- 积分
- 7057
- 下载分
- 分
- 威望
- 点
- 原创币
- 点
- 下载
- 次
- 上传
- 次
- 注册时间
- 2003-12-31
- 精华
|
马上注册,获取阅读精华内容及下载权限
您需要 登录 才可以下载或查看,没有帐号?注册
x
主要NTFS文件系统小讲第一课,学会了你也可以运用WINHEX进行底层数据分析,错删,误格式化,分区出错等一些问题在数据恢复软件处理不了时,你也可以通过这些知识来提升恢复几率。
由于篇幅有限不太可能一次讲解完毕,后续会不断更新,让我们一起来提升我们的数据恢复水平吧!
NTFS文件系统结构
分析NTFS文件系统的结构
当用户将硬盘的一个分区格式化为NTFS分区时,就建立了一个NTFS文件系统。NTFS文件系统同FAT32文件系统一样,也是用“簇”为储存单位,一个文件总是占用一个或多个簇。
NTFS文件系统运用逻辑簇号(LCN)和虚拟簇号(VCN)对分区进行管理。
逻辑簇号:既对分区内的第一个簇到最后一个簇进行编号,NTFS运用逻辑簇号对簇进行定位。
虚拟簇号:即将文件所占用的簇从开头到尾进行编号的,虚拟簇号不要求在物理上是连续的。
NTFS文件系统一共由16个元文件构成,它们是在分区格式化时写入到硬盘的隐藏文件以$开头,也是NTFS文件系统的系统文件。
NTFS的16个元文件介绍如下
下面就分析一下元文件(只介绍部分常用的元文件)
$Boot元文件
$Boot元文件由分区的第一个扇区(DBR)和后面的15个扇区(NTLDR区域)组成,其中DBR由“跳转指令”、“OEM代号”、“BPB”、“引导程序”和“结束标志”组成,下图是NTFS文件系统完整的DBR。
$MFT元文件
文件记录由两部分构成,一部分是文件记录头,另一部分是属性列表,最后结尾是“FFFFFFFF”,如下是一个完整的文件记录:
在NTFS文件系统中所有与文件相关的数据结构被认为属性,包括文件的内容,它记录了文件的所有属性。每个文件记录中都有多个属性,他们相对独立,有各自的类型和名称。每个属性都由两部分组成,既属性头和属性体。属性头的前四个字节为属性的类型。从文件记录头可以看到第一个属性流的偏移地址00C0000038下图是以10H为例的属性结构
还有很多元文件,这里就不一一介绍了,如果想更深入的了解NTFS文件系统,可以关心我们,我们不定时会出新的教程文章,不懂的可以在评论留言! |
|
[复制链接]
狗仔卡
发表于 2019-6-14 19:03:13
支持!
反对!
收藏
分享
帖子提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
发表于 2019-6-14 19:03:44
