mft文件记录属性头包括_NTFS文件系统常用属性表.doc

  • Post author:
  • Post category:其他


NTFS文件系统常用属性表

NTFS元文件 号元 文 件功 能0$MFT主文件表本身1$MFTMirr主文件表的部分镜像2$LogFile日志文件3$Volume卷文件4$AttrDef属性定义列表5$Root根目录6$Bitmap位图文件7$Boot引导文件8$BadClus坏簇文件9$Secure安全文件10$UpCase大写文件11$Extend metadata directory扩展元数据目录12$Extend\$Reparse重解析点文件13$Extend\$UsnJrnl变更日志文件14$Extend\$Quota配额管理文件15$Extend\$ObjId对象ID文件16~23保留23+用户文件和目录

文件记录可能的属性

类型操作系统名称0x10标准信息0x20属性列表0x30文件名0x40NT卷版本0x402K对象ID0x50安全描述符0x60卷名0x70卷信息0x80数据0x90索引根0xA0索引分配0xB0位图0xC0NT符号连接0xC02K重解析点0xD0?扩展信息0xE0?扩展0xF0NT特权设置0x1002K日志流

MFT文件记录头部结构布局

偏移长度描述0X04固定值,一定是“FILE”0X42更新序列号的偏移0X62更新序列号与更新数组以字为单位大小(S)0X88日志文件序列号(每次记录被修改,都将导致该序列号加1)0X102序列号(用于记录本文件记录被重复使用的次数,每次文件删除时加1,跳过0值,如果为0,则保持为0)0X122硬连接数,只出现在基本文件记录中,目录所含项数要使用到它0X142第一个属性流的偏移地址0X162标志字节,1表示记录使用中,2表示该记录为目录0X184文件记录实际大小(填充到8字节,即以8字节为边界)0X1C4文件记录分配大小(填充到8字节,即以8字节为边界)0X208所对应的基本文件记录的文件参考号(扩展文件记录中使用,基本文件记录中为0,在基本文件记录的属性列表0X20属性存储中扩展文件记录的相关信息)0X282下一个自由ID号,当增加新的属性时,将该值分配给新属性,然后该值增加,如果MFT记录重新使用,则将它置0,第一个实例总是00X2A2边界,WINDOWS XP中使用,也就是本记录使用的两个扇区的最后两个字节的值0X2c4WINDOWS XP中使用,本MFT记录号0X302更新序列号0X322S-2更新序列数组

标准属性的属性头结构

偏移大小值描述0x0040X10属性类型(10,标准属性)0x0440X60总长度(包括头部本身)0x0810x00非常驻标志(1表示非常驻)0x0910x00属性名的名称长度0x0A20x18属性名的名称偏移0x0C20x00标志(似乎已经不再使用,统一放在文件属性中)0x0E2属性ID(此处的属性ID不是指与0X10同级别的属性,应该是指下一级属性,如多数据流,每个数据流属性都有一个属性ID,但都是数据流属性0X80)0x104L属性体长度(L)0x1420x18属性内容起始偏移0x161索引标志0x1710x00填充0x18L从此处开始,共L字节为属性

标准属性的属性体结构

偏移大小操作系统描述~~标准属性头(已经分析过)0x008C Time – 文件创建时间0x088A Time – 文件修改时间0x108M Time – MFT变化时间0x188R Time – 文件访问时间0x204文件属性(按照DOS术语来称呼,都是文件属性)0x244文件所允许的最大版本号(0表示未使用)0x284文件的版本号(最大版本号为0,则也为0)0x2C4类Id(一个双向的类索引)0x3042K所有者Id(表示文件的所有者,是文件配额$Quota中$O和$Q索引的关键字,为0表示未使用磁盘配额)0x3442K安全Id是文件$Secure中$SII索引和$SDS数据流的关键字,注意不要与安全标识相混淆0x3882K本文件所占用的字节数,它是文件所有流占用的总字节数,



版权声明:本文为weixin_29009501原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。