注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

Computer Science

I Pressed My Words Here. Will You Read ?

 
 
 

日志

 
 

(2.3) 《数据恢复技术(第2版)》学习笔记 (2.3)  

2010-12-13 21:59:24|  分类: 读书笔记 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

本笔记目录

《数据恢复技术(第2版)》学习笔记 1

硬盘内部结构2009.11.16 2

一、 SATA接口的硬盘 2
二、 温盘 2
三、 硬盘盘体的完整结构表 2
四、 磁盘盘面区域的划分 2
硬盘逻辑结构2009.11.16 3
一、 盘片(Disk) 3
二、 磁道(Track) 3
三、 柱面(Cylinder) 3
四、 扇区(Sector) 3
五、 容量(Capacity) 4
六、 数制与码制(Number Systems and Code System) 4
硬盘数据结构组织2009.11.17 5
一、 低级格式化(Low Level Format): 5
二、 分区(Subarea): 5
三、 线性地址扇区 7
四、 硬盘的高级格式化 8
五、 硬盘数据存储区域 9
Windows 95 / 98 / Me 文件系统20091123 20
Windows NT/2000/XP/2003文件系统20091125 26
一、 NTFS文件系统结构分析 26
二、 动态磁盘 36
附录1 名词 40
附录2 操作系统类型标示值表 41
附录3 使用Winhex完成硬盘分区的分区表查找 42
附录4 使用Winhex完成查找文件位置20091123 44
K: 45
L: 49
将原来的LNEW FOLDER文件夹下的LFILE2.TXT文件的大小由4KB(只在磁盘中占1~2个簇大小)扩大到15KB(在磁盘中占用4个簇大小),再来查找LFILE2.TXT文件 55

硬盘数据结构组织2009.11.17(续)


五、 硬盘数据存储区域

a) 硬盘数据结构

i. 对于FAT16FAT32文件系统(NTFS采用不同的文件管理技术),硬盘上的数据按照其不同的特点和作用大致可分为5部分:

1. 由分区软件创建:

a) MBR

2. 由高级格式化程序创建:

b) DBR

c) FAT

d) DIR

e) DATA

ii. MBR

MBRMaster Boot Record主引导记录区,主引导扇区)

1. 在硬盘中的位置:0磁道0柱面1扇区

2. 大小:512字节。

3. 格局:

a) MBR的引用程序446字节(偏移0~偏移1BDH

b) DPTDisk Partition Table,硬盘分区表)64字节(偏移1BEH~偏移1FDH

c) 55  AA 最后2字节 为分区有效结束标志。

iii. DBR

DBRDOS Boot Record操作系统引导记录区)

1. 位置:通常在011扇区,是操作系统可以直接访问的第一个扇区。

2. 结构:

a) 一个引导程序

i. 主要任务:当MBR将系统控制劝交给它时,判断本分区根目录前两个文件是不是操作系统的引导文件。(如,DOS中是IO.SYSMSDOS.SYS

b) BPBBIOS Parameter Block)是一种分区参数记录表

i. 作用:记录着本分区的起始扇区、结束扇区、文件存储格式、硬盘介质描述符、根目录大小、FAT个数,分配单元大小等重要参数。

iv. FAT

FATFile Allocation Table,文件分配表)区

1. 作用:保存文件连是存储时文件段与段之间的链接信息

2. 备份:在FAT后还有一个同样FAT的作为备份。

3. 大小:FAT的项数与硬盘上的总簇数相当,每一项占用的字节数也与中簇数相适应,因为其中需要存放簇号。

v. DIR

DIRDirectory,也称文件目录表FDTFile Directory Table),是根目录区,紧接着第二FAT表(即备份的FAT表)之后,记录着根目录下每个文件(目录)的起始单元,文件的属性等。

通过DIRFAT操作系统就可确定文件在硬盘中的具体位置和大小。

vi. DATA

DATA(数据)

1. 位置:DIR

2. 5个区域在硬盘逻辑分区上的排列:

MBR(63) DBR(32) FAT1 FAT2 DIR(32) DATA

b) 硬盘主引导记录

i. 微机系统的启动过程‘

1. BIOS的存放位置:一般被保存在ROM或者EPROMEEPROM之中,即便关机或掉电以后,这些代码也不会丢失。

2. 内存的地址:

a) 32BM的地址范围内:用十六进制数表示为:0~1FFFFFFH

i. 0~FFFFFH

1. 低端1MB的内存:

a) 低端640KB:基本内存(最初的8086处理器只能够访问1MB的内存)

b) A0000H~BFFFFH:保留给显卡使用。

c) C0000H~FFFFFH:保留给BIOS使用。

i. C0000h~C7FFFH:显卡BIOS

ii. C8000H~CBFFFHIDE控制器的BIOS

iii. 最后的64KB或更多一点空间:系统BIOS占用。

3. 计算机的启动过程

a) 按下电源开关:CPU进行RESET(重置)

b) 系统BIOS的启动:

i. 首先进行POSTPower-On Self Test,加电自检)

1. 主要任务:检测系统中关键设备是否都存在,且能正常工作。

2. 处理方式:若存在问题,BIOS会控制喇叭发声报错。通过声音的长短和次数来表述错误类型。

ii. POST结束后,调用其他代码进行完整的硬件检测。

c) 显卡BIOS的启动

i. 启动条件:当系统BIOS启动完成后。

ii. 启动方式:由系统BIOS查找并调用BIOS的初始化代码。

iii. 主要任务:初始化显卡。

d) 其他设备的BIOS程序的启动:

i. 启动条件:在显卡BIOS启动完成后。

ii. 启动方式:由系统BIOS调用相关BIOS的初始化代码来初始化相关设备。

e) 显示系统BIOS的启动画面(包括系统BIOS的类型、序列号和版本号等内容)

f) CPURAM的检测

i. 由系统BIOS依次进行检测,并将相关数据在屏幕上显示。

g) 系统中标准硬件设备的检测

i. 由系统BIOS来检测

h) 系统中安装的即插即用设备的检测和安装

i. 由系统BIOS内部支持即插即用的代码检测。

ii. 将在屏幕上显示设备信息。

iii. 为设备分配中断、DMA通道和I/O端口等资源。

i) 所有硬件检测到此为止(多数BIOS会重新清屏并概略显示系统中安装的各种标准硬件设备)

j) BIOSESCD(Extended System Configuration Data,扩展系统配置数据)的更新。

i. ESCD:是系统BIOS用来与操作系统交换硬件配置信息的一种手段。这些数据被存放在CMOS(一小块特殊的RAM,由主板上的电池供电)之中。

k) 系统BIOS根据用户指定的启动顺序从软盘、硬盘或光驱启动。

i. 以从C盘启动为例,系统BIOS 硬盘上的主引导记录 —分区表中第一个活动分区的分区引导记录(方式为,读取并执行)

l) 热启动

i. 以上是计算机的冷启动方式,而热启动方式将省去POST过程和CPU及内存的测试过程。

4. 硬盘主引导记录的结构

a) 位置:位于硬盘的0柱面、0磁头、1扇区。是一个隐含扇区。

b) 组成:

i. 600H~68AH139个字节是引导程序部分;

ii. 68BH~6D9H79个字节是错误信息数据区;

iii. 6DAH~7BDH228个全0字节;

iv. 7BEH~7FDH64个字节,是硬盘的四个分区表信息。

v. 7FEH~7FFH2个字节“55AA”是硬盘主引导扇区结束(有效)标志,标志错误系统也不能启动。

c) 硬盘分区表:

i. 大小:16字节。

偏移

意义

偏移

意义

0

自举标志

8

本分区之前已用扇区数

1

起始磁头号H

9

2

起始扇区号S

10

3

起始柱面号CYL

11

4

分区格式标志

12

本分区扇区总数

5

终止磁头号H

13

6

终止扇区号S

14

7

终止柱面号CYL

15

CYL字节存放的是柱面号的低8位,高2位存放在S字节的高2位。

当自举标志字节为80H时,说明该分区是活动分区;自举标志字节为00H时,说明是非活动分区;80H00H以外的值,是错误的标志。

自举标志

80

00

00

00

起始磁头号

01

00

00

01

起始扇区号

01

81

C1

C1

起始柱面号

00

FD

FF

FF

分区格式标志

0B

0B

0C

0C

终止磁头号

FE

FE

FE

FE

终止扇区号

BF

FF

FF

FF

终止柱面号

FC

FF

FF

FF

本分区之前已用扇区数

0000003F

00BB86BD

01B58FB9

02B73253

本分区扇区总数(十六进制)

00BB867E

00FA08FC

000101A2

01388AFC

本分区扇区总数(十进制)

12289662

16386300

65954

20482812


×

512÷1048576 =

0.00048828125

本分区容量(单位:MB

6000.8

8001.1

32.2

10001.4

5. 硬盘主引导扇区引导程序分析

a) 大小:139个字节

b) 主引导记录在寻找活动分区标示“80”的同时,也判断非活动分区的表示是否为“00”,如果两者都不是,系统就会报错,所有分区检查完毕以后,就将系统控制权交给活动分区的

c) 分区类型(分区格式)引导记录,通过一层一层的调入和交班,完成整个系统的引导过程。

i. 部分常见的见附录2

d) 虚拟MBR(也称为扩展MBRextended MBREBR

i. 分区链:为了让主MBR在定义分区的时候,将多余的容量定义为扩展分区,指定该扩展分区的起止位置,根据起止位置指向的硬盘的某一个扇区,作为下一个分区表项,接着在该扇区继续定义分区。如果只有一个分区,就定义该分区,然后结束;如果不只一个分区,就定义一个基本分区和一个扩展分区,扩展分区再指向下一个分区描述扇区,在该扇区按上述原则继续定义分区,直至分区定义结束。这些用以描述分区的扇区形成一个“分区链”。

ii. 意义:解决超过硬盘分区表只能描述的4个分区量的需求的问题。

iii. 逻辑锁:系统在启动的时候按照分区链的链接顺序查找分区,直至找出所有分区。所谓“逻辑锁”,就是让分区链形成一个环,这样系统在启动时就在分区表内循环,变现为系统无法引导,就是用软盘启动,也不能进入硬盘。

c) DBR分析

DBRDos Boot RecordDOS引导扇区,BOOT区)位于磁盘的0扇区。

i. DOSDBR扇区

ii. Windows 98 DBR扇区

iii. DOS引导扇区的结构

1. 跳转指令

a) 大小:2字节。

b) 作用:将程序执行流程跳转到自举代码处。

c) DOS引导扇区是由主引导扇区的引导程序段读入并跳转到这里的。紧接着跳转指令的是一条空指令NOP90

2. 厂商标识和DOS版本号

a) 大小:8字节(03~0A

3. BPBBIOS Parameter Block, BIOS参数块)

a) 起始位置:第120BH)字节

b) 大小:520B~3EFAT12FAT16)或800B~5AFAT32)字节

c) 作用:记录磁盘的每扇区字节数、磁头数、目录起始簇等重要信息。

d) 硬盘DOS引导记录中BPB参数信息表:

偏移量

字节数

含义

00H

3

跳转到引导代码

03H

8

厂商标识和DOS版本号

0BH

2

BPB参数信息

每扇区字节数

0DH

1

每簇扇区数(2的整数倍)

0EH

2

保留扇区数(用于引导DOS等)

10H

1

FAT个数(通常为2

11H

2

根目录项数(早期版本,允许的最大目录项数,现已不用)

13H

2

扇区总数(小卷,小于32MB

15H

1

磁介质描述符

16H

2

FAT表所占扇区数(小卷,小于32MB

18H

2

每磁道扇区数

1AH

2

逻辑磁头

1CH

4

当前DOS分区前面的隐含扇区数(系统隐含扇区)

20H

4

扇区总数(大卷,大于32MB

FAT32区段

24H

4

FAT表所占扇区数(大卷,大于32MB

28H

2

标记

2AH


版本

2CH

4

引导目录第一簇,即根目录的起始簇

30H

2

FS信息扇区,BOOT本身占用的扇区数

32H

2

备份引导扇区的位置

34H

7

保留,一般为00H

40H

1

BIOS设备(十六进制,HD=8x,即第一块硬盘从80开始,一次编号至8586为光驱)

41H

1

未使用

42H

1

扩展引导标记

43H

4

序列号

47H

11

卷标

52H

8

文件系统

4. DOS引导程序

a) 大小:448字节(3E~1FD)或420字节(5A~1FD

b) 任务:负责完成DOS三个系统文件的装入。

c) 结束标志:DBR的结束标志与分区表的结束标志相同,为“55 AA”。

注:由以上5部分组成的512字节的DOS引导扇区(BOOT扇区)中,除了结束标志固定外,跳转指令、厂商标识和DOS版本号、DOS引导程序会因DOS版本不同而异,BPB会因DOS版本及磁盘不同而变化。

在保留扇区(Reserved sectors)(早起为1个扇区,较新的版本为32个扇区)中第6扇区一般是BOOT的备份。

d) 磁介质描述符(Media description):

作用:描述磁盘介质性质

磁介质描述符:

系统隐含扇区(Hidden sectors:是指分区表中所描述的该分区的起始扇区(一般形如某柱面/0/1)至该逻辑磁盘BOOT扇区之间的扇区数,即MBR或虚拟MBR至随后的逻辑磁盘BOOT之间的扇区数,一般为63.

e) DOS引导程序段(DBR)的执行流程

i. DBR程序段所完成的主要任务:

1. 重新设置引导驱动器,

2. 将根目录的第一个扇区(即根目录FDT中的前16个文件项)装载到内存。

3. 检查FDTFile Directory Table)的前两个文件是否是DOS的两个系统文件IO.SYS(或IBMBIO.COM)和MSDOS.SYS(或IBMDOS.COM)。

4. 将第一个系统文件IO.SYS(或IBMBIO.COM装入内存。

5. 将控制权交给IO.SYSIBMBIO.COM

5. 文件分配表(FAT):

a) 定义:是DOS文件管理系统用来记录每个文件的存储位置的表格

b) 存放方式:以链的方式存放簇号。

c) 位置:紧接着DOS引导扇区存放。

d) 结构:一个是基本表,另一个是备份。两者长度内容相同。

e) 影响因素:DOS版本、分区大小、每簇的扇区数等。

具体所占扇区数可从BPB偏移16H(小于32MB)和24H(大于32MB)处的值。

磁盘格式化后,用户文件以簇为单位存放在数据区中,一个文件至少占用一个簇。文件所占用的簇不一定连续。

在一个簇中,只要有一个扇区有问题,该簇就不能使用。

FAT表项值与簇号的关系(以FAT16为例)。

文件分配表中每个簇号可取的表项值及其含义:

(H)

说明

F8

磁盘

F9

双面5.25英寸软盘(15扇区高密度)双面3.5英寸软盘

FA

双面3.5英寸软盘RAM虚拟盘

FC

单面5.25英寸软盘(9扇区高密度)双面8英寸软盘

FD

双面5.25英寸软盘(9扇区低密盘)

FE

单面8英寸软盘(单、双密度)单面5.25英寸软盘(8扇区低密盘)

FF

双面5.25英寸软盘(8扇区低密盘)

f) FAT的主要功能:

i. `表明磁盘类型

FAT的第0字节(首字节)表示磁盘类型,其值与BPB中磁介质描述符所对应的磁盘类型相同。

ii. 表明一个文件所占用的各簇的簇链分配情况

FAT0002簇开始分配给文件。表项值0002H~FFFFH中的任一值表明文件的下一个簇号。文件的起始簇号由文件目录表(FDT)中每个目录登记项的第2627字节决定。FAT表项中的值既表示一个簇号,(借以表示文件该部分内容在磁盘上的位置),又用其值乘以2作为下一个表项的位置,构成一个FAT链。

iii. 表明坏簇和可用簇:

若磁盘格式化时发现坏扇区,即在相应簇的表项中写入FFF7H,表明该簇的扇区不能使用,DOS就不会将它分配给用户文件。

磁盘上未用但可用的“空簇”的表项值为0000H,当需要存放新文件时,DOS按一定顺序将它们分配给新文件。

6. 文件目录表

Format命令对磁盘(逻辑盘)进行高级格式化得时候,就已经为整个磁盘建立了一个根目录FDT。在根目录下,用户可以再创建不同的子目录或文件。根目录和各个子目录都有自己的FDT

a) FAT16FDT

i. FAT16根目录中的FDT

低版本的DOSWindows系统下,在磁盘中,文件目录表的起始逻辑扇区为2×FAT扇区数+1FDT所占用的扇区数等于32×根目录允许的项数÷512。高版本的Windows系统中对根目录已经没有限制,而是把它作为一个普通的目录(或文件)来进行管理,由BPB指示起起始扇区。

FDT中文件目录登记项的内容及含义:

表项值(12位)

表项值(16位)

表项值(32位)

簇描述信息含义

000H

0000H

000000000H

未使用的簇

002H~FEFH

0002H~FFEFH

00000002H~FFFFFFEFH

一个已分配的簇号

FF0H~FF6H

FFF0H~FFF6H

FFFFFFF0H~FFFFFFF6H

保留

FF7H

FFF7H

FFFFFFF7H

坏簇

FF8H~FFFH

FFF8H~FFFFH

FFFFFFF8H~FFFFFFFFH

EOF(文件结束簇)

字节偏移

字节数

内容及含义

0~7

8

用于表示文件名字

8~10

3

用于表示文件的扩展名

11*

1

属性字节

00000000(读写)

00000001(只读)

00000010(隐含)

00000100(系统)

00001000(卷标)

00010000(子目录)

00100000(档案,只要完成了写操作并已关闭即置1

12~21

10

保留未用

22~23

2

表示文件的创建时间(hhhhh mmmmmm sssss)

24~25**

2

表示文件的创建日期(yyyyyyy mmmm ddddd)

26~27

2

表示文件的首簇号(文件存放的起始簇号)

28~31

4

表示文件的长度

*表示:属性字节的各位可组合,如0700000111)表示系统、隐含、只读属性。

**表示:其中的高7位为相对于1980年的年份值。

ii. FDT的文件目录项的文件名(0~7字节)中:

第一字节表明了该文件的状态,有一下三种取值方式:

1. 00H——目录项的空表项(未使用的目录项)。

2. E5H——表示该目录项曾经使用过,但文件已被删除。

3. 其他任何合法字符——表示一个文件名(或子目录名)的第一个字符的ASCII码值,如果是子目录下的两个特殊文件“.”或“..”目录项,其ASCII码为2EH2EH2EH

iii. 子目录结构:

1. DOS中采用层次目录结构。也称作树形目录结构。

2. 一个子目录也占一个文件目录项,只不过它的属性为10H,文件长度字节为0.

.”表示当前子目录。

..”表示上一级目录。

3. 这两项同其他子目录一样也没有长度。如果上一级目录是根目录,则该簇号值被置成0

4. 数据区空间的使用是在文件分配表和文件目录表的统一控制下完成的,每个文件所有的簇在文件分配表中都是链接在一起的。

5. 一个文件或子目录在磁盘上的存储位置(逻辑扇区号)是:1+2×FAT的扇区数+FDT的扇区数+(起始簇号-2)×每簇扇区数。

b) FAT32文件系统

i. Windows 95 OSR2 和 Windows 98支持FAT32文件系统。

ii. FAT16的区别:

1. 文件分配表FAT(文件系统的核心)由16位扩充为32位。

2. FAT32文件系统将逻辑盘的空间划分为三个部分:

a) 系统区:

i. 引导区(BOOT区)、

ii. 文件分配表区(FAT区)

b) 数据区(DATA区)。

3. FAT32的引导区共占用32个扇区,其中使用三个扇区(实际只使用了第一个扇区,但第二和第三扇区也写入了“55 AA”标志),保存有该逻辑盘每扇区字节数,每簇对应扇区数等重要参数和引导记录。而,FAT16文件系统的引导区一般只占用一个扇区,没有其他保留扇区。

4. (无论FAT16FAT32)文件分配表区保存有两个相同的文件分配表。其中一个做备用。文件系统对数据区的存储空间是按簇进行划分和管理的。簇,是空间分配和回收的基本单位。一个文件总是独立占用一个簇。

a) FAT16系统簇号用16位二进制数表示,从0002HFFEFH为可用簇号(FFF0HFFFFH另有定义,用来表示坏簇,文件结束簇等),允许每一逻辑盘的数据区最多不超过FFEDH65518)个簇。FAT32系统簇号改用32位二进制数表示,大致从00000002HFFFFFFEFH为可用簇号。FAT表使用位示图法(按顺序依次)记录该盘各簇的使用情况,这点和FAT16相同。

5. FAT32系统每簇对应8个逻辑相邻的扇区,理论上这种用法所能管理的逻辑盘容量上限位16TB16384GB),容量大于16TB时,可以用每簇对应16个扇区,依次类推。

a) 对于容量小于512MB的盘,采用FAT32虽然一簇为8个盘区,比使用FAT16一簇16个扇区,簇有所减小,但FAT32FAT表较大,占用空间较多,总数据区被减少,两者相抵,实际效果并不能增加有效存储空间,所以微软建议对小于512MB的逻辑盘不宜使用FAT32

6. 根目录区(ROOT区)不再是固定区域、固定大小,可看作是数据区的一部分。因为根目录已改为根目录文件,采用与子目录文件相同的管理方式,一般情况下从第二簇开始使用,大小视需要增加,因此根目录下的文件数目不再受最多512个的限制。FAT16文件系统的根目录(ROOT区)是固定区域、固定大小,占用FAT区之后紧接着的32个扇区,最多保存512个目录项,是系统区的一部分。

7. 目录区中的文件目录项变化较多。一个目录项仍占用32字节,可以是文件目录项、子目录项、卷标项(仅根目录有)、已删除目录项、长文件名目录项等。目录项中原来在DOS下保留未用的1个字节都有了新的定义,全部32个字节的定义如下:

a) 0~7字节,文件名。

b) 8~10字节,文件扩展名。

c) 11字节,文件属性,按二进制位定义,最高两位保留未用,0~5位分别是只读位、隐藏位、系统位、卷标位、子目录位、归档位,当只读位、隐藏位、系统位、卷标位全为1其他位全为0,即11字节为“0FH”时表示该项为长文件名记录项。

d) 12~13字节,仅长文件名目录项有效,用来存储其对应的短文件名目录项的文件名字节效验和。

e) 13~15字节,24位二进制文件建立时间,其中高5位为小时,次6位为分钟,再次5位的倍数为秒,最后8位为单位精确到10毫秒的创建秒数。

f) 16~17字节,16位二进制文件建立日期,其中高7位为相对1980年的年份值,次4位为月份,后5位为月内日期。

g) 18~19字节,16位二进制文件最新访问日期,定义同16~17字节。

h) 20~21字节,起始簇号的高16位。

i) 22~23字节,16位二进制文件最新修改时间,其中高5位为小时,次6位为分钟,后5位的倍数为秒数。

j) 24~25字节,16位二进制文件最新修改日期,定义同16~17字节。

k) 26~27字节,起始簇号的低16位。

l) 28~31字节,32位文件字节长度。

其中12~19字节为以后陆续定义。

对于子目录项,其长度为零;已删除目录项的首字节值为E5H。在刻意使用长文件名的FAT32系统中,文件目录项保存该文件的短文件名,长文件名用若干个长文件名目录项保存,长文件名目录项倒序排列在文件短目录项前面,全部采用双字节内码保存,每一项最多保存十三个字符内码,首字节指明是长文件的第几项,11字节为0FH12字节指明类型,13字节为效验和,2627字节为零。

8. 以前版本的WindowsDOSFAT32不兼容,不能识别FAT32分区,有些程序也依赖于FAT16文件系统,不能再FAT32驱动器下运行。将硬盘装换为FAT32格式后,就不能再用双引导运行以前版本的Windows(包括Windows 95[Version4.00.950],Windows NT 3.xWindows NT 4.0Windows 3.x等)系统。

c) DATA

i. DATA区域用于实际存储文件数据,其组织与管理由系统根据前面四个区域的内容来完成。

d) NTFS文件系统

i. NTFS主要用在Windows NT系统中,HPFS文件系统则主要用于OS/2系统中。

ii. NTFS是在1993年随着Windows NT的第一个版本推出而面世的,是一个性能优良的文件系统。NTFS基于可恢复文件结构而设计,它可使用用户数据文件不会丢失或毁坏的危险,适用于一些要求安全性高、而且在磁盘上存储远远大于FAT文件系统所能处理的巨型文件等场合。

iii. NTFS

NTFS文件系统中,使用“卷”这个术语来表示一个逻辑盘。卷可以是一个基本分区,一个扩展分区中的逻辑磁盘,或者是一个被视为非DOS分区的磁盘上的一个部分空间。而且,一个卷可以是被Windows NT指定为一个逻辑驱动器的磁盘空间,它不必是一个磁盘上的相邻空间。

iv. B-Tree文件管理

NTFS利用B-Tree文件管理方法来跟踪文件在磁盘上的位置,这种技术比在FAT文件系统中使用的链接表技术具备更多的优越性。文件名顺序存放,因而查找速度更快。在更大的卷上,B-Tree会在宽度上增长,而不会在深度上增长,因此,当目录增大时,NTFS并没有显示出明显的性能下降。

B-Tree的数据结构使查找一个条目所需的磁盘访问次数最少。在主文件表中,目录的索引根属性中的每一个文件名都包含了一个指向索引缓冲区的指针。这个索引缓冲区中包含有一些文件名,它们位于索引根属性中的文件的名字之前。通过这种位置关系,可使他们排在索引缓冲区中的那个文件之前。利用这些缓冲区,NTFS可以进行折半查找。

v. 磁盘上的NTFS结构

FAT相同,NTFS也使用“簇”作为最小的分配单位。簇的大小,也称为簇因子,由NTFS格式化程序确定。磁盘管理中的格式化选项没有任何参数可选,但是从“My Computer”文件夹或从命令提示符来进行格式化时,可以控制簇的大小。NTFS支持的簇大小为512102420484096个字节。NTFS的默认簇大小是一种在簇太大而造成簇内空间浪费与簇太小而造成产生碎片这两者之间的折中方案。NTFS只与簇发生关系,与物理扇区的大小无关。

NTFS中磁盘容量与簇的大小对应关系

NTFS中有一个被称为主文件表(MFT)的文件,卷中的每一个文件都在这个文件表中占有一行,MFT文件本身也在这个文件表中有相应的条目。优势,问及静安被分为若干个段,这时它在MFT表中就需要有多个记录。在这种情况下,MFT表中指向这个文件的第一个记录被称为基文件记录,基文件记录中包含有MFT表中与这个文件有关的其他记录的位置。每一个卷都包含一个引导文件以及其他一系列文件,其中包含有卷上每一个文件的有关信息(这些文件被称为元数据文件)。这些文件共同构成文件系统。

NTFS卷上的每一个文件都有一个与之相关的64位标识符,这个文件标识被称为文件参考号(文件索引号)。这个号码都由两部分组成,一个是文件号,一个是顺序号。文件号是文件在MFT表中的位置,顺序号用于内部一致性检查。每当MFT文件记录位置被再次使用时,这个数值都要递增1

vi. NTFS的优点

NTFS具备很强的安全性,足以使Windows NT获得美国政府的C-2级安全性认证。安全性被认为可以平衡两个互相冲突的要求,它既允许用户访问他们所需要的一切,同时又不允许它们访问除此之外的任何文件。

NTFS具有审核能力。它能够跟踪那些成功地访问文件的目标,及试图访问一个文件或目录但失败了的目标。

NTFS是一个可恢复的文件系统。

vii. 转换到NTFS

Windows下进行FATNTFS的转换允许数据保留在磁盘上的同时完成。而NTFSFAT的转换必须备份数据再将磁盘重新格式化,或者借助第三方软件转换。

按要求转换

如果希望保留磁盘上的数据,就必须在命令提示符下使用CONVERT命令,完成从FAT分区到NTFS分区的转换。格式如下:

CONVERT drive/fs: ntfs

其中drive是一个驱动器名,/fs:用于指明使用哪一个文件系统。Ntfs是指转换到NTFS。(如果当前没有使用这个驱动器,可立进行转换,否则只能待系统启动过程中完成)。

viii. 选择FAT还是NTFS

如果不考虑安全性,并且硬盘或分区小于1GB,那么在Windows NT中使用FAT文件系统或许比NTFS文件系统要好。


(2.4) 《数据恢复技术(第2版)》学习笔记 (2.4)
  评论这张
 
阅读(126)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017