Windows XP的 MFT项数据结构
Windows XP的 MFT项数据结构Windows XP下创建的NTFS文件系统,其MFT头增加了8个字节。最主要的是它将所有的MFT项由0开始进行编号,并将这个编号记录在该MFT项的头中。windows XP下创建的NTFS文件系统的MFT项,其结构详细解释如下:
(1)0x00~0x03:4个字节,MFT项的签名值“46494C45”,明文为“FILE”。如果操作系统的磁盘检测程序发现某个项存在错误,则会将“FILE”改写成“BAAD”。
(2)0x04~0x05:2个字节,更新序列号的偏移。对于Windows XP下创建的NTFS文件系统,此处值通常为48(0x30)。
(3)0x06~0x07:2个字节,更新序列号的数组个数,通常为3(0x03)。
(4)0x08~0x0F:8个字节,日志序列号(LSN)。
(5)0x10~0x11:2个字节,序列号,每当该MFT项被分配或取消分凹巳时,这个序列号都会加1。
(6)0x12~0x13:2个字节,硬链接数,指有多少文件名指向该MFT项。
(7)0x14~0x15: 2个字节,第一个属性的偏移地址。第一个属性起始于这个偏移字节值,其他的属性跟在第一个属性后面。最后一个属性结束后,在其后面写入0xFFFFFFFF,表示后面已不再有属性。
(8)0x16~0x17:2个字节,标志,表示文件或目录的状态。
0x01表示文件,文件被删除则将此标志设置为0x00。
0x03表示目录,目录被删除则将此标志设置为0x02。
(9)Ox18~0x1B:4个字节,MFT项的逻辑长度,即该MFT项的内容使用的实际长度。
(10)0x1C~0x1F: 4个字节,MFT项的物理长度,也就是为每个MFT项分配的长度,通常为1024字节,即2个扇区。
(11)0x20~0x27:8个字节,基本文件记录索引号。
(12)0x28~0x29: 2个字节,下一属性ID。如果要为文件增加属性时,就使用这个ID号。
(13)0x2C~0x2F:4个字节,如果是在Windows XP下建立的NTFS文件系统,会将所有的MFT项由0开始依次进行编号,本MFT项的编号就记录在这个位置。这个位置的编号值在RAID数据恢复的分析过程中对于判断块大小、盘序以及同异步会有极大的帮助。
(14)0x30~0x37:更新序列号数组。有的资料中将这个位置称为“修正值数组”。 学习一下~~~~~~~~ MFT是什么啊? 不错,很多资料没有这么细 收藏了先,正在为mft苦恼 MFT还是学起来比较难的,容易乱了! 很详细的资料
页:
[1]