NTFS文件系统结构探索.pdf_微软的文件系统叫什么资源-CSDN文库

ntfs

需积分: 10 83 浏览量 2021-12-09 17:24:13 上传评论收藏 9.94MB PDF 举报

资源详情

资源评论

资源推荐

第

页共

112

页

NTFS 文件系统

结构探索

李佳伦

第

页共

112

页

前言.....................................................................................................................................................6

第一章 NTFS 概述以及 BPB 参数表.............................................................................................. 7

1.1 硬盘的构成..........................................................................................................................8

1.2 一个基于 NTFS 的分区的构成..........................................................................................8

1.3 PBS 扇区与 BPB 参数表.....................................................................................................8

第二章 MFT 结构的基本概述........................................................................................................11

2.1 目录的 MFT 构成概述..................................................................................................... 13

2.1.1 目录索引项的添加过程........................................................................................ 15

2.1.2 目录索引项的删除过程........................................................................................ 18

2.2 文件的 MFT 构成概述..................................................................................................... 20

2.3 数据运行............................................................................................................................21

第三章记录头.................................................................................................................................24

第四章属性.....................................................................................................................................30

4.1 标准属性头........................................................................................................................32

4.1.1 常驻，无属性名的属性的属性头........................................................................ 32

4.1.2 常驻，有属性名的属性的属性头........................................................................ 33

4.1.3 非常驻，无属性名的属性的属性头.................................................................... 34

4.1.4 非常驻，有属性名的属性的属性头.................................................................... 36

4.2 标准信息属性（0x10）....................................................................................................37

4.3 文件名属性（0x30）........................................................................................................40

4.4 索引根属性（0x90）........................................................................................................43

4.4.1 索引根部分.............................................................................................................43

4.4.2 根索引区.................................................................................................................44

4.4.3 索引项的数据结构.................................................................................................45

4.5 索引分配属性（0xA0）...................................................................................................49

4.5.1 索引记录（子节点）的数据结构........................................................................ 50

4.6 位图属性（0xB0）........................................................................................................... 54

4.7 数据属性（0x80）............................................................................................................55

4.8 属性列表属性（0x20）....................................................................................................58

第五章元文件.................................................................................................................................67

5.1 $MFT（0）.........................................................................................................................68

5.2 $MFTMirr（1）................................................................................................................. 73

5.3 $LogFile（2）.................................................................................................................... 75

5.4 $Root（5）.........................................................................................................................76

第

页共

112

页

5.5 $Bitmap（6）.....................................................................................................................79

5.6 $Secure（9）......................................................................................................................81

5.7 $Boot（7）.........................................................................................................................88

第六章添加一个文件的过程.........................................................................................................93

6.1 寻找欲添加的分区............................................................................................................93

6.2 寻找应添加的父目录......................................................................................................104

6.3 添加文件内容到硬盘并创建 MFT................................................................................ 108

6.4 添加文件索引项..............................................................................................................109

图 1.1 PBS 扇区....................................................................................................................11

图 2.1 $MFT 的内容............................................................................................................ 13

图 2.2 目录 MFT 的结构..................................................................................................... 14

图 2.3 文件 MFT 构成......................................................................................................... 20

图 3.1 扩展文件记录与基本文件记录............................................................................... 28

图 3.2 Windows 2000 系统的$Root 文件记录的记录头.................................................. 28

图 3.3 Windows XP 系统的 system32 文件记录的记录头...............................................29

图 4.1 常驻，无属性名的属性的属性头........................................................................... 33

图 4.2 常驻，有属性名的属性的属性头........................................................................... 34

图 4.3 非常驻，无属性名的属性的属性头....................................................................... 36

图 4.4 非常驻，有属性名的属性的属性头....................................................................... 37

图 4.5 标准信息属性（0x10）............................................................................................39

图 4.6 文件名属性（0x30）................................................................................................42

图 4.7 图 4.6 所示文件在其父目录中的索引项................................................................ 48

图 4.8 含有子节点的索引项................................................................................................48

图 4.9 空索引项....................................................................................................................49

图 4.10 索引根属性的完整例子..........................................................................................49

图 4.11 索引分配属性（0xA0）.........................................................................................50

图 4.12 索引记录区..............................................................................................................52

图 4.13 位图属性（0xB0）.................................................................................................55

图 4.14 常驻数据属性（0x80）..........................................................................................56

图 4.15 图 4.14 所示的文件的内容.................................................................................... 56

图 4.16 非常驻数据属性（0x80）..................................................................................... 57

图 4.17 图 4.16 所示的非常驻数据属性的第一簇的内容................................................ 57

图 4.18 图 4.16 所示的文件的开头部分内容.................................................................... 58

图 4.19 属性列表属性（0x20）..........................................................................................60

图 4.20 扩展 MFT 记录....................................................................................................... 61

图 5.1 $MFT 的 MFT 记录内容.......................................................................................... 69

图 5.2 图 5.1 所属的 NFTS 分区的 BPB 参数表...............................................................70

图 5.3 0x1D 号 MFT 的内容............................................................................................... 70

图 5.4 图 5.1 所示的$MFT 的比特图属性所指向的硬盘区域.........................................71

图 5.5 添加一个目录后的$MFT 比特图属性所指向的硬盘区域....................................71

图 5.6 经过扩展后的$MFT 的 MFT 记录内容..................................................................72

图 5.7 扩展后的$MFT 的比特图属性指向的硬盘区域....................................................72

图 5.8 删除文件后的$MFT 的 MFT 记录的内容..............................................................73

第

页共

112

页

图 5.9 删除文件后的$MFT 的比特图属性指向的硬盘区域............................................73

图 5.10 $MFTMirr 的 MFT 记录的内容.............................................................................74

图 5.11 备份的$MFT 的 MFT 记录内容............................................................................ 75

图 5.12 $Root 的 MFT 记录的内容.................................................................................... 77

图 5.13 根目录的索引记录区..............................................................................................79

图 5.14 $Bitmap 的 MFT 记录的内容................................................................................ 80

图 5.15 $Bitmap 的数据流起始部分...................................................................................81

图 5.16 $SDH,$SII 和$SDS 的关系.................................................................................... 82

图 5.17 $Boot 的 MFT 记录的内容.................................................................................... 88

图 6.1 MBR 扇区内容..........................................................................................................93

图 6.2 表格 6.1 中系统 ID 的含义...................................................................................... 95

图 6.3 图 6.1 所示硬盘的第一个分区的首扇区的内容.................................................... 96

图 6.4 硬盘结构....................................................................................................................98

图 6.5 图 6.1 所示硬盘的第一扩展引导记录的内容........................................................ 99

图 6.6 图 6.1 所示硬盘的第一扩展分区的首扇区的内容.............................................. 100

图 6.7 图 6.1 所示硬盘的第二扩展引导记录的内容...................................................... 101

图 6.8 图 6.1 所示硬盘的第二扩展分区的首扇区的内容.............................................. 102

图 6.9 图 6.1 所示硬盘的第三扩展引导记录的内容...................................................... 103

图 6.10 图 6.1 所示硬盘的第四扩展分区的首扇区的内容............................................ 104

图 6.11 e 盘的逻辑零簇内容.............................................................................................104

图 6.12 e 盘的$MFT 的 MFT 记录的内容....................................................................... 105

图 6.13 e 盘的$Root 的 MFT 记录的内容........................................................................106

图 6.14 e 盘根目录的第一级索引记录区的内容............................................................ 107

图 6.15 e 盘的根目录的第二辑索引记录区的内容........................................................ 108

图 6.16 FIRST 目录的 MFT 记录的内容......................................................................... 110

图 6.17 FIRST 目录项的索引记录区的内容....................................................................112

表格 1.1 NTFS 构成...............................................................................................................8

表格 1.2 BPB 参数表........................................................................................................... 10

表格 2.1 元文件（保留记录）............................................................................................12

表格 3.1 记录头的构成........................................................................................................26

表格 3.2 fixup 的建立过程.................................................................................................. 27

表格 3.3 USA 的建立与 USN 写入扇区结尾的过程........................................................ 27

表格 4.1 NTFS 定义的各种属性.........................................................................................31

表格 4.2 表格 4.1 中的标志项的含义................................................................................ 31

表格 4.3 常驻，无属性名的属性的属性头数据结构....................................................... 33

表格 4.4 表格 4.3 种标志项的含义.................................................................................... 33

表格 4.5 常驻，有属性名的属性的属性头的数据结构................................................... 34

表格 4.6 非常驻，无属性名的属性的属性头的数据结构............................................... 35

表格 4.7 非常驻，有属性名的属性的属性头的数据结构............................................... 37

表格 4.8 标准信息属性（0x10）的数据结构................................................................... 38

表格 4.9 DOS 文件许可的含义...........................................................................................39

表格 4.10 文件名属性（0x30）的数据结构..................................................................... 41

表格 4.11 文件参考的构成..................................................................................................41

第

页共

112

页

表格 4.12 索引根属性（0x90）的索引根部分的数据结构............................................. 44

表格 4.13 表格 4.12 中的排列规则项的含义.................................................................... 44

表格 4.14 索引根属性（0x90）的索引头部分的数据结构............................................. 45

表格 4.15 表格 4.14 中的标志项的含义............................................................................ 45

表格 4.16 索引项的数据结构..............................................................................................47

表格 4.17 空索引项的数据结构..........................................................................................49

表格 4.18 索引分配属性（0xA0）的数据结构................................................................ 50

表格 4.19 索引记录区的头部分数据结构......................................................................... 54

表格 4.20 位图属性（0xB0）的数据结构.........................................................................54

表格 4.21 数据属性（0x80）的数据结构......................................................................... 55

表格 4.22 属性列表属性（0x20）的属性记录的数据结构............................................. 59

表格 5.1 各个元文件及其 MFT 编号................................................................................. 68

表格 5.2 $MFT 的数据结构................................................................................................ 69

表格 5.3 $MFTMirr 的数据结构.........................................................................................74

表格 5.4 $LogFile 的数据结构............................................................................................75

表格 5.5 $Root 的数据结构.................................................................................................76

表格 5.6 $Bitmap 的数据结构.............................................................................................80

表格 5.7 $Secure 的数据结构..............................................................................................83

表格 5.8 $Boot 的数据结构.................................................................................................88

表格 6.1 MBR 扇区的分区表的数据结构......................................................................... 94

表格 6.2 扩展分区表的第一个记录的数据结构............................................................... 97

表格 6.3 扩展分区表的第二个记录的数据结构............................................................... 97

剩余111页未读，继续阅读

评论收藏

内容反馈

nowtm

粉丝: 5
资源: 2

NTFS文件系统结构探索.pdf

评论0

最新资源

NTFS文件系统结构探索.pdf

评论0

论文研究-NTFS文件系统结构分析 .pdf

NTFS文件系统总体布局.pdf

NTFS文件系统元文件.pdf

NTFS文件系统规范参照.pdf

NTFS文件系统结构详解

NTFS文件系统的主要数据结构.pdf

NTFS文件系统功能简介.pdf

NTFS文件系统根目录结构.pdf

NTFS文件系统结构分析（2006年）

ntfs加密文件破解借鉴.pdf

ntfs加密文件破解实用.pdf

NTFS主文件表MFT.pdf

实验七 NTFS文件系统权限实验.doc

基于文件系统数据结构互补的NTFS引导扇区智能修复系统.pdf

NTFS元数据文件表.pdf

实验五NTFS文件系统设计应用.doc

CentOS5.2挂NTFS文件系统

分布式文件系统NTFS概述.pdf

用Winhex手工定位NTFS文件系统下的文件[汇编].pdf

NTFS文件系统扇区存储探秘_扫描完整版

NTFS特殊权限的设置.pdf

Office-Tool-with-runtime-v9.0.4.2

Microsoft Visual C++ 2015-2019 运行库合集，包含32位64位

解决microsoft.ace.oledb.12.0连接失败所需要的驱动 完整版.zip

wps中excel日期控件下载

网易有道离线安装包下载

storage(已通关).circ

PCIE5.0协议标准

AZ-900 185题库中文翻译版.docx

最新资源

解决microsoft.ace.oledb.12.0连接失败所需要的驱动完整版.zip