楼主: zbp123 - 

解读NTFS(三)

  [复制链接]

该用户从未签到

105

主题

367

回帖

2610

积分

[INTOHARD]营长

Rank: 6Rank: 6

积分
2610
QQ
发表于 2011-10-7 08:34:42 | 显示全部楼层
谢谢分享,学习了。
回复 支持 反对

使用道具 举报

该用户从未签到

105

主题

367

回帖

2610

积分

[INTOHARD]营长

Rank: 6Rank: 6

积分
2610
QQ
发表于 2011-10-7 08:34:49 | 显示全部楼层
谢谢分享,学习了。
回复 支持 反对

使用道具 举报

  • TA的每日心情
    奋斗
    2017-9-4 07:27
  • 签到天数: 1934 天

    [LV.Master]三朝元老

    18

    主题

    3018

    回帖

    3万

    积分

    [INTOHARD]师长

    Rank: 10Rank: 10Rank: 10

    积分
    30005
    QQ
    发表于 2011-10-7 09:22:17 | 显示全部楼层
    好的资料需要大家一起来支持的,
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2015-3-19 10:07
  • 签到天数: 4 天

    [LV.2]九品芝麻官

    24

    主题

    250

    回帖

    1872

    积分

    [INTOHARD]营长

    Rank: 6Rank: 6

    积分
    1872
    发表于 2011-10-7 09:32:32 | 显示全部楼层
    为了看帖才回复,为什么不是因为技术好而回复呢?
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2015-3-19 10:07
  • 签到天数: 4 天

    [LV.2]九品芝麻官

    24

    主题

    250

    回帖

    1872

    积分

    [INTOHARD]营长

    Rank: 6Rank: 6

    积分
    1872
    发表于 2011-10-7 09:33:39 | 显示全部楼层
    方便其他人吧,其实书上都有的

    MFT文件记录结构分析

    主文件表MFT的文件记录由记录头和属性列表组成,由“FF FF FF FF”结束,一般大小为1K,或一个簇大小(这样一般就更大),记录头包括以下一些域:

    偏移 长度(字节) 属性
    0X00 4 标志,一定是“FILE”
    0X04 2 更新序列US的偏移
    0X06 2 更新序列号USN的大小与数组,包括第一个字节
    0X08 8 日志文件序列号LSN
    0X10 2 序列号(SN)
    0X12 2 硬连接数
    0X14 2 第一个属性的偏移地址
    0X16 2 标志,1表示记录正在使用,2表示该记录为目录
    0X18 4 记录头和属性的总长度,即文件记录的实际长度,
    0X1C 4 总共分配给记录的长度
    0X20 8 基本文件记录中的文件索引号
    0X28 2 下一属性ID
    0X2A 2 XP中使用,边界
    0X2C 4 XP中使用,本文件记录号

    每次记录被修改都将导致日志文件序列号$LogFile Sequence Number(LSN)发生变化。
    序列号Sequence Number(SN)用于记录主文件表记录被重复使用的次数。
    硬连接数Hard Link Count记录硬连接的数目,只出现在基本文件记录中。
    文件记录的实际长度是文件记录在磁盘上实际占用的字节空间。
    基本文件记录中的文件索引号,对于基本文件记录,其值为0,如果不为0,则是一个主文件表的文件索引号,指向所属的基本文件记录中的文件记录号,在基本文件记录中包含有扩展文件记录的信息,存储在“属性列表ATTRIBUTE_LIST”属性中。

    属性列表是可变长度区,以“FF FF FF FF”结束,对于1K长度的MFT记录,属性列表的起始偏移为0x30。


    索引记录结构分析

    每一个索引记录都是由一个标准的索引头和一些包含索引键和索引数据的块组成的。索引记录的大小在引导记录 $Boot中定义,一般总是4KB。
    标准索引头的结构如下:

    偏移 大小 说明
    0X00 4 总是“INDX”
    0X04 2 更新序号偏移
    0X06 2 更新序列号USN的大小与排列,包括第一个字节
    0X08 8 日志文件序列号LSN
    0X10 8 该索引缓冲在索引分配中的索引VCN
    0X18 4 索引入口的偏移(相对于0X18)
    0X1C 4 索引入口的大小(相对于0X18)
    0X20 4 索引入口的分配大小(相对于0X18)
    0X24 1 非页级节点为1(有子索引)
    0X25 3 总是0
    0X28 2 更新序列号
    0X2A 2S-2 更新序列排列

    常用索引列表

    名称 索引 说明
    $I30 文件名 目录使用
    $SDH 安全描述 $SECURE
    $SII 安全IDS $SECURE
    $O 对象IDS $OBJID
    $O 所有者IDS $QUOTA
    $Q 配额 $QUOTA
    $R 重解析点 $REPARSE
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    5

    主题

    227

    回帖

    206

    积分

    [INTOHARD]排长

    Rank: 3Rank: 3

    积分
    206
    QQ
    发表于 2011-10-28 09:36:39 | 显示全部楼层
    回帖看帖是美德
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2014-9-29 09:02
  • 签到天数: 726 天

    [LV.9]二品侍郎

    14

    主题

    1514

    回帖

    5218

    积分

    [INTOHARD]团长

    范让兵

    Rank: 8Rank: 8

    积分
    5218
    QQ
    发表于 2011-10-28 09:57:42 | 显示全部楼层
    好的资料需要大家一起来支持的,
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2015-3-30 14:22
  • 签到天数: 79 天

    [LV.6]五品郎中

    13

    主题

    323

    回帖

    1854

    积分

    [INTOHARD]营长

    Rank: 6Rank: 6

    积分
    1854
    发表于 2011-10-28 10:15:35 | 显示全部楼层
    支持 楼主 回帖是一种美德!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    0

    主题

    5

    回帖

    11

    积分

    [INTOHARD]工兵

    Rank: 1

    积分
    11
    发表于 2011-10-28 10:21:38 | 显示全部楼层
    先睹为快下
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    0

    主题

    12

    回帖

    42

    积分

    [INTOHARD]工兵

    Rank: 1

    积分
    42
    QQ
    发表于 2011-10-28 20:12:48 | 显示全部楼层
    好东西!!!!!!!!!
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    快速回复 返回顶部 返回列表