Ntfs文件系统在磁盘上的分布一个ntfs文件系统由引导扇区、MFT(包含MFT元数据)和数据区组成。NTFS中存储了两份MFT备份以防MFT文件损坏,两个MFT备份的具体起始位置都存储在引导扇区中。image.png二、引导扇区($Boot)引导扇区是从NTFS文件系统的第一个扇区开始,以55 AA结尾。我们主要关注前88字节的信息,其中重要的就是“NTFS”标识、扇区大小、每簇扇区数、MF...
NTFS文件系统MFT结构
weixin_34167043的博客
07-05 1413
MFT可以分为两部分:第一部分自然是MFT,剩下一部分是MFT属性列表。MFT是主要是有一个个属性列表组成的,属性列表用来记录文件的各个属性MFT的空间很小,只是用来记录MFT的关键信息。MFT属性有很多类型,属性也分常驻属性和非常驻属性。每种类型的属性都有自己的结构,但大体结构可以分成两个部分,属性属性内容。不管是常驻属性还是非常驻属性它的属性前16个 字节...
MFT文件属性数据结构
weixin_34326179的博客
07-12 1374
在NTFS文件系统中,文件属性的类型值是0x30。从这个属性名就可以知道文件属性是用来存储文件名的,其实这个属性还可以存储文件的大小和时间等信息。在文件属性中还记录这父目录的MFT索引号,可以根据这个MFT索引号构建出原始的目录树结构。在NTFS文件系统中 文件属性是用unicode编码表示的,这点和之前学的FAT32文件系统略有不同。下面是文件属性体的数据结构表字...
MFT
qq_41786318的博客
04-02 3734
 MFT (主文件表(Master File Table)) 编辑 锁定 MFT,即主文件表(Master File Table)的简称,它是NTFS文件系统的核心。MFT由一个个MFT(也称为文件记录)组成,每个MFT占用1024字节的空间。每个MFT的前部几十个字节有着固定的结构,用来描述本MFT的相关信息。后面的字节存放着“属性”。每个文件和目录的信息都包含在MFT中,每个文...
MFT的0x10标准属性数据结构
weixin_33748818的博客
07-10 1034
MFT的标准属性也就是0x10属性,它是一个常驻属性。因为标准属性的类型值是0x10,所以标准属性总是文件或目录的第一个属性。这个标准属性包含时间日期属性,分为创建时间、修改时间、MFT改变时间和文件最后访问时间。这个标准属性还可以表示文件是否只读,是否为系统文件、压缩或加密等属性。下表是标准属性体的数据结构偏移字节(16进制)描述00-07创建时间08-0F最后修改时间10...
mft文件记录属性包括_硬盘NTFS分区MFT文件记录结构
weixin_39839541的博客
12-30 990
硬盘NTFS分区MFT文件记录结构MFT文件记录结构分析主文件MFT文件记录记录属性列表组成,由“FF FF FF FF”结束,一般大小为1K,或一个簇大小,记录包括以下一些域:偏移 长度(字节) 属性0X00 4 标志,一定是“FILE”0X04 2 更新序列US的偏移0X06 2 更新序列号USN的大小与数组,包括第一个字节0X08 8 日志文件序列号LSN0X10 2 序列号(S...
mft文件记录属性包括_NTFS文件格式--3
weixin_39944233的博客
12-20 728
以下是几个重要的MFT属性介绍(1)MFT文件记录属性结构表6 文件属性说明偏移长度 描述0X00 4 固定值“FILE”0X04 2 更新序列号偏移,与操作系统有关0X06 2 固定列表大小0X08 8日志文...
mft.rar_The Project_ntfs
09-20
每一个文件或目录在MFT中都有一个对应的记录,这些记录包含了文件的基本元数据,如文件名、大小、创建时间、修改时间等。MFT记录通常被编码为一个1KB的结构,编号从$MFT(即MFT自身)开始。 在`mft.c`源代码中,...
NTFS文件系统的MFT解析器
08-12
支持对NTFS文件树的解析,遍历MFT得到整个分区的目录结构并支持一定的查询。 zip内是五个.h文件,包含了代码实现。 可以include核心NTFS.h直接使用:)
MFT的簇流数据结构详解
weixin_34355881的博客
07-09 1089
上节课我们已经知道非常驻属性属性体是一个簇流信息。那么簇流信息具体是什么呢。簇流其实是用来描述数据内容的存放地址。簇流信息可以是一组簇流或者多组,一组簇流信息表示这个数据内容只有一个片段是连续的。如果是多组簇流信息,那么就说明这个数据内容是有多个片段组成是,是不连续的。每一组簇流信息是由3部分组成。第一部分描述后面两组成簇流信息所需要的字节数。第二部分描述这个簇流所占用的簇...
mft文件记录属性包括_NTFS文件系统常用属性表.doc
weixin_29009501的博客
01-12 516
NTFS文件系统常用属性表NTFS元文件 号元 文 件功 能0$MFT文件表本身1$MFTMirr主文件表的部分镜像2$LogFile日志文件3$Volume卷文件4$AttrDef属性定义列表5$Root根目录6$Bitmap位图文件7$Boot引导文件8$BadClus坏簇文件9$Secure安全文件10$UpCase大写文件11$Extend metadata directory扩...
数据恢复基础和进阶教程(五)---学好MFT让NFTS文件系统下的恢复变得太简单了~~
weixin_45210292的博客
01-26 2955
文件都是隐藏文件, 1.元文件显形! 版本低会显示出来。尤其 是在XP系统下, 2.到底什么是元文件? 元文件,顾名思义,就是初始文件,就是在格式化成NTFS文件系统时,对这个分区写入的文件就是元文件。元文件的用途就是帮助我们管理这个分区内所有的用户文件。下面介绍我们常用的元文件。 3.元文件大概有哪些? $MFT,主文件表,每个文件的信息都在这个MFT中有记录。 $MFT MIRR 主文件表前4个表的备份。 $LOGFILE 日志文件 $BITMAP 位图文件记录文件系统中簇的分配情况。 $BOOT
「NTFS:让你的硬盘更安全、更高效!」NTFS文件系统详解,
最新发布
weixin_74021557的博客
06-14 4031
本文详细介绍了NTFS文件系统的结构、$Boot文件、$MFT文件文件记录属性属性属性体分析。
NTFS中的$MFT详解
热门推荐
vrix的专栏
02-25 1万+
NTFS是Windows NT引入的新型文档系统,他具备许多新特性。本文旨在探索NTFS的底层结构,所叙述的也仅是文档在NTFS卷上的分布。NTFS中,卷中任何存放的数据均在一个叫$MFT的文档中,叫主文档表(Master File Table)。而$MFT则由文档记录(File Record)数组构成。File Record的大小一般是固定的,通常情况下均为1KB,这个概念相当于Linux中的i
尚硅谷2020最新版宋红康JVM教程-中篇-第1章Class文件结构-3-Class文件结构
admin741admin的博客
09-28 932
魔数:Class文件的标志 官方文档位置: https://docs.oracle.com/javase/specs/jvms/se8/html/jvms-4.html Class文件版本号
NTFS文件系统结构解析
来啊,相互伤害啊
07-30 5837
NTFS是一个比FAT复杂的多的文件系统,我们一起努力来把它完整的解读出来。        NTFS 的引导扇区也是完成引导和定义分区参数,和FAT分区不同,FAT分区的BOOT记录正常,就显示分区没有错误,即使文件不正确,而NTFS分区的 BOOT不是分区的充分条件,它要求必须MFT中的系统记录如$MFT等正常该分区才能正常访问。其BPB参数如下表所示。         字节偏移 长度 常用值 意义        0x0B 字 0x0002 每扇区字节数        0x0D 字节 0x08 每簇扇区
NTFS格式 读取MFT信息
a65783305的博客
10-28 916
#include "ntfs.h" #include <iostream> #include <fstream> #include <map> #include <vector> using namespace std; //管理员权限运行 typedef struct { ULONGLONG index; ULONGLONG pare...
深入解析NTFS文件系统的MFT记录属性
MFT文件记录是NTFS的核心结构,它包含了卷上所有文件和目录的信息。每个MFT的大小固定为1024字节,通常由记录、若干个文件属性和结束标志组成。结束标志为"FF FF FF FF",而为了满足8字节对齐,之后会填充4个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值