数据恢复基础5 NTFS文件记录分析.pptVIP

NTFS文件记录分析 MFT文件记录结构 主文件表的文件记录由记录头和属性列表组成，大小为1KB或一个簇大小。 属性列表长度可变，以“FF FF FF FF”结束。 对于1KB长度的MFT记录，属性列表的起始偏移为0x30。 文件通过MFT来确定存储位置。MFT是一个对应的数据库，由一系列文件记录组成－－卷中每个文件都有一个文件记录（大型文件可能有多个记录与之对应），其中第一个文件记录称为基本文件记录 文件记录 文件记录有两部分构成 文件记录头 属性列表 MFT文件记录 $Boot文件MFT “.” 文件（根目录） 是目录的树型结构的根节点 $BadClus文件MFT 这个元文件用于记录卷上的所有坏簇。它是一个稀疏文件，其数据属性中只有一个指向坏簇的数据运行列表。 $LogFile 的MFT 文件内容日志文件的结构非常复杂，目前其具体结构未知。只知道它被分成了4K大小的块，每块以RCRD为开始标志。 $Bitmap文件 $AttrDef文件 记录所有属性定义的列表 普通文件的MFT ?? MFT头 ?? 10H类型属性（标准属性信息） ?? 30H类型属性（文件名属性） ?? 80H类型属性（数据属性） ?? MFT结束标志 目录的MFT分析 ?? MFT头 ?? 10H类型属性（标准属性信息） ?? 30H类型属性（文件名属性） ?? 90H类型属性（索引根属性） ?? A0H