NTFS格式化分析.docVIP

NTFS格式化分析 1 首先NTFS格式化会在分区的第一个扇区写入引导记录和55AA标志，如上图所示。这 就是NTFS的第一个扇区。其中划线部分是最重要的参数，分别是每簇扇区数，$MFT起始簇号，$MFTMirr起始簇号。这三个参数是最重要的，也是用的最多的参数。 2 往下查找，发现0到6号扇区写入了数据。7号到31号扇区被进行了清零操作，书上说是本来分配给$BOOT文件的扇区数是16个扇区，只有前7个扇区会有内容，其他扇区会被清零，经过实验，确实是这样的。至于16到31号扇区也被进行了清零，所以NTFS格式化时，0到6号扇区被写入引到代码，7到16号扇区被清零，16号到31号扇区也是零，可能16号到31号扇区也会被某个文件占用。这次实验中只是进行了清零操作。 3 从32号扇区开始往下查找终于在102967号扇区找到了写入的数据在107067号扇区开始又是填充数7E直到107079号扇区也就是$MFT起始扇区 3 转到$MFT起始扇区，这里也就是107079号扇区，看看 这里我勾画出比较重要的属性，数据属性也就是80属性，还有它的运行。 起始LCN为 01 A2 47也就是107079号扇区正好就是这个扇区的扇区号。 分配给它的簇有64个簇，这里就是64个扇区。也就是32KB。$MFT初 始大小就只有32KB。我们继续往下找，在1