注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

Computer Science

I Pressed My Words Here. Will You Read ?

 
 
 

日志

 
 

(2.5) 《数据恢复技术(第2版)》学习笔记 (2.5)  

2010-12-13 22:27:31|  分类: 读书笔记 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
书名:数据恢复技术
作者:戴士剑/涂彦辉编
出版社:电子工业出版社
出版年:2005-3-1
页数:711
ISBN:9787121007569
豆瓣评分:7.4分(11人评价)
博主评价:
未评价很差较差还行推荐力荐
来自豆瓣读书资源

本笔记目录

《数据恢复技术(第2版)》学习笔记 1
硬盘内部结构2009.11.16 2
一、 SATA接口的硬盘 2
二、 温盘 2
三、 硬盘盘体的完整结构表 2
四、 磁盘盘面区域的划分 2
硬盘逻辑结构2009.11.16 3
一、 盘片(Disk) 3
二、 磁道(Track) 3
三、 柱面(Cylinder) 3
四、 扇区(Sector) 3
五、 容量(Capacity) 4
六、 数制与码制(Number Systems and Code System) 4
硬盘数据结构组织2009.11.17 5
一、 低级格式化(Low Level Format): 5
二、 分区(Subarea): 5
三、 线性地址扇区 7
四、 硬盘的高级格式化 8
五、 硬盘数据存储区域 9
Windows 95 / 98 / Me 文件系统20091123 20
Windows NT/2000/XP/2003文件系统20091125 26
一、 NTFS文件系统结构分析 26

二、 动态磁盘 36
附录1 名词 40
附录2 操作系统类型标示值表 41
附录3 使用Winhex完成硬盘分区的分区表查找 42
附录4 使用Winhex完成查找文件位置20091123 44
K: 45
L: 49
将原来的LNEW FOLDER文件夹下的LFILE2.TXT文件的大小由4KB(只在磁盘中占1~2个簇大小)扩大到15KB(在磁盘中占用4个簇大小),再来查找LFILE2.TXT文件 55


Windows NT/2000/XP/2003文件系统20091125

一、 NTFS文件系统结构分析

NTFSNew Technology File System,新技术文件系统)

FAT相比,NTFS具有许多新的特性,如容错性、安全性、文件压缩(Compress)和磁盘配额(Disk Quotas

a) NTFSDBR

NTFS的引导扇区与FAT16FAT32的引导扇区作用相同,有MBR引导至活动分区的DBR,再由DBR引导操作系统。对于Windows NT/2000/XP/2003,由DBR调入NTLDR,再由NTLDR调入系统内核。

Windows NT/2000/XP/2003活动分区的DBR如下(Disk 3 P:):

Offset       0  1  2  3  4  5  6  7   8  9 10 11 12 13 14 15

        0   EB 52 90 4E 54 46 53 20  20 20 20 00 02 01 00 00   ?R?NTFS    .....

       16   00 00 00 00 00 F8 00 00  3F 00 FF 00 02 DE 1F 00   .....?..?.?..?..

       32   00 00 00 00 80 00 80 00  00 EF 0F 00 00 00 00 00   ....?.?..?......

       48   AB 4F 05 00 00 00 00 00  80 F7 07 00 00 00 00 00   ?O......?÷......

       64   02 00 00 00 08 00 00 00  8E 2B 67 6C 63 67 6C E8   ........?+glcglè

       80   00 00 00 00 FA 33 C0 8E  D0 BC 00 7C FB B8 C0 07   ....ú3????.|???.

       96   8E D8 E8 16 00 B8 00 0D  8E C0 33 DB C6 06 0E 00   ??è..?..??3??...

      112   10 E8 53 00 68 00 0D 68  6A 02 CB 8A 16 24 00 B4   .èS.h..hj.??.$.?

      128   08 CD 13 73 05 B9 FF FF  8A F1 66 0F B6 C6 40 66   .?.s.?????f.??@f

      144   0F B6 D1 80 E2 3F F7 E2  86 CD C0 ED 06 41 66 0F   .?????÷????í.Af.

      160   B7 C9 66 F7 E1 66 A3 20  00 C3 B4 41 BB AA 55 8A   ·?f÷áf? .??A??U?

      176   16 24 00 CD 13 72 0F 81  FB 55 AA 75 09 F6 C1 01   .$.?.r.??U?u.??.

      192   74 04 FE 06 14 00 C3 66  60 1E 06 66 A1 10 00 66   t.?...?f`..f?..f

      208   03 06 1C 00 66 3B 06 20  00 0F 82 3A 00 1E 66 6A   ....f;. ..?:..fj

      224   00 66 50 06 53 66 68 10  00 01 00 80 3E 14 00 00   .fP.Sfh....?>...

      240   0F 85 0C 00 E8 B3 FF 80  3E 14 00 00 0F 84 61 00   .…..è???>....?a.

      256   B4 42 8A 16 24 00 16 1F  8B F4 CD 13 66 58 5B 07   ?B?.$...???.fX[.

      272   66 58 66 58 1F EB 2D 66  33 D2 66 0F B7 0E 18 00   fXfX.?-f3?f.·...

      288   66 F7 F1 FE C2 8A CA 66  8B D0 66 C1 EA 10 F7 36   f÷?????f??f?ê.÷6

      304   1A 00 86 D6 8A 16 24 00  8A E8 C0 E4 06 0A CC B8   ..???.$.?è??..??

      320   01 02 CD 13 0F 82 19 00  8C C0 05 20 00 8E C0 66   ..?..?..??. .??f

      336   FF 06 10 00 FF 0E 0E 00  0F 85 6F FF 07 1F 66 61   ?...?....…o?..fa

      352   C3 A0 F8 01 E8 09 00 A0  FB 01 E8 03 00 FB EB FE   ? ?.è.. ?.è..???

      368   B4 01 8B F0 AC 3C 00 74  09 B4 0E BB 07 00 CD 10   ?.???<.t.?.?..?.

      384   EB F2 C3 0D 0A 41 20 64  69 73 6B 20 72 65 61 64   ?ò?..A disk read

      400   20 65 72 72 6F 72 20 6F  63 63 75 72 72 65 64 00    error occurred.

      416   0D 0A 4E 54 4C 44 52 20  69 73 20 6D 69 73 73 69   ..NTLDR is missi

      432   6E 67 00 0D 0A 4E 54 4C  44 52 20 69 73 20 63 6F   ng...NTLDR is co

      448   6D 70 72 65 73 73 65 64  00 0D 0A 50 72 65 73 73   mpressed...Press

      464   20 43 74 72 6C 2B 41 6C  74 2B 44 65 6C 20 74 6F    Ctrl+Alt+Del to

      480   20 72 65 73 74 61 72 74  0D 0A 00 00 00 00 00 00    restart........

      496   00 00 00 00 00 00 00 00  83 A0 B3 C9 00 00 55 AA   ........? ??..U?

WinHex中的BPB参数

Offset Title Value

0   JMP instruction EB 52 90

3    File System ID  NTFS

11   Bytes per sector  512

13      Sectors per cluster 1

14     Reserved sectors  0

16     (always zero)   00 00 00

19    (unused)   00 00

21   Media descriptor   F8

22    (unused)        00 00

24   Sectors per track   63

26   Heads     255

28   Hidden sectors  2088450

32    (unused)   00 00 00 00

36   (always 80 00 80 00) 80 00 80 00

40    Total sectors  1044224

48   Start C# $MFT  348075

56  Start C# $MFTMirr  522112

64   FILE record size indicator  2

65     (unused)    

68    Clusters per INDX block   8

69     (unused)          0

72    32-bit serial number(hex)  8E 2B 67 6C

72    32-bit SN(hex,reversed)  6C672BBE

72    64-bit serial number (hex)  8E 2B 67 6C 63 67 6C E8

80    Checksum           0

510    Signature(55 AA)   55 AA

BPB参数表:

字节偏移

长度

常用值

意义

0x0B

0x002

每扇区字节数

0x0D

字节

0x08

每簇扇区数

0x0E

0x0000

保留扇区

0x10

3字节

0x000000

总为0

0x13

0x0000

NTFS未使用,为0

0x15

字节

0xF8

介质描述

0x16

0x0000

总为0

0x18

0x3F00

每磁道扇区数

0x1A

0xFF00

磁头数

0x1C

双字

0x3F000000

隐含扇区

0x20

双字

0x00000000

NTFS未使用,为0

0x24

双字

0x80008000

NTFS未使用,为0

0x28

8字节

0x4AF57F0000000000

扇区数

0x30

8字节

0x0400000000000000

$MFT的起始逻辑簇号

0x38

8字节

0x54FF070000000000

$MFTMirr的起始逻辑簇号

0x40

双字

0xF6000000

MFT记录簇数

0x44

双字

0x01000000

每索引簇数

0x48

8字节

0x14A51B74C91B741C

卷标

0x50

双字

0x00000000

检验和

NTFS卷上,跟随在BPB后的数据字段形成一个扩展BPB。这些字段中的数据使得Ntldr能够在启动过程中找到主文件表$MFTMaster File Table)。在NTFS卷上,$MFT并不像在FAT16卷和FAT12卷上一样,被放在一个预定义的扇区中。由于这个原因,如果在$MFT的正常位置中有坏扇区的话,就可以把$MFT移到别的位置。但是,如果该数据被破坏,就找不到$MFT的位置,则Windows 2000假设该卷没有被格式化。因此,如果一个NTFS的卷提示未格式化,可能并未破坏$MFT,依据BPB的各字段的意义是可以重建BPB的。

b) NTFS的元文件

NTFS文件系统中,文件亦是按簇进行分配,一个簇必须是物理扇区的整数倍,而且总是2的整数次方。NTFS文件系统并不去关心什么是扇区,也不会去关心扇区到底有多大(如果不是512字节),而簇大小在格式化时由格式化程序根据卷的大小自动进行分配。

文件通过主文件表(MFTMaster File Table)来确定其在磁盘上的存储位置。主文件表是一个对应的数据库,由一系列的文件记录组成——卷中每一个文件记录称为基本文件记录,其中存储有其他扩展文件记录的一些信息。主文件表本身也有它自己的文件记录。

NTFS卷上的每个文件都有一个64为(bit)称为文件引用号(File Reference Number,也称文件索引号)的唯一标识。文件引用号由两部分组成:一是文件号,而是文件顺序号。文件号为48位,对应于该文件在MFT中的位置。文件顺序号随着每次文件记录的重用而增加,这是为NTFS进行内部一致性检查而设计的。

NTFS使用逻辑簇号(Logical Cluster NumberLCN)和虚拟簇号(Virtual Cluster NumberVCN)来对簇进行定位。LCN是对整个卷中所有的簇从头到尾所进行的简单编号。卷因子乘以LCNNTFS就能够得到卷上的物理字节偏移量,从而得到物理磁盘地址。VCN这是对属于特定文件的簇从头到尾进行编号,以便于引用文件中的数据。VCN可以映射成LCN,而不必要求在物理上连续。

NTFS的目录只是一个简单的文件名和文件引用号的索引,如果目录的属性列表小于一个记录的长度,那么该目录的所有信息都存储在主文件表的记录中,对于大于纪录的目录这使用BTree进行管理。

NTFS目录:

标准信息 文件名 安全描述 文件索引(索引根 索引分配 位图)

主文件表的基本文件记录中有一个指针指向一个存储非常驻的索引缓冲,包括该目录下所有下一级子目录和文件的外部簇,而B+Tree结构便于大型目录中文件和子目录的快速查找。

NTFS中,所有存储在卷上的数据都包含在文件中,包括用来定位和获取文件的数据结构、引导程序以及记录卷自身大小的使用情况的位图文件。这体现了NTFS的原则:磁盘上的任何事物都为文件。在文件存储一切使得文件系统很容易定位和维护的数据。文件通过主文件表来确定其在磁盘上的存储位置。

NTFS分区各区域关系:   

Partition boot sector

(分区引导扇区)

master file table

(主文件表)

System files

(系统文件)

file area

(文件区域)

MFT中的文件记录大小一般是固定的,不管簇的大小是多少,均为1KB,这个概念相当于Linux中的inodei节点)。文件记录在MFT文件记录数组中物理上是连续的,且从0开始编号,所以NTFS可以看作是预定义文件系统。MFT仅供系统本身组织、架构文件系统使用,这在NTFS中称为元数据(Metadata,是存储在卷上支持文件系统格式管理的数据。它不能被应用程序访问,只能为系统提供服务)。其中最基本的前16个记录是操作体统使用的非常重要的元数据文件。这些元数据文件的名字都以“$”开始,是隐藏文件,在Windows NT/2000/XP/2003中不能使用dir命令(甚至加上/ah参数)像普通文件一样列出。不过微软公司也提供了一个OEM TOOL,叫做NFI.EXE,用此工具可以显示NTFS主文件表的重要的元数据文件。

FAT格式的文件系统中,有关簇号的指针包含在FAT表中,在NTFS中,有关簇号的指针则包含在$MFT$MFTMirr文件中。

NTFS 5中所有元件:

序号

元文件

功能

$MFT

主文件表本身

1

$MFTMirr

主文件表的部分镜像

2

$LogFile

日志文件

3

$Volume

卷文件

4

$AttrDef

属性定义列表

5

$Root

根目录

6

$Bitmap

位图文件

7

$Boot

引导文件

8

$BadClus

坏簇文件

9

$Secure

安全文件

10

$UpCase

大写文件

11

$Extend metadata directory

扩展元数据目录

12

$Extend\$Reparse

重解析点文件

13

$Extend\$UsnJrnl

变更日志文件

14

$Extend\$Quota

配额管理文件

15

$Extend\$ObjId

对象ID文件

16~23


保留

23+


用户文件和目录

每个MFT记录都对应着不同的文件。如果一个文件有很多属性或是分散成很多碎片,就很可能需要多个文件记录。这时,存放其文件记录位置的第一个记录就称作“基本文件记录”(base file record)。

MFT的前16个元数据文件非常重要,为防止丢失,NTFS系统在卷存储中部对它们进行了备份。

MFT空间分配:

1

2

3

4

5

1. MFT元数据文件

2. MFT分配空间

3. 文件存储区

4. MFT前四个(或更多)元数据文件备份

5. 文件存储区

NTFS把磁盘分成两大部分,其中大约12%分配给MFT,以满足不断增长的文件数量。为保持MFT元文件的连续性,MFT对这12%的空间享有独占权,余下的88%的空间被分配用来存储文件,而剩余磁盘空间则包含所有的物理剩余空间——MFT的剩余空间也被包含在内。

MFT空间的使用机制可以这样来描述:当文件耗尽存储空间时,Windows操作系统会简单地减少MFT空间,并把它分配给文件存储。当有剩余空间时,这些空间又会重新被划分给MFT。虽然系统尽力保持MFT空间的专用性,但是,有时不得不做出牺牲。尽管MFT碎片有时令人无法忍受,却无法阻止它的发生。

NTFS通过MFT访问卷的过程如下:

首先,当NTFS访问某个卷时,它必须“装载”该卷:NTFS会查看引导文件($Boot元数据文件定义的文件),找到MFT的物理磁盘地址。然后,它就从文件记录的数据属性中获得VCNLCN的映射信息,并存储在内存中。这个映射信息定位了MFT的运行(runextent,见常驻属性与非常驻属性)在磁盘上的位置。接着,NTFS再打开几个元数据文件的MFT记录,并打开这些文件。如有必要NTFS开始执行它的文件系统恢复操作。在NTFS打开了剩余的元数据文件后,用户就可以访问该卷了。

c) NTFS的元文件与DBR参数的关系

NTFSFAT的一个不同是在FAT文件系统中FATFDT本身不是文件,采用和文件不一样的管理方式,而NTFSDBR和元文件本身也是文件。这正是NTFS的思想:一切皆为文件。

NTFS文件系统的文件间作用关系的分析:

首先,一个分区或简单卷其切入点仍然是DBR,由DBR中的引导代码和BPB参数来定义一些系统文件,这些文件的地位和作用如同FAT文件系统中的FAT表和FDT

一个典型的NTFS文件系统的DBRWindows XP下的系统+引导分区的第一个扇区的内容。

· 在其BPB参数中重点介绍NTFS中特有的几个:

$MFT的起始簇号,指的是$MFT文件的起始位置,它是系统的第一个元文件。第一个扇区是DBR,它是$BOOT的第一个扇区。而记录$MFT文件情况的文件正是$MFT文件本身,$MFT的内容,就是记录磁盘文件的,分为一个个的文件记录(FILE RECORD),$MFT中第一个文件记录就是$MFT,第8个文件记录就是$BOOT

$MFTMirr的起始簇号,意义和$MFT的起始簇号一样。

MFT记录的簇数,指的是$MFT文件中,每个文件记录占用的簇数,一般是固定的1KB。对于大于1KB的分区,一律是0F6H,即246

每索引块的簇数,意义和每MFT记录的簇数一样,一般索引大小为4KB,根据簇大小换算成簇数即可。

· DBR$BOOT的关系:

首先,DBR中的参数可以确定$MFT的位置和情况,然后,从$MFT中就可以定位和确定$BOOT的情况。NTFSDBR仍然是第一要素,但也是$BOOT文件的第一个扇区。

· $MFT记录中,$BOOT文件占用第0~15个扇区。

$BOOT文件的空间占用情况记录在$MFT中,对于引导分区,一般代码占用约7个扇区,即0~6扇区,后面为空,这些代码就是系统的引导代码,其作用相当于FAT文件系统中的IO.SYSMSDOS.SYS,无论是启动分区,还是非启动分区,1~6扇区的内容完全一致(同一软件的同版本格式的化分区中)。启动分区的这些代码不能损坏,但非启动分区的这部分内容可以清零,不影响分区文件系统。所以,如果启动分区的$BOOT文件损坏,可以用其他同样的$BOOT文件替换1~6扇区的内容。

$BOOT 0~15扇区

DBR 0~6扇区

$MFT的起始簇由DBR来确定,$MFT文件的其他信息却是由$MFT本身确定的,由$MFT中的第一个文件记录来确定。事实上,在NTFS中,除了DBR本身是预设的外,其他的文件信息都存储在$MFT文件的内容中(文件记录),$MFT正是由一个个记录文件及目录信息的文件记录组成,分成大小1KB的一条条的记录。

除了$MFT外,还有一些参数如$MFTMirr的起始号、$MFT记录的簇数等信息也都存储在DBR中。

d) NTFS的文件和文件夹

NTFS将文件作为属性/属性值的集合来处理:文件数据就是未命名属性的值,其他文件属性包括文件名、文件拥有者和文件时间标记等。

小文件和文件夹的MFT

Standard Information

标准信息

File of directory name

文件或目录名

Security Descriptor

安全描述符

Data of Index

数据或索引

(未占用)

每个属性由单个的流(stream)组成,即简单的字符队列。严格地说,NTFS并不对文件进行操作,而只是对属性流进行读写。NTFS提供对属性流的各种操作:创建、删除、读取(字节范围)以及写入(字节范围)。读写操作一般针对文件的未命名属性,对于已命名属性可以通过已命名的数据流句法来进行操作。

NTFS的文件夹只是一个简单的文件名和文件引用号的索引,如果目录属性列表小于一个记录的长度看,那么,该文件的所有信息都存储在主文件表的记录中。对于大于纪录的文件夹则使用B+Tree进行管理,并用一个指针指向一个外部簇(Extent),该簇用来存储那些MFT内存储不了的文件夹的属性。

$MFT自身的记录也可能超过一个记录的大小。

NTFS卷上文件的常用属性:

属性名

属性描述

$STANDARD_INFORMATION

(标准信息)

标准信息:包括基本文件属性,如只读、存档;时间标记,如文件的创建时间和最近一次修改的时间;有多少目录指向本文件(即它的硬链接数hard link count

$ATTRIBUTE_LIST

(属性列表)

属性列表:当一个文件需要使用多个MFT文件记录时,用来表示该文件的属性列表。

$FILE_NAME

(文件名)

文件名:这是以Unicode字符表示的,由于MS-DOS不能正确识别Win32子系统创建的文件名,当Win32子系统创建一个文件名时,NTFS会自动生成一个备用的MS-DOS文件名,所以一个文件可以有多种文件名属性。

$VOLUME_VERSION

(卷版本)

卷版本号

$SECURITY_DESCRIPTOR

(安全描述符)

安全描述符:这是为了向后兼容而保留的,主要用于保护文件以防止未授权访问,但是,Windows 2000/XP已将所有文件的安全描述符存放在$Secure元数据文件中,以便于共享(NTFS的早期版本将安全描述符与文件目录一起存放,这不利于共享)

$VOLUME_NAME

(卷名)

卷名称或卷标识:仅存在于$Volume元数据文件中。

$VOLUME_INFORMATION

(卷信息)

卷信息:仅存在于$Volume元数据文件中

$DATA

(数据)

文件数据:这是文件的内容(在NTFS文件系统中,一个文件除了支持文件数据即未命名的属性外,还可支持其他命名属性,即可以有多个数据属性;目录没有默认的数据属性,但是有可选的命名数据属性)

$INDEX_ROOT

(索引根)

索引根

$INDEX_ALLOCATION

(索引分配)

索引分配

$BITMAP

(位图)

位图

$SYMBOLIC_LINK

(符号链接)

符号链接

$EA_INFORMATION

EA信息)

扩充属性信息:主要为OS/2兼容,现已使用不多

$EA

扩充属性:主要为与OS/2兼容,现已使用不多

$OBJECT_ID

对象ID:一个具有64个字节的标识符,其中最低的16个字节对卷来说是惟一的(链接跟踪服务为外壳快捷方式及OLE链接源文件赋予对象IDNTFS提供API来直接通过这些对象ID而不是文件名来打开文件)

$REPARSE_POINT

重解析点:存储文件的重解析点数据(NTFS的软链接与装配点都包括这个属性)

$LOGGED_UTILITY_STREAM

EFS加密属性:主要为实现EFSencryped file system)而存储有关加密信息如解码密钥、合法访问的用户列表等。

e) 常驻属性与非常驻属性

当文件很小时,其所有属性和属性值都可存放在MFT的文件记录中。当属性值能直接存放在MFT中时,该属性就称为常驻属性(resident attribute)。有些属性总是常驻的,这样NTFS才可以确定其他非常驻属性。例如,标准信息属性和根索引就总是常驻属性。

每个属性都以一个标准头开始。在标准头中包含该属性的信息和NTFS通常用来管理属性的信息。该标准头总是常驻的,并记录着属性值是否常驻,对于常驻属性,标准头中还包含着属性值的偏移量和属性值的长度。

如果属性值能直接存放在MFT中,那么,NTFS对它的访问时间就将大大缩短。NTFS只需访问磁盘一次,就可立即获得数据;而不必像FAT文件系统那样,先在FAT表中查找文件位置,再读出连续分配的单元,最后找到文件数据。

 小目录的MFT记录:

标准信息

文件名

文件索引

文件1

文件2

文件3

大文件或目录的所有属性,就不可能常驻在MFT中。如果一个属性(如文件数据属性)太大而不能存放在只有1KB大小的MFT文件记录中,那么,NTFS将从MFT之外为之分配区域。这些区域通常称为一个运行(run)或一个盘区(extent),它们可用来存储属性值,如文件数据。如果以后属性值又增加,那么,NTFS将会再分配一个运行,以便用来存储额外的数据。值存储在运行中而不是在MFT文件记录中的属性称为非常驻属性(nonresident attribute)。NTFS决定一个属性是常驻还是非常驻的,而属性值的位置对访问它的进程而言是透明的。

存储在两个运行中的非常驻属性:

标准信息

文件名

数据

NTFS扩展属性


 

数据


数据


在标准属性中,只有可以增长的属性才是非常驻的。对于文件来说,可增长的属性

有数据、属性列表等。标准信息和文件名属性总是常驻属性。

一个大目录也可能包括非常驻属性。如果MFT 文件记录没有足够的空间来存储大

目录的文件索引。其中,一部分索引存放在索引根属性中,而另一部分则存放在叫做“索

引缓冲区”(index buffer)的非常驻运行中。对目录而言,索引根的标准头及部分的值

是常驻属性。

大目录的MFT 记录:





标准信息

文件名

索引根

索引分配

位图

文件3

文件7

……



索引缓冲区

文件1

文件2


文件4

文件5

文件6


当一个文件(或目录)的属性不能放在一个MFT文件记录中,而需要分开分配时,NTFS通过VCN LCN之间的映射关系来记录运行(run)或盘区(extent)情况。

非常驻数据属性的VCNLCN


准信息

文件名

数据



VCN

0

1

2

3


4

5

6

7








LCN

1278

1279

1280

1281


1300

1301

1302

1303


当该文件还有超过2个运行(run)时,第三个运行从VCN8开始,数据属性头部含有前两个运行VCN的映射,这便于NTFS对磁盘文件分配的查询。为便于NTFS快速查找,具有多个运行的文件常驻数据属性标准头中包含了VCN-LCN的映射关系。


非常驻数据属性的VCN-LCN映射

标准信息

文件名

开始的VCN

开始的LCN

簇数



0

1278

4



4

1300

4


VCN

0

1

2

3


4

5

6

7








LCN

1278

1279

1280

1281


1300

1301

1302

1303



f) $MFT文件分析

i. 文件记录头分析

ii. 标准属性分析

iii. 文件名属性分析

iv. 数据流属性分析

g) NTFS的其他元文件分析

i. $MFTMirr

ii. $LogFile

iii. $Volume

iv. $AttrDef

v. 根目录

vi. $Bitmap

vii. $Boot

viii. $BadClus

ix. $Secure

x. $UpCase

xi. $Extend

xii. $ObjId

xiii. $Quota

xiv. $Reparse

xv. $UsnJrnl

h) NTFS的属性分析

i. $STANDARD_INFORMATION0x10

ii. $ATTRIBUTE_LIST0x20

iii. $FILE_NAME0x30

iv. $OBJECT_ID0x40

v. $SECURITY_DESCRIPTOR0x50)¥VOLUME_NAME0x60

vi. $DATA0x80

vii. $INDEX_ROOT0x90

viii. $INDEX_ALLOCATION0xA0

ix. $BITMAP0xB0

x. $REPARSE_POINT0xC0

xi. $EA_INFORMATION0xD0

xii. $EA0xE0

xiii. $LOGGED_UTILITY_STREM0x100

i) NTFS的索引记录与目录

i. 索引项的添加

ii. 索引项的删除

j) 可恢复损坏文件的实现

i. 日志文件服务

ii. 日志记录类型

iii. 可恢复性实现

iv. 日志文件

k) 数据压缩

i. 压缩稀疏文件

ii. 压缩非稀疏文件

l) NTFS坏簇恢复支持

m) NTFS安全性支持



  评论这张
 
阅读(277)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017