NFTS下文建立超详细分析.docVIP

在NTFS中文件的完整建立过程 （超详细版） 我从最开始以实列分析的方式给大家逐一分析，下面先给出实验的实列。 这个是我虚拟出的一块500M的硬盘。在根目录下只有两个文本文档，内容都是一样的。 我们记下文件名 dyh 和邓彦辉 。。呵呵。我的名字。大小937KB。除了这两个文本文档之外，这块硬盘没有任何内容，这样方便分析。好的，我们开始用winhex分析像这块硬盘写入了那些东西。 这个是这个NTFS分区的DBR，我们记下主要参数，每簇扇区数8个，总扇区数 0xff 87 0f 00 00 00 00 00 也就是1017855个扇区，MFT起始簇0x AA A5 00 00 00 00 00 00 也就是42410号簇，换算成扇区就是42410*8=339280号扇区，MFTmirr起始簇0x 02 00 00 00 00 00 00 00也就是2号簇，16号扇区。好的，这些参数记下了之后，我们就开始寻找了。 我们找的是这两个文件都写到了什么地方，文件名都记录到什么地方去了。还有NTFS的各种源文件都有哪些变化。我们以文件名为线索，慢慢分析。首先，就全盘搜索文件名。全面分析。有朋友如果要问怎样搜索文件名，可以新建一个文本文档，内容就是你要找的文件名，然后另存为选择UNICODE编码，最后用winhex打开这个文本文档。记下它的16进制数，当然要除去开头的FF FE。现在我们从0号扇区开始搜索dyh这个文件名吧。 首先在354号扇区找到了 dyh.txt这个文件名。通过分析看起来像是索引项。现在先不用下结论，继续找。 又在321045号扇区找到了dyh.txt。这个貌似也是索引项，起码结构是这样的。呵呵。 我们继续找： 又在321046号扇区找到了，这个好像也是索引项，但是它记录的文件的MFT号和前面的几个不一样，它的全是零。我们继续找。 又在339352号扇区找到了dyh 这个我们很确定是这个文件的MFT项。这个也是最重要的东西了。具体的MFT项的属性分析这里就不赘述了。有兴趣的朋友可以加我。我们继续找，看还有没有。 找不到了，没有了。我们总共找到了4个记录，有一个是确定的MFT项，有三个都貌似是索引项。那我们就分析那三个不确定的记录。那三个里面肯定有一个是索引项，每个文件或者目录都会有一个索引项。因为我们的文件是在根目录下，那我们就顺着根目录找dyh.txt 的索引项，这个我在以前的教程中有说明，这里就不赘述了。我们首先跳转到根目录的MFT 也就是5号MFT。为什么是5号，这个是规定的，每个元文件都有一个规定的MFT号。这个在相关书籍中有详细的说明。 我们直接找到根目录的MFT的索引分配属性，至于怎么分析根索引分配属性这个就跟一般的非常驻数据属性一样的，我们找到数据流的位置 0x 11 01 2C这个怎么分析我想大家都应该是清楚的吧，我们找到数据属性的起始簇也就是 44号簇，352号扇区。占用1个簇的大小也就是8个扇区。那么352号扇区将是根目录下的目录或者文件的索引项组成的。我们就能在这里找到dyh.txt这个文件的索引项。 这个就是索引分配属性的数据流的起始扇区，看到那个INEX了吗，这个是特征标志。以后大家看到就好找了。我们从这里开始找dyh …。呵呵，在354号扇区就找到了。再往下就是在321045号扇区找到的了，这个肯定超过了索引分配属性数据流的大小了。因为前面已经分析出，数据流只占8个扇区。那么现在就确定354号扇区的记录是索引项了。剩下的321045和321046号扇区的貌似索引项的记录又是什么呢？通过分析这两个记录是$LOGFILE文件记录的，目的就是为了能够在系统失败时恢复NTFS卷。下面我们来分析分析这个$LOGFILE也就是日志文件。日志文件的MFT项号是2号。我们找到它。 这个就是$LOGFILE文件的MFT项，我们找到它的数据属性。看到数据流开始于0x A4 9C 00号簇，占0x 80 04个簇。我们转到数据流的起始扇区。 我们先简要说明一下日志文件的结构，日志被分成许多的“页”，每个页大小为4096个字节，即8个扇区。前两个页分配给重启区，我们将其称为“重启页”，每个重启页的开始处有个签名标志“52 53 54 52”即ASCII的RSTR。日志的第三个页开始为记录，每个记录页起始处的签名标志都是 “ 52 43 52 44 ”即ASCII的RCRD。这个和重启页有点区别哈。 大家可看清楚了。我们就跳过重启页直接转到记录页去看看 这个就是记录页的起始扇区了，看到了吗，和分析的一样。那么我们要找到dyh这个文件，应该就在记录页里面有记录。一个记录页占8个扇区，我们开始搜索文件名。 在321045号扇区和321046号扇区找到了文件名，这个我们前面已经知道了。那么我们就来看看这两个扇区是