|
|
在论坛上看到了一帖子:[求助] 请教关于NTFS分区中非常驻属性之中文件如何手工寻找 见http://bbs.intohard.com/thread-61775-1-1.html特对NTFS文件系统$INDEX_ROOT(0 X90)属性和$INDEX_ALLOCATION(0 XA0)属性作以下详解,如有不对请高手加以指正谢谢!
与其它文件系统不同, NTFS将文件作为属性/属性值的集合来处理(这里暂不对其它属性及参数分析,如需了解请查阅相关资料,也可以加我的QQ交流)
$INDEX_ROOT(0 X90)索引根属性包括:标准属性头、索引根、索引头、索引项。如下图所示
我们可以看到上图中:
一、索引根头
1 :偏移00H至03H值为30H,这里指的是属性类型,也就是30H类型的属性即文件名索引。
2:偏移08H至0BH处的值为00 10 00 00H这里指的是每个索引记录的大小(字节)上图中为:4096个字节。
3:偏移0CH处的值为01H,表示每簇索引记录的簇数,为一个簇。
二、索引头
1:偏移00H至03H值为10 00 00 00H指的是索引项相对于本索引头起始位置偏移0 X10H字节处。
(余下的就不一一分析了)
三、索引项
位于索引头后面的索引列表由一个个索引项组成,
当一个目录很小时,就可以完全存放在索引根属性中,这时该目录就只需要一个属性来描述。但是有的目录太大不能完全存放在索引根中时,这时就要用到$INDEX_ALLOCATION(0 XA0)索引分配属性来存放它的索引项。
$INDEX_ALLOCATION(0 XA0)属性,即索引分配属性,由标准属性头和数据运行列表组成。
索引分配属性总是为非常驻属性,由一个个的索引记录组成。索引记录存储在MFT以外的簇空间中,每个索引记录开始处都有一个标准属性头(索引记录头、后面为一个索引头),然后才是索引列表。
上图中的索引分配数据运行为31 01 B3 FE 66 00 00 00 H这里说明一下,这个数据运行是有8个字节的,但我们计算时只用到了5个字节,后面的3个字节是没有意义的,因为在MFT中属性的长度总是能被8整除的,有时如果不能被8整除,系统会补上一些没有意义的数据,可能是0,也可能是别的,但当某一个运行位置描述的首字节的值为00H时,就表示这个运行结束了。所以这里只有一个运行。即起始簇号为66 FE B3H=6749875,占用1个簇。我们转到6749875簇:
目录索引项用于索引至文件或目录名,结构与第一个图中的索引根下的索引项大致相同,但有些位置的内容还是有所不同。大家可以自行分析图中已经标出的目录索引项的结构,也可以加我的QQ:757926899互相交流。谢谢! |
-
|
狗仔卡
提升卡
置顶卡
喧嚣卡
变色卡
显身卡
【新手看老鸟闪】西数模块定义直观图
WD 28(PST)模块简要说明
电子产品结构与导热材料解决方案
硬盘坏道维修色块全去! 希捷F3去色块又一
58GrenadaBP2家族三角板盘1ERxx系列硬砍0头
发个西数固件11g
ST 2T监控硬盘不认别,怎么解决
可怜啊!希捷12代1T酷鱼ST31000524AS固件JC
主板设计中导热界面材料对降低接触热阻的影
西数机械故障,请大神相助