文件系统 文件时间记录在哪里_学懂主流NTFS分区文件系统,你也可以成为MM眼中的大神!...

最新推荐文章于 2023-08-11 11:30:00 发布
最新推荐文章于 2023-08-11 11:30:00 发布
阅读量237 收藏
点赞数
文章标签: 文件系统 文件时间记录在哪里 输入到文件尾结束

主要NTFS文件系统小讲第一课,学会了你也可以使用WINHEX进行底层数据分析,误删,误格式化,分区出错等一些故障在数据恢复软件处理不了时,你也可以通过这些知识来提高恢复几率。

由于篇幅有限不太可能一次讲解完毕,后续会不断更新,让我们一起来提高我们的数据恢复水平吧!

83fdb21e0203c9643d057a3ba39536ae.png

NTFS文件系统结构

38edf29403ea7d37533dce34c04e018c.png

分析NTFS文件系统的结构

当用户将硬盘的一个分区格式化为NTFS分区时,就建立了一个NTFS文件系统。NTFS文件系统同FAT32文件系统一样,也是用“簇”为存储单位,一个文件总是占用一个或多个簇。

NTFS文件系统使用逻辑簇号(LCN)和虚拟簇号(VCN)对分区进行管理。

逻辑簇号:既对分区内的第一个簇到最后一个簇进行编号,NTFS使用逻辑簇号对簇进行定位。

虚拟簇号:即将文件所占用的簇从开头到尾进行编号的,虚拟簇号不要求在物理上是连续的。

NTFS文件系统一共由16个元文件构成,它们是在分区格式化时写入到硬盘的隐藏文件以$开头,也是NTFS文件系统的系统文件。

NTFS的16个元文件介绍如下

8f4396bb7fa61dd9641320aae471081f.png
4280f50ac8eed2d33ac30d6243091044.png

下面就分析一下元文件(只介绍部分常用的元文件)

$Boot元文件

$Boot元文件由分区的第一个扇区(DBR)和后面的15个扇区(NTLDR区域)组成,其中DBR由“跳转指令”、“OEM代号”、“BPB”、“引导程序”和“结束标志”组成,下图是NTFS文件系统完整的DBR。

884da2c4f2b82d46d207f6b9bb5bde2d.png

$MFT元文件

文件记录由两部分构成,一部分是文件记录头,另一部分是属性列表,最后结尾是“FFFFFFFF”,如下是一个完整的文件记录:

ad62559f171d0b8a6f9386796e1a8a34.png

在NTFS文件系统中所有与文件相关的数据结构被认为属性,包括文件的内容,它记录了文件的所有属性。每个文件记录中都有多个属性,他们相对独立,有各自的类型和名称。每个属性都由两部分组成,既属性头和属性体。属性头的前四个字节为属性的类型。从文件记录头可以看到第一个属性流的偏移地址00C0000038下图是以10H为例的属性结构

3853d6d9dd401e620d3b12c7fd78fa21.png

还有很多元文件,这里就不一一介绍了,如果想更深入的了解NTFS文件系统,可以关注我们,我们不定时会出新的教程文章,不懂的可以在评论留言!

weixin_39834984
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mft文件记录属性头包括_4-ntfs属性分析.ppt
weixin_36323601的博客
01-12 978
《4-ntfs属性分析.ppt》由会员分享,可在线阅读,更多相关《4-ntfs属性分析.ppt(24页珍藏版)》请在微传网上搜索。1、NTFS属性分析,,MFT文件记录结构,主文件表的文件记录记录头和属性列表组成,大小为1KB或一个簇大小。属性列表长度可变,以“FF FF FF FF”结束。对于1KB长度的MFT记录,属性列表的起始偏移为0x30文件通过MFT来确定存储位置。MFT是一个对应的数...
mft文件记录属性头包括_硬盘NTFS分区MFT文件记录结构
weixin_39839541的博客
12-30 926
硬盘NTFS分区MFT文件记录结构MFT文件记录结构分析主文件表MFT的文件记录记录头和属性列表组成,由“FF FF FF FF”结束,一般大小为1K,或一个簇大小,记录头包括以下一些域:偏移 长度(字节) 属性0X00 4 标志,一定是“FILE”0X04 2 更新序列US的偏移0X06 2 更新序列号USN的大小与数组,包括第一个字节0X08 8 日志文件序列号LSN0X10 2 序列号(S...
随机森林(random forest)
kl195375的博客
10-22 112
1.类似于决策树集合,从集合选择效果最佳的分类模型。 2.属性建立:从M个属性选取m个属性,m<<M远小于。 利用规则确认节点属性,如信息增益等。分裂属性直至无属性可选为止。 3.训练模型:从总样本放回式选取n个样本训练模型 4.选择模型:选择最佳的分类效果的模型。 ...
mft文件记录属性头包括_NTFS文件系统规范.doc
weixin_39962770的博客
12-20 188
NTFS文件系统规范.doc硬件白皮书NTFS文件系统规范关键字:Windows NT NTFS 文件系统NTFS作为Microsoft Windows NT?操作系统的标配文件系统克服了FAT/FAT32文件系统的大量缺点;同时又随着Microsoft Windows 2000?、Microsoft Windows XP操作系统的推广得到越来越广泛的应用。和FAT/FAT32文件系统相比,N...
mft文件记录属性头包括_NTFS 文件系统基础知识
weixin_39634132的博客
12-20 1239
1.NTFS 所有都是文件,包括无数据,都是以文件形式进行访问。元数据文件包括:$Mft $MftMirr $LogFile$Volume $AttrDef $BitMap$Boot $BadClus $Quota$UpCase $Cairo。2.普通文件(目录)的信息都是通过属性/值对来表示的。3.$MFT 记录了所有文件文件记录,文...
NTFS.rar_ ntfs_Windows NTFS_ntfs 代码_ntfs 文件系统
09-21
3. 可恢复性:由于NTFS的日志机制,系统可以在崩溃后恢复到一致性状态,降低了数据丢失的风险。 五、NTFS的挑战与未来 尽管NTFS在很多方面表现出色,但随着存储技术的发展,如SSD的普及,NTFS也面临着新的挑战。...
NTFS.rar_NTFS windows_fat format_ntfs_ntfs 代码_ntfs 文件系统
09-23
NTFS是Windows NT引入的新型文件系统,如果您是一位熟悉FAT磁盘格式的专业人士,您可能会觉得NTFS系统的思想蹩脚而晦涩,如果您对FAT格式一无所知,那么恭喜您,您会更快的了解这种更有效率的磁盘格式。
ntfs.rar_NTFS恢复_NTFS文件_ntfs_ntfsfind.e_文件恢复
09-19
NTFS(New Technology File System)是Windows操作系统广泛使用的文件系统,自Windows NT以来成为默认的文件系统。它在性能、安全性和稳定性方面优于早期的FAT(File Allocation Table)系统。NTFS的核心特性包括...
vfs.rar_VFS_linux vfs_linux 文件系统_vfs.c_vfs文件系统
09-14
Linux的虚拟文件系统(Virtual File System,简称VFS)是操作系统的核心组成部分,它为不同的文件系统提供了一个统一的接口,使得Linux可以支持多种文件系统,如EXT4、XFS、FAT32、NTFS等。VFS允许应用程序在不关心...
各种操作系统磁盘文件的读取.zip_adu.exe io_磁盘文件系统
09-21
标题的“各种操作系统磁盘文件的读取.zip_adu.exe io_磁盘文件系统”表明这个压缩包包含的资源主要涉及跨操作系统平台的磁盘文件读取操作,具体是通过`adu.exe`这个程序来实现,同时涉及到I/O(Input/Output)操作...
mft记录格式
05-21
mft记录格式,win系统数据恢复必备工具
imu与gps之间的时间戳_windows时间规则实验2:文件本卷内移动
weixin_39966909的博客
11-24 644
这是Windows时间规则实验系列第二篇第一篇见:windows时间规则实验1:修改文件名一、实验实验过程:在测试卷根目录建立一个名为“移动与复制”的文件夹,将本卷移动.docx文件移动到文件夹内。1.鼠标拖动直接按鼠标左键将文件拖动到目标文件夹内,移动前后时间戳的变化如下图:2.使用powershell命令PS D:\>New-Item "卷内移动.docx" -ItemType...
尚硅谷2020最新版宋红康JVM教程-篇-第1章Class文件结构-3-Class文件结构
admin741admin的博客
09-28 894
魔数:Class文件的标志 官方文档位置: https://docs.oracle.com/javase/specs/jvms/se8/html/jvms-4.html Class文件版本号
MFT
qq_41786318的博客
04-02 3638
 MFT (主文件表(Master File Table)) 编辑 锁定 MFT,即主文件表(Master File Table)的简称,它是NTFS文件系统的核心。MFT由一个个MFT项(也称为文件记录)组成,每个MFT项占用1024字节的空间。每个MFT项的前部几十个字节有着固定的头结构,用来描述本MFT项的相关信息。后面的字节存放着“属性”。每个文件和目录的信息都包含在MFT,每个文...
Windows 取证之$MFT
最新发布
qq_44005305的博客
08-11 313
攻击者利用的是Timestomp技术。Timestomp是一种修改文件时间戳(修改,访问,创建和更改时间)的技术,通常用于模拟同一文件文件。该技术可以用在攻击者修改或创建的文件上,使得它们在取证调查人员或文件分析工具面前更加隐蔽。Timestomp可以与文件名伪装()结合使用来隐藏恶意软件和工具。本文涉及相关实验:[Linux系统取证](https://www.hetianlab.com/expc.do?
渗透技巧——Windows下NTFS文件时间属性总结
Vdieoo的博客
12-01 2305
工具:NewFileTimeSetMace 命令: #先创建文件new-item gh.txt #powershell显示文件的创建、最后修改、最后访问时间 属性 PS D:\godhat> (ls gh.txt).CreationTimeUtc PS D:\godhat> (ls gh.txt).LastWriteTimeUtc PS D:\godhat> (ls gh.txt).LastAccessTimeUtc #powershell设置文件的创...
分区恢复之 $MFT 详解
qq_33350731的博客
07-26 7356
博主出品必属精品 46 49 4C 45  ===2c=ID     boot  =0D   20=8--f    boot=dbr   每簇扇区数,,=0D    28--2F =分区扇区数       30---37=MFT的起始 处号位置*8 ==6291456扇区 38-3F =MFTMIRR备份处号  余下可以填00  MFT
Windows时间戳的计算
m0_59302403的博客
03-30 2362
掌握WindowsFileTime时间戳的手工解析方法,利用WinHex或X-Ways等十六进制编辑器进行手工取证,把Windows$MFT文件里记载的十六进制时间转化为“年月日时分秒”的可读时间,加深对于时间戳的理解。
NTFS文件系统结构探索.pdf
12-09
本文档深入探讨了NTFS(New Technology File System)文件系统结构,这是一种由Microsoft开发的高级文件系统,主要用于Windows操作系统。作者李佳伦在112页的内容,从多个角度对NTFS进行了详尽的解析。 第1章介绍...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值