NTFS文件系统中的$MFT文件记录细节资源-CSDN下载

NTFS文件系统

需积分: 50 86 浏览量 2015-05-30 13:37:45 上传评论收藏 759KB PDF 举报

资源推荐

资源详情

资源评论

第 1 页共 58 页

NTFS 文件系统 ............................................................................................................. 3

一、 MFT 文件记录 ................................................................................................ 3

1. 虚拟簇号： .................................................................................................................... 3

2. 逻辑簇号： .................................................................................................................... 3

3. 数据流描述： ................................................................................................................ 3

二、 MFT 文件记录头 ............................................................................................ 5

关于更新序列号的说明： ................................................................................................... 5

三、文件属性记录.................................................................................................. 6

(一) 属性列表 .................................................................................................................... 6

(二) 标准属性头 ................................................................................................................ 7

1. 常驻属性 ................................................................................................................................. 7

2. 非常驻属性 ............................................................................................................................. 7

(三) 属性 ............................................................................................................................ 9

1. 标准信息属性：STANDARD_INFORMATION (0x10 常驻属性) .................................. 9

2. 属性列表属性：ATTRIBUTE_LIST (0x20 ) .................................................................... 12

3. 文件名属性：FILE_NAME (0x30 常驻属性) ................................................................. 14

4. 卷版本属性：VOLUME_VERSION（0x40 NT） ............................................................. 17

5. 对象 ID 属性： OBJECT_ID（0x40 2K） ......................................................................... 17

6. 安全描述符属性：SECRUITY_DESCRIPTOR (0x50 ) .................................................. 17

7. 卷名属性： VOLUME_NAME (0x60) ............................................................................ 23

8. 卷信息属性：VOLUME_INFORMATION (0x70 ) ......................................................... 23

9. 数据属性：DATA (0x80) ................................................................................................... 24

^ESummaryInformation 流： .................................................................................................... 25

^EdocumentSummaryInformation 流： .................................................................................... 27

^ SebiesnrMkudrfcoIaamtykdDa 流： ...................................................................................... 31

$MountMgrDatabase 流： ........................................................................................................ 32

$Bad 流： .................................................................................................................................. 32

$SDS 流： ................................................................................................................................. 32

$J、$Max 流： .......................................................................................................................... 32

用户命名数据流： .................................................................................................................... 32

10. 索引根属性：$INDEX_ROOT（0x90） ........................................................................ 32

整理规则： ............................................................................................................................... 33

空索引项： ............................................................................................................................... 34

目录划分： ............................................................................................................................... 35

11. 索引分配属性：INDEX_ALLOCATION (0xA0 大目录使用) ................................... 35

大目录： ................................................................................................................................... 36

12. 位图属性：BITMAP （0xB0 MFT 文件或外部索引块使用） .................................... 38

13. 符号链接属性：SYMBOL_LINK (0xC0 NT) ........................................................... 39

第 2 页共 58 页

14. 重解析点属性：REPARSE_POINT (0xC0 2K)......................................................... 39

15. EA_INFORMATION (0xD0 ) ........................................................................................ 43

16. EA (0xE0 ) ...................................................................................................................... 43

17. 所有权设置属性：PROPERTY_SET (0xF0 NT) ...................................................... 44

18. 属性：LOGGED_UNTILITY_STREAM (0x100 2K) .................................................. 44

四、系统文件........................................................................................................ 44

1. $MFT ........................................................................................................................... 45

2. $MFTMirr .................................................................................................................. 46

3. $LogFile ...................................................................................................................... 46

4. $Volume ....................................................................................................................... 46

5. $AttrDef ...................................................................................................................... 46

整理规则 ........................................................................................................................................ 47

6. . (Root Directory) ....................................................................................................... 47

7. $Bitmap ....................................................................................................................... 48

8. $Boot ............................................................................................................................ 48

9. $BadClus ..................................................................................................................... 50

10. $Secure .................................................................................................................... 50

$SDH 索引项： ............................................................................................................................. 51

$SII 索引项： ................................................................................................................................ 51

11. $UpCase .................................................................................................................. 52

12. $Extend.................................................................................................................... 52

13. $ObjId ..................................................................................................................... 52

$O 索引项： .................................................................................................................................. 53

14. $Quota ..................................................................................................................... 53

$O 索引 .......................................................................................................................................... 54

$Q 索引 .......................................................................................................................................... 54

15. $Reparse .................................................................................................................. 55

$R 索引 .......................................................................................................................................... 55

16. $UsnJrnl .................................................................................................................. 55

$J 数据流 ....................................................................................................................................... 56

$Max 数据流 ................................................................................................................................. 58

第 3 页共 58 页

NTFS 文件系统

整理：太虚野老

一、 MFT 文件记录

文件记录是$MFT 文件的基本组成部分，卷中的所有文件都由至少一个文件记录来描

述，对于使用多个文件记录的文件，其第一个文件记录叫基本文件记录，其余的叫做扩展文

件记录。

每个 MFT 项的大小在引导扇区中进行说明，不过 Microsoft 的所有版本都使用 1024 字

节的大小。

MFT 文件记录由记录头,数个文件属性和结束标志“FF FF FF FF”组成，一般大小为 1K

（两个扇区）。为了 8 字节对齐，在结束标志之后，会填充 4 个字节“82 79 47 11”。

虚拟簇号：

非驻留数据中的每个簇都有一个特定的序号，这个序号就叫做虚拟簇号，虚拟簇号 0

指向数据流的第一个簇。

逻辑簇号：

卷中的每一个簇都有一个特定的序号，这个序号就叫做逻辑簇号，逻辑簇号 0 指向卷中

的第一个簇(引导扇区)。

数据流描述：

存放在间隔的簇中的属性数据称为流。每一个流都由起始簇号和尺寸来描述。流的起始

簇号是相对于前一个流的偏移，该值是一个有符号数。流描述的格式如下：

名字偏移大小说明

SD_Desc 0 1 流描述说明，高 4 位(M)描述流描述偏移的字节数，低 4

位(N)描述流描述尺寸的字节数

SD_Size 1 N 当前流的尺寸

SD_Off N+1 M 当前流相对于上一个流的偏移，如果该值的最高位为 1 则

表示该值是一个负数。第一个流的值为逻辑簇号，从第二

个流开始值为偏移的簇数。

一个流描述之后紧随着下一个流描述，如果下一个描述的 SD_Desc 为 0 则表示当前描

述是最后一个。

一般情况下压缩文件和稀疏文件数据都以流的形式描述。

例 1：通常情况

流描述：

21 20 ED 5 22 48 7 48 22 21 28 C8 DB 0

流 1： SD_Desc = 21 –偏移占 2 个字节，尺寸占 1 个字节。

SD_Size = 20 (1 字节)

SD_Off = 5ED (2 字节)

Offset = 5ED

Length= 20

流 2： SD_Desc = 22 –偏移占 2 个字节，尺寸占 2 个字节。

第 5 页共 58 页

0x08 个稀疏簇(未分配空间)

0x10 个簇存放在簇号 0x48 开始处

0x0C 个簇存放在簇号 0x58 开始处

0x04 个稀疏簇(未分配空间)

二、 MFT 文件记录头

MFT 文件记录头部结构

偏移长度描述

0X00 4 固定值，ASCII 码的“FILE”。如果在 MFT 文件记录中发现错误，

可能将其改写成“BAAD”的字样。

0X04 2 更新序列号的偏移

0X06 2 更新序列号的个数+1(N)。通常为 3，每个扇区的最后两个字节为更

新序列号（修正值），共两个扇区，再加 1 等于 3。

0X08 8 日志文件序列号，该值在记录每次被修改时都会被改动

0X10 2 序列号（用于记录文件被反复使用的次数）

0X12 2 硬连接数，目录中记录本文件的引用计数，非常重要的参数。该值

只用于基本文件记录。例如：当文件名的长度超过 8 个字符时，系

统会在目录中创建两个索引指向该 MFT 文件记录，其中一个为长

文件名索引，一个为短文件名索引。此时，该处的值为 2。如果文

件名的长度小于等于 8 个字符，系统在目录中仅创建一个索引指向

该 MFT 文件记录，此时，该处的值为 1。

0X14 2 第一个属性的偏移

0X16 2 标志字节。表示文件的状态：1 表示普通文件；0 表示文件被删除；

0X18 8 文件记录实时大小

0X1C 4 文件记录分配大小

0C20 8 当前文件记录的基本文件记录的索引。如果当前文件记录是基本文

件记录则该值为 0，否则指向基本文件记录的记录索引。

注意：该值的低 6 字节是 MFT 记录号，高 2 字节是该 MFT 记录的

序列号。实际上，在 MFT 文件记录中 MFT 记录号使用 4 个字节。

MFT 记录号为 MFT 文件记录头部偏移 0X30，MFT 记录的序列号为

MFT 文件记录头部偏移 0X10。

0X28 2 下一个自由 ID 号。每次对 MFT 文件记录的属性进行修改，都将使

该属性的属性 ID（属性头偏移 0x0E 处）发生改变，例如，修改文

件名（0X 30 属性）。属性 ID 发生改变后所使用的就是这个号。每

次对 MFT 文件记录的属性进行修改后，都会产生一个新的自由 ID

号。

0X2A 2 保留(XP 新增,3.1+)

0X2C 4 WINDOWS XP 中使用，本 MFT 记录号

0X30 2 更新序列号

0X32 (N－1)*2 序列号占用的空间的原值

关于更新序列号的说明：

更新序列号是Microsoft公司为了确保记录数据的可靠性而在NTFS卷中提出的一项技

术，在 NTFS卷中，所有的记录类型数据(FR、IR)占用的空间都是按扇区尺寸(512字节)对齐。

剩余57页未读，继续阅读

评论收藏

内容反馈

太虚野老

粉丝: 284

NTFS文件系统

文件系统NTFS

NTFS文件系统研究

NTFS文件系统详解

ntfs.sys系统文件下载

NTFS文件系统规范

NTFS 文件格式源码

ntfs文件系统源码包

NTFS文件系统扇区存储探秘_扫描完整版

NTFS_3G文件系统支持包

ntfs-3g源码

NTFS文件系统1

NTFS文件系统构成

ntfs文件系统扇区存储探秘

NTFS文件系统参考书籍(全部中文版本)

NTFS文件系统若干技术研究

Linux下挂载使用NTFS文件系统

NTFS文件系统详细分析

Linux中生成测试用的NTFS文件系统

UDF ISO9660 FAT(12,16,32) NTFS文件系统规范以及示例代码

NTFSDOS.EXE

NtfsDos.zip

Linux之如何支持NTFS文件系统？

NTFS文件系统分析

ComfyUI工作流 使用Joy_caption_two依据画面生成描述

中兴无源光网络（ZXA10-XPON）

最新资源

ComfyUI工作流使用Joy_caption_two依据画面生成描述