学懂主流NTFS分区文件系统，你也可以成为MM眼中的大神！

会员1 · 发表于 2019-6-14 19:03:13

马上注册，获取阅读精华内容及下载权限

您需要登录才可以下载或查看，没有帐号？注册

x

主要NTFS文件系统小讲第一课，学会了你也可以运用WINHEX进行底层数据分析，错删，误格式化，分区出错等一些问题在数据恢复软件处理不了时，你也可以通过这些知识来提升恢复几率。

由于篇幅有限不太可能一次讲解完毕，后续会不断更新，让我们一起来提升我们的数据恢复水平吧！

登录/注册后看高清大图

NTFS文件系统结构

登录/注册后看高清大图

分析NTFS文件系统的结构

当用户将硬盘的一个分区格式化为NTFS分区时，就建立了一个NTFS文件系统。NTFS文件系统同FAT32文件系统一样，也是用“簇”为储存单位，一个文件总是占用一个或多个簇。

NTFS文件系统运用逻辑簇号（LCN）和虚拟簇号（VCN）对分区进行管理。

逻辑簇号：既对分区内的第一个簇到最后一个簇进行编号，NTFS运用逻辑簇号对簇进行定位。

虚拟簇号：即将文件所占用的簇从开头到尾进行编号的，虚拟簇号不要求在物理上是连续的。

NTFS文件系统一共由16个元文件构成，它们是在分区格式化时写入到硬盘的隐藏文件以$开头，也是NTFS文件系统的系统文件。

NTFS的16个元文件介绍如下

登录/注册后看高清大图

登录/注册后看高清大图

下面就分析一下元文件（只介绍部分常用的元文件）

$Boot元文件

$Boot元文件由分区的第一个扇区（DBR）和后面的15个扇区（NTLDR区域）组成，其中DBR由“跳转指令”、“OEM代号”、“BPB”、“引导程序”和“结束标志”组成，下图是NTFS文件系统完整的DBR。

登录/注册后看高清大图

$MFT元文件

文件记录由两部分构成，一部分是文件记录头，另一部分是属性列表，最后结尾是“FFFFFFFF”,如下是一个完整的文件记录：

登录/注册后看高清大图

在NTFS文件系统中所有与文件相关的数据结构被认为属性，包括文件的内容，它记录了文件的所有属性。每个文件记录中都有多个属性，他们相对独立，有各自的类型和名称。每个属性都由两部分组成，既属性头和属性体。属性头的前四个字节为属性的类型。从文件记录头可以看到第一个属性流的偏移地址00C0000038下图是以10H为例的属性结构

登录/注册后看高清大图

还有很多元文件，这里就不一一介绍了，如果想更深入的了解NTFS文件系统，可以关心我们，我们不定时会出新的教程文章，不懂的可以在评论留言！

会员5440 · 发表于 2019-6-14 19:03:44

高手学习了

会员5465 · 发表于 2019-6-14 19:04:31

转发了

会员5396 · 发表于 2019-6-14 19:04:44

果然是高手。

会员5368 · 发表于 2019-6-14 19:04:50

转发了

会员5967 · 发表于 2019-6-14 19:05:07

转发了

会员1163143 · 发表于 2019-6-14 20:57:45

學習了

会员1209520 · 发表于 2019-8-18 22:43:42

最重要的，用的比较多的是80属性没介绍啊

会员1228503 · 发表于 2019-12-21 16:19:29

先收藏。

坐下来好好学。

会员1229606 · 发表于 2019-12-29 10:07:43

好东西，收藏了，支持

会员1196342 · 发表于 2020-1-5 15:59:22

学习了学习了

会员1171993 · 发表于 2020-4-12 22:39:54

谢谢。好东西。

�*** · 发表于 2020-4-18 21:48:05

厉害不多我还是没看懂

学懂主流NTFS分区文件系统，你也可以成为MM眼中的大神！

马上注册，获取阅读精华内容及下载权限

相关帖子

浏览过的版块