返回
NTFS文件系统解析.ppt

NTFS文件系统解析.ppt

ID:48029948

大小:2.43 MB

页数:53页

时间:2020-01-11

NTFS文件系统解析.ppt_第1页
NTFS文件系统解析.ppt_第2页
NTFS文件系统解析.ppt_第3页
NTFS文件系统解析.ppt_第4页
NTFS文件系统解析.ppt_第5页
资源描述:

《NTFS文件系统解析.ppt》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、NTFS文件系统解析1、基本概念元文件:NTFS包括几个系统文件,从NTFS卷来看,它们都是隐藏的。文件系统用系统文件来存放元数据并实现文件系统。系统文件是用Format程序放在卷上的。MFT属性:NTFS中所有与数据相关信息都称之为“属性”,甚至文件内容也被称为“数据属性”。NTFS与其他文件系统最大不同在于,大多数文件系统是对文件内容进行读写,而NTFS则是对包含文件内容的属性进行读写$MFT主文件表(在DBR里30~37表示。数值不是扇区号,而是簇号。在看簇大小0D偏移,就是说:簇号X8=扇区数)$MFTMirrMFT的镜像$LOGFILE日志文件,这个是删不掉的。(元文件不能被删除,

2、因为系统下不可访问)$volume见文件,记录号,创建时间$attrdef属性定义列表$bitmap位图文件$root根目录文件$badclus坏簇的列表,在格式化的时候,NTFS发现坏的簇会做标记。防止系统访问他,或者读取它。$boot引导文件$quota磁盘配额信息$secure安全文件$upcase大小写字母的转换$extendmetadatadirectry扩展元文件目录$extend$reparse解析文件$extend$usnjrnl加密日志文件$extend$quota配额管理文件$extend$objid对象ID文件NTFS的DBRNTFS的引导扇区也位于文件系统的0

3、号扇区,这是它与FAT文件系统在布局上的唯一相同之处。数据结构如下图,当格式化一个NTFS卷时,格式化程序分配开始的16个扇区给引导扇区和自举代码。在NTFS卷上,BPB后面的数据字段构成扩展BPB。启动过程中,这些字段中的数据可以使NTLDR(NTloader程序)找到主文件表(MFT)。在NTFS卷上,MFT不会放在特定的预定义扇区上(和FAT16或FAT32不一样),因此,如果MFT通常的位置有坏扇区,它可以移动。但是,如果数据遭到破坏,MFT无法定位,则WindowsNT/2000就认为该卷未格式化。字节偏移(十六进制)字节数含义00-023跳转指令03-0A8OEM名(“明文NTF

4、S”)0B-0C2每扇区字节数0D1每簇扇区数0E-0F2保留扇区数151介质描述符18-192每磁道扇区数(不检查此项)1A-1B2每柱面磁头数(不检查此项)1C-1F4隐含扇区数(不检查此项)24-274总是80008000(不检查此项)28-2F8文件系统扇区总和30-378MFT起始簇号38-3F8MFT备份的起始簇号401每MFT项大小41-433未使用441每个索引的簇数45-473未使用48-4F8序列号50-534校验和54-1FD426引导代码1FE-1FF2签名55AA标记以上引导扇区最为关键的字节数是0B-0C(每扇区字节数)0B-0C(每扇区字节数)0D(每簇扇区数)

5、28-2F(文件系统扇区总和)30-37(MFT起始簇号)38-3F(MFT备份的起始簇号)40(每MFT项大小)44(每个索引的簇数),但数据发生不可预料的损坏时,可以根据以上信息重建分区表,定位数据区,恢复MFT,重建DBR,这些关键字节码的用处不言而喻。$MFT主文件表(在DBR里30~37表示。数值不是扇区号,而是簇号。在看簇大小0D偏移,就是说:簇号X8=扇区数)跳转到上边的扇区数,就是文件记录。开头一定是File开头(46494C45)这就是$MFT的开始位置。30属性是6行半(就是文件名属性$MFT)因为$MFT也是以文件形式存储的,那么$MFT的第一个文件记录就是他的本身。实

6、际上$MFT是个数据库。向后边翻上两个扇区,就到了$MFTMirrMFT的镜像$MFT我们在DBR里也能看到他在什么地方。30~37H的数值上体现)$MFTMirr我们在DBR里的38~3F的数值上能体现出来。镜像应该跟$MFT是一样的,但是他跟FAT32不一样,所以备份也不一定是完全一样的。镜像只是前4个元文件的文件记录的备份。1、$MFT2、$MFTMirr3、日志文件4、卷标四个元文件之后,就没有备份了。所以向下搜索是搜索不到的,只有4个浏览文件点击WINHEX浏览文件$mft和$mftmirr在系统下是看不到的,只能在这里看到。$mft本身是一个文件大小会有变化,这里有32K$mft

7、mirr只有4K,占用8个扇区。MFT属性属性的结构:每个MFT项大小为1024字节,分为两部分,MFT头和属性列表。属性有许多类型,每种属性都有自己的内部结构:属性头和属性内容。由于属性有常驻属性和非常驻属性之分,所以属性头也有差别,但不管是常驻还是非常驻,它们属性头的前16个字节是相同的结构。(如下图)在这个MFT项中,0x00~0x37是MFT的头部。后面为属性列表。共有4个属性,前三个是常驻属性,最后

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。