NTFS MFT结构.docVIP

NTFS MFT结构 NTFS MFT结构 ← 数据恢复工具 ← -oracle数据库恢复-Raid5数据恢复-RAID0数据恢复[Full] 完整版 [Rss] 订阅 [Xml] 无图版 [Xhtml] 无图版 Rss SiteMap -oracle数据库恢复-Raid5数据恢复-RAID0数据恢复 oracle数据库恢复-Raid5数据恢复-RAID数据恢复-RAID0数据恢复-oracle数据恢复 ◎ -oracle数据库恢复-Raid5数据恢复-RAID0数据恢复 → 数据恢复工具 → NTFS MFT结构共1 条记录, 每页显示 10 条, 页签: [1] [浏览完整版] 标题：NTFS MFT结构 1楼 sosdb 发表于：2009-5-27 16:40:52 以下是几个重要的MFT属性介绍 （1）MFT文件记录属性头结构 表6 文件属性头说明 偏移 长度 描述 0X00 4 固定值“FILE” 0X04 2 更新序列号偏移，与操作系统有关 0X06 2 固定列表大小 0X08 8 日志文件序列号 0X10 2 序列号（用于记录文件被反复使用的次数） 0X12 2 硬连接数，跟目录中的项目关联，非常重要的参数 0X14 2 第一个属性的偏移 0X16 2 标志字节① 0X18 4 文件记录实时大小（字节）② 0X1C 4 文件记录分配大小（字节） 0C20 8 基础记录 (0: itself) 0X28 2 下一个自由ID号 0X2A 2 边界 0X2C 4 WINDOWS XP中使用，本MFT记录号 0X30 4 MFT的使用标记③ （2）文件名属性 表7 文件名属性说明 偏移 大小 值 属性类型 描述 0X00 4 0X 30 0X04 4 0X68 总长度 0X08 1 0X00 非常驻标志（0X00：常驻属性；0X01：非常驻属性） 0X09 1 0X00 属性名的名称长度 0X0A 2 0X18 属性名的名称偏移 0X0C 2 0X00 标志 0X0E 2 0X03 标识 0X10 4 0X4A 属性长度（L） 0X14 2 0X18 属性内容起始偏移 0X16 1 0X01 索引标志 0X17 1 0X00 填充 0X18 8 0500000000000500 父目录记录号(前6个字节)+序列号(与目录相关) 0X20 8 e0e3e1a066e9c301 文件创建时间 0X28 8 同上 文件修改时间 0X30 8 同上 最后一次 MFT更新的时间 0X38 8 同上 最后一次访问时间 0X40 8 0040000000000000 文件分配大小 0X48 8 0040000000000000 文件实际大小 0X50 4标志，如目录、压缩、隐藏等 0X54 4用于EAS和重解析点 0X58 1 04 以字符计的文件名长度⑤，每字节占用字节数由下一字节命名空间确定，一个字节 长度，所以文件名最大为255字节长(L) 0X59 1 03 文件名命名空间，见表8 0X60 2L 24004d004600 以Unicode方式标识的文件名 表8 常见命名空间 标志 意义 描述 0 POSIX 这是最大的命名空间。它大小写敏感，并允许使用除NULL(0)和左斜框(/)以外 的所有Unicode字符作为文件名，文件名最大长度为255个字符。有一些字符， 如冒号(:)，在NTFS下有效，但WINDOWS不让使用。 1 WIN32 WIN32和POSIX命名空间的一个子集，不区分大小写，可以使用除“*/:?\|” 以外的所有Unicode字符。另外，文件不能以句点和空格结束。 2 DOS DOS是WIN32命名空间的一个子集，要求比空格的ASC||码要大，且不能使用* + / , : ; ? \ | 等字符，另外其格式是1-8个字符的文件名，然后是句点分隔，然后是1-3 个字符的扩展名。 3 Win32 DOS 该命名空间要求文件名对Win32和DOS命名空间都有效，这样，文件名就可以在文 件记录中只保存一个文件名 （3）数据流属性 表9 数据流属性说明 偏移 大小 值 意义 0X00 4 0X80 属性类型（0X80，数据流属性） 0X04 4 0X48 属性长度（包括本头部的总大小） 0X08 1 0X01 非常驻标志（0X00：常驻属性；0X01：非常驻属性） 0X09 1 0X00 名称长度，$AttrDef中定义，所以名称长度为0 0X0A 2 0X0040 名称偏移 0X0C 2 0X00标志， 0X0001为压缩标志，0X4000为加密标