NTFS:解读NTFS

解读NTFS(一) NTFS是一个比FAT复杂的多的文件系统 NTFS的引导扇区也是完成引导和定义分区参数，和FAT分区不同，FAT分区的BOOT记录正常，就显示分区没有错误，即使文件不正确，而NTFS分区的BOOT不是分区的充分条件，它要求必须MFT中的系统记录如$MFT等正常该分区才能正常访问。其BPB参数如下表所示。 字节偏移 长度 常用值 意义 0x0B 字 0x0002 每扇区字节数 0x0D 字节 0x08 每簇扇区数 0x0E 字 0x0000 保留扇区 0x10 3字节 0x000000 总为0 0x13 字 0x0000 NTFS未使用，为0 0x15 字节 0xF8 介质描述 0x16 字 0x0000 总为0 0x18 字 0x3F00 每磁盘扇区数 0x1A 字 0xFF00 磁头数 0x1C 双字 0x3F000000 隐含扇区 0x20 双字 0x00000000 NTFS未使用，为0 0x28 8字节 0x4AF57F0000000000 扇区总数 0x30 8字节 0x0400000000000000 $MFT的逻辑簇号 0x38 8字节 0x54FF070000000000 $MFTMirr的逻辑簇号 0x40 双字 0xF6000000 每MFT记录簇数 0x44 双字 0x01000000 每索引簇数 0x48 8字节 0x14A51B74C91B741C 卷标 0x50 双字 0x00000000 检验和 MFT中的文件记录大小一般是固定的，不管簇的大小是多少，均为1KB。文件记录在MFT文件记录数组中物理上是连续的，且从0开始编号，所以，NTFS是预定义文件系统。MFT仅供系统本身组织、架构文件系统使用，这在NTFS中称为元数据（metadata，是存储在卷上支持文件系统格式管理的数据。它不能被应用程序访问，只能为系统提供服务）。其中最基本的前16个记录是操作系统使用的非常重要的元数据文件。这些元数据文件的名字都以“$”开始，所以是隐藏文件，在Windows 2000/XP中不能使用dir命令（甚至加上/ah参数）像普通文件一样列出。在WINHEX中带有NFI.EXE，用此工具可以显示这些记录与文件的对应关系，下一次再详细解释。