数据恢复技术NTFS文件属性.ppt

NTFS文件属性 M6-2 本单元主要内容 主控文件表结构 一 NTFS文件属性 二 属性头结构 三 四 基本属性介绍 四 字符编码转换 五 M6-2 本单元重难点 重点 主控文件表结构 属性头结构 基本文件属性 难点 主控文件表结构 属性头结构 一、主控文件表结构 主控文件表（MFT）在NTFS文件系统中的地位非常重要，它记载了该分区中所有的文件记录信息，甚至还可以包括文件数据。 在格式化时，系统首先确定了主控文件表的起始位置和大小。主控文件表本身也被当做文件管理，就是$MFT元文件。 一、主控文件表结构 主控文件表由若干个文件记录项组成，每个文件记录项占1024字节，也就是2个扇区。在NTFS分区中，每个文件都有一个编号，元文件占了头16个文件记录项，编号为0到15，16到23是保留项，用户文件从24号开始。其中，第0项便是$MFT。 一、主控文件表结构 MFT区域中的每个记录项都分为记录头和属性列表两个部分，记录头里包含了本记录项的总体情况和信息，属性列表里列出了该文件的所有属性。 不同的文件可以有不同的属性，因此，属性列表的大小是可变的，在所有属性的最后是结束标志FFFFFFFFH。 一、主控文件表结构 文件记录头 10H属性 结束标志 80H属性 B0H属性 30H属性 一、主控文件表结构 – 文件记录头 偏移 长度 含义 00H 4B MFT标志，一定为字符串“FILE” 04H 2B 更新序列号的偏移，通常为30H 06H 2B 更新序列号的大小与数组 08H 8B 日志文件序列号LSN 10H 2B 序列号，用于记录本文件项被使用的次数 12H 2B 硬链接数，即有多少目录指向该文件，只出现在基本文件记录中 14H 2B 第一个属性的偏移地址 16H 2B 标志，第0位表示是使用/删除，第1位表示目录/文件 18H 4B 记录头和属性的实际使用总长度 1CH 4B 总共分配给文件记录的长度，通常为400H 20H 8B 索引号，基本文件记录总为0，非0则表示为扩展文件记录 28H 2B 下一属性ID 2AH 2B Windows XP中使用，边界 2CH 4B MFT记录编号（从0号起始） 30H - 更新序列号和更新序列数组 二、NTFS文件属性 在一个NTFS卷中文件所有的信息，包括文件数据在内，都被认为是文件的属性，而构成该属性的实际数据则被称为“流”。 不同的文件拥有的属性不一样，有的属性也会在同一记录项中多次出现，比如文件名属性。 每个属性的头4个字节表示属性类型，接下来的4个字节表示本属性大小，根据这个信息，我们可以遍历文件的属性列表。 MFT中的各属性的大小均以8字节为边界。 二、NTFS文件属性 – 属性图示 10属性头 属性内容 30属性头 属性内容 30属性头 属性内容 二、NTFS文件属性 – 属性列表 属性类型 属性名 属性描述 10H $STANDARD_INFOMATION 标准信息：文件传统属性，时间属性，硬链接等 20H $ATTRIBUTE_LIST 属性列表：描述扩展文件记录项中属性的信息 30H $FILE_NAME 文件名：用Unicode字符表示的文件名 40H $OBJECT_ID 对象ID：具有64字节的标识符，提供API调用访问 50H $SECURITY_DESCRIPTOR 安全描述符：文件的访问控制，现在移到$Secure中了 60H $VOLUME_NAME 卷名（卷标识）：仅存在于$Volume元文件中 70H $VOLUME_INFOMATION 卷信息：仅存在于$Volume元文件中 80H $DATA 数据：文件的实际数据内容 90H $INDEX_ROOT 索引根：文件目录的根节点 A0H $INDEX_ALLOCATION 索引分配：文件目录表的子节点 B0H $BITMAP 位图：分配空间的使用情况 C0H $REPARSE_POINT 重解析点，实现卷、目录和应用程序之间的连接 D0H $EA_INFOMATION 扩充信息属性 E0H $EA 扩充信息 1000H $LOGGED_UTILITY_STREAM EFS加密属性：存储合法用户列表、密钥等 三、属性头结构 每个属性又分为属性头和属性内容两部分，属性头给出了该属性的结构信息。 有的属性内容存储在记录项中（如文件名），称为常驻属性。有的属性内容很大，需要在MFT外另外开辟空间存储（如文件数据），则称为非常驻属性。 有的属性在属性头之后列出了属性名，而有的则没有，一般存放特殊内容的属性都有属性名。 三、属性头结构 – 常驻属性 偏移 大小 含义 00H 4B 属性类型 04H 4B 属性大小（包括属性头和属性内容） 08H 1B 是否常驻（00＝常驻；01＝非常驻） 09H