NTFS常用属性表.doc

NTFS元文件 号 元 文 件 功 能 0 $MFT 主文件表本身 1 $MFTMirr 主文件表的部分镜像 2 $LogFile 日志文件 3 $Volume 卷文件 4 $AttrDef 属性定义列表 5 $Root 根目录 6 $Bitmap 位图文件 7 $Boot 引导文件 8 $BadClus 坏簇文件 9 $Secure 安全文件 10 $UpCase 大写文件 11 $Extend metadata directory 扩展元数据目录 12 $Extend\$Reparse 重解析点文件 13 $Extend\$UsnJrnl 变更日志文件 14 $Extend\$Quota 配额管理文件 15 $Extend\$ObjId 对象ID文件 16~23 保留 23+ 用户文件和目录 文件记录可能的属性 类型 操作系统 名称 0x10 标准信息 0x20 属性列表 0x30 文件名 0x40 NT 卷版本 0x40 2K 对象ID 0x50 安全描述符 0x60 卷名 0x70 卷信息 0x80 数据 0x90 索引根 0xA0 索引分配 0xB0 位图 0xC0 NT 符号连接 0xC0 2K 重解析点 0xD0 ? 扩展信息 0xE0 ? 扩展 0xF0 NT 特权设置 0x100 2K 日志流 MFT文件记录头部结构布局 偏移 长度 描述 0X0 4 固定值，一定是“FILE” 0X4 2 更新序列号的偏移 0X6 2 更新序列号与更新数组以字为单位大小（S） 0X8 8 日志文件序列号（每次记录被修改，都将导致该序列号加1） 0X10 2 序列号（用于记录本文件记录被重复使用的次数，每次文件删除时加1，跳过0值，如果为0，则保持为0） 0X12 2 硬连接数，只出现在基本文件记录中，目录所含项数要使用到它 0X14 2 第一个属性流的偏移地址 0X16 2 标志字节，1表示记录使用中，2表示该记录为目录 0X18 4 文件记录实际大小（填充到8字节，即以8字节为边界） 0X1C 4 文件记录分配大小（填充到8字节，即以8字节为边界） 0X20 8 所对应的基本文件记录的文件参考号（扩展文件记录中使用，基本文件记录中为0，在基本文件记录的属性列表0X20属性存储中扩展文件记录的相关信息） 0X28 2 下一个自由ID号，当增加新的属性时，将该值分配给新属性，然后该值增加，如果MFT记录重新使用，则将它置0，第一个实例总是0 0X2A 2 边界，WINDOWS XP中使用，也就是本记录使用的两个扇区的最后两个字节的值 0X2c 4 WINDOWS XP中使用，本MFT记录号 2 更新序列号 2S-2 更新序列数组 标准属性的属性头结构 偏移 大小 值 描述 0x00 4 0X10 属性类型（10，标准属性） 0x04 4 0X60 总长度（包括头部本身） 0x08 1 0x00 非常驻标志(1表示非常驻) 0x09 1 0x00 属性名的名称长度 0x0A 2 0x18 属性名的名称偏移 0x0C 2 0x00 标志（似乎已经不再使用，统一放在文件属性中） 0x0E 2 属性ID（此处的属性ID不是指与0X10同级别的属性，应该是指下一级属性，如多数据流，每个数据流属性都有一个属性ID，但都是数据流属性0X80） 0x10 4 L 属性体长度（L） 0x14 2 0x18 属性内容起始偏移 0x16 1 索引标志 0x17 1 0x00 填充 0x18 L 从此处开始，共L字节为属性 标准属性的属性体结构 偏移 大小 操作系统 描述 ~ ~ 标准属性头（已经分析过） 0x00 8 C Time – 文件创建时间 0x08 8 A Time – 文件修改时间 0x10 8 M Time – MFT变化时间 0x18 8 R Time – 文件访问时间 0x20 4 文件属性（按照DOS术语来称呼，都是文件属性） 0x24 4 文件所允许的最大版本号（0表示未使用） 0x28 4 文件的版本号（最大版本号为0，则也为0） 0x2C 4 类Id（一个双向的类索引） 0x30 4 2K 所有者Id（表示文件的所有者，是文件配额$Quota中$O和$Q索引的关键字，为0表示未使用磁盘配额） 0x34 4 2K 安全Id是文件$Secure中$SII索引和$SDS数据流的关键字，注意不要与安全标识相混淆 0x38 8 2K 本文件所占用的字节数，它是文件所有流占用的总字节数，为0表示未使用磁