NTFS:解读NTFS
解读NTFS(一) NTFS是一个比FAT复杂的多的文件系统 NTFS的引导扇区也是完成引导和定义分区参数,和FAT分区不同,FAT分区的BOOT记录正常,就显示分区没有错误,即使文件不正确,而NTFS分区的BOOT不是分区的充分条件,它要求必须MFT中的系统记录如$MFT等正常该分区才能正常访问。其BPB参数如下表所示。 字节偏移 长度 常用值 意义 0x0B 字 0x0002 每扇区字节数 0x0D 字节 0x08 每簇扇区数 0x0E 字 0x0000 保留扇区 0x10 3字节 0x000000 总为0 0x13 字 0x0000 NTFS未使用,为0 0x15 字节 0xF8 介质描述 0x16 字 0x0000 总为0 0x18 字 0x3F00 每磁盘扇区数 0x1A 字 0xFF00 磁头数 0x1C 双字 0x3F000000 隐含扇区 0x20 双字 0x00000000 NTFS未使用,为0 0x28 8字节 0x4AF57F0000000000 扇区总数 0x30 8字节 0x0400000000000000 $MFT的逻辑簇号 0x38 8字节 0x54FF070000000000 $MFTMirr的逻辑簇号 0x40 双字 0xF6000000 每MFT记录簇数 0x44 双字 0x01000000 每索引簇数 0x48 8字节 0x14A51B74C91B741C 卷标 0x50 双字 0x00000000 检验和 MFT中的文件记录大小一般是固定的,不管簇的大小是多少,均为1KB。文件记录在MFT文件记录数组中物理上是连续的,且从0开始编号,所以,NTFS是预定义文件系统。MFT仅供系统本身组织、架构文件系统使用,这在NTFS中称为元数据(metadata,是存储在卷上支持文件系统格式管理的数据。它不能被应用程序访问,只能为系统提供服务)。其中最基本的前16个记录是操作系统使用的非常重要的元数据文件。这些元数据文件的名字都以“$”开始,所以是隐藏文件,在Windows 2000/XP中不能使用dir命令(甚至加上/ah参数)像普通文件一样列出。在WINHEX中带有NFI.EXE,用此工具可以显示这些记录与文件的对应关系,下一次再详细解释。 每磁盘扇区数 0x1A 字 0xFF00 磁头数 0x1C 双字 0x3F000000 隐含扇区 0x20 双字 0x00000000 NTFS未使用,为0 0x28 8字节 0x4AF57F0000000000 扇区总数 0x30 8字节 0x0400000000000000 $MFT的逻辑簇号 0x38 8字节 0x54FF070000000000 $MFTMirr的逻辑簇号 0x40 双字 0xF6000000 每MFT记录簇数 0x44 双字 0x01000000 每索引簇数 0x48 8字节 0x14A51B74C91B741C 卷标 0x50 双字 0x00000000 检验和 MFT中的文件记录大小一般是固定的,不管簇的大小是多少,均为1KB。文件记录在MFT文件记录数组中物理上是连续的,且从0开始编号,所以,NTFS是预定义文件系统。MFT仅供系统本身组织、架构文件系统使用,这在NTFS中称为元数据(metadata,是存储在卷上支持文件系统格式管理的数据。它不能被应用程序访问,只能为系统提供服务)。其中最基本的前16个记录是操作系统使用的非常重要的元数据文件。这些元数据文件的名字都以“$”开始,所以是隐藏文件,在Windows 2000/XP中不能使用dir命令(甚至加上/ah参数)像普通文件一样列出。在WINHEX中带有NFI.EXE,用此工具可以显示这些记录与文件的对应关系,下一次再详细解释。
暂无评论