NTFS属性讲述.pptVIP

NTFS属性分析 MFT文件记录结构 主文件表的文件记录由记录头和属性列表组成，大小为1KB或一个簇大小。 属性列表长度可变，以“FF FF FF FF”结束。 对于1KB长度的MFT记录，属性列表的起始偏移为0x30 文件通过MFT来确定存储位置。MFT是一个对应的数据库，由一系列文件记录组成－－卷中每个文件都有一个文件记录（大型文件可能有多个记录与之对应），其中第一个文件记录称为基本文件记录 MFT文件的MFT分析 MFT头 10H类型属性（标准属性信息） 30H类型属性（文件名属性） 80H类型属性（数据属性） B0H类型属性（位图属性） MFT结束标志 记录头的结构 每次记录修改都导致日志文件序列号($LogFile Sequence Number)变化 序列号(sn)用于记录主文件表记录被重复使用的次数 硬链接数记录硬链接数目，只出现在基文件记录中 文件记录的实际长度是文件记录在磁盘上实际占用的字节空间 基文件记录中的文件索引号，对于基本文件记录，其值为0，如果不为0，则是一个主文件表的文件索引号，指向所属的基本文件记录中的文件记录号，在基本文件记录中包含有扩展文件记录信息，储存在“属性列表”属性中 10属性 相对本属性起始地址，从偏移00H开始的四个字节表示类型，即属性名，这里是10H，在$AttrDef中，10H表示标准信息，所以，这里就是标准信息，前面已经介绍，所有