洛阳理工学院实验报告用纸(操作系统实验报告+NTFS的认识)
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
序号id元文件功能序号id元文件功能0mft主文件列表本身3volume卷文件1mftmirr主文件表的部分镜像4attrdef属性定义列表2logfile日志文件5root根目录6bitmap位图文件10upcase大写文件7boot引导文件1115extend扩展文件共5个8badclus坏簇文件1623保留9secure安全文件文件记录头结构偏移长度字节描述0x004file标识符0x042更新序列号偏移0x062更新序列号大小0x088日志文件logfile序列号lsn0x102序列号0x122硬连接数0x142第一个属性的偏移地址0x162标志00表示文件被删除01文件正在使用02目录被删除03目录正在使用0x184文件记录实际大小0x1c4文件记录分配大小0x208所对应的基本文件记录的文件参考号0x282下一个属性id0x2a2边界windowsxp中使用0x2c4windowsxp中使用本mft记录号0x302更新序列号0x324更新数组三实验步骤1
洛阳理工学院实验报告用纸
计算机系B090501班姓名学号成绩
实验名称
实验三初步认识NTFS
同组人
日期
11.22
一、实验目的
通过这次实验,掌握工具软件WinHex的基本使用,掌握磁盘参数块(BPB)的查找方法,掌握NTFS中主文件表(MFT)记录的查找方法、以及MFT文件记录的结构。
二、实验原理
已格式化的NTFS卷如下图所示。
0x14A51B74C91B741C
卷序列号
0x50
DWORD
0x00000000
校验和
2.主文件表(MFT)及文件记录结构
以下是元文件的列表。其中ID为0-15的文件为系统文件,用户文件从第24个MFT记录开始排。
序号(ID)
元文件
功能
序号(ID)
元文件
功能
0
$MFT
主文件列表本身
3
$Volume
NTFS未使用
0x15
BYTE
F8
介质描述
0x16
WORD
0000
总是0
0x18
WORD
3F00
每磁道扇区数
0x1A
WORD
FF00
磁头数
0x1C
DWORD
3F000000
隐含扇区
0x20
DWORD
00000000
NTFS未使用
0x24
DWORD
80008000
NTFS未使用
0x28
LONGLONG
4
文件记录实际大小
0x1C
4
文件记录分配大小
0x20
8
所对应的基本文件记录的文件参考号
0x28
2
下一个属性ID
0x2A
2
边界,Windows XP中使用
0x2C
4
Windows XP中使用,本MFT记录号
0x30
2
更新序列号
0x32
4
更新数组
三、实验步骤
1.将D盘分区转换为NTFS
命令行输入:convert d:/fs:ntfs
总是0
0x18
WORD
0x3F00
每磁道扇区数
0x1A
WORD
0xFF00
磁头数
0x1C
DWORD
0x3F000000
隐含扇区
0x20
DWORD
0x00000000
NTFS未使用
0x24
DWORD
0x80008000
NTFS未使用
0x28
LONGLONG
0x4AF57F0000000000
扇区总数
0x30
偏移
长度/字节
描述
0x00
4
“FILE”标识符
0x04
2
更新序列号偏移
0x06
2
更新序列号大小
0x08
8
日志文件($LogFile)序列号(LSN)
0x10
2
序列号
0x12
2
硬连接数
0x14
2
第一个属性的偏移地址
0x16
2
标志,00表示文件被删除,01文件正在使用,02目录被删除,03目录正在使用
0x18
0
0x15
BYTE
介质描述Βιβλιοθήκη F80x18WORD
每磁道扇区数
63
0x1A
WORD
磁头数
255
0x1C
DWORD
隐含扇区
63
0x28
LONGLONG
扇区总数
63488816
0x30
LONGLONG
$MFT的起始逻辑簇号
786432
0x38
LONGLONG
$MFTMirr的起始逻辑簇号
16
0x40
DWORD
在驱动器C选项卡中选中test.txt文件完成定位,记录其记录头,并查看其80属性。
四、原始数据记录
1.BPB内容
字节偏移
字段长度
示例值
字段名
0x0B
WORD
0002
每扇区字节数
0x0D
BYTE
08
每簇扇区数
0x0E
WORD
0000
保留扇区
0x10
3 BYTE
000000
总是0
0x13
WORD
0000
每个文件记录段的簇数
246
0x44
DWORD
每个索引块的簇数
1
0x48
LONGLONG
卷序列号
F27001B88F01B8D4
0x50
DWORD
校验和
0
2.在C盘的根目录下创建一简单的文本文件test.txt(包含一段英文)
3.安装工具软件WinHex,并使之运行
4.打开磁盘C
“工具”——>“打开磁盘”,选择C。
5.定位C盘的引导扇并记录BPB内容
“位置”——>“跳到扇区”,在逻辑扇区中输入“0”,记录BPB内容。
6.定位MFT中test.txt文件记录并记录其记录头
卷文件
1
$MFTMirr
主文件表的部分镜像
4
$AttrDef
属性定义列表
2
$LogFile
日志文件
5
$Root
根目录
6
$Bitmap
位图文件
10
$UpCase
大写文件
7
$Boot
引导文件
11-15
$Extend
扩展文件(共5个)
8
$BadClus
坏簇文件
16-23
保留
9
$Secure
安全文件
文件记录头结构
LONGLONG
0x0400000000000000
$MFT的起始逻辑簇号
0x38
LONGLONG
0x54FF070000000000
$MFTMirr的起始逻辑簇号
0x40
DWORD
0xF6000000
每个文件记录段的簇数
0x44
DWORD
0x01000000
每个索引块的簇数
0x48
LONGLONG
0x48
LONGLONG
F27001B88F01B8D4
卷序列号
0x50
DWORD
00000000
校验和
2.test.txt对应的MFT文件记录头内容
80的属性00
五、结论
字节偏移
字段长度
字段名
字段内容(值用十进制表示)
0x0B
WORD
每扇区字节数
512
0x0D
BYTE
每簇扇区数
8
0x0E
WORD
保留扇区
30C3C80300000000
扇区总数
0x30
LONGLONG
00000C0000000000
$MFT的起始逻辑簇号
0x38
LONGLONG
1000000000000000
$MFTMirr的起始逻辑簇号
0x40
DWORD
F6000000
每个文件记录段的簇数
0x44
DWORD
01000000
每个索引块的簇数
1.磁盘参数块(BPB)
字节偏移
字段长度
示例值
字段名
0x0B
WORD
0x0002
每扇区字节数
0x0D
BYTE
0x08
每簇扇区数
0x0E
WORD
0x0000
保留扇区
0x10
3 BYTE
0x000000
总是0
0x13
WORD
0x0000
NTFS未使用
0x15
BYTE
0xF8
介质描述
0x16
WORD
0x0000
洛阳理工学院实验报告用纸
计算机系B090501班姓名学号成绩
实验名称
实验三初步认识NTFS
同组人
日期
11.22
一、实验目的
通过这次实验,掌握工具软件WinHex的基本使用,掌握磁盘参数块(BPB)的查找方法,掌握NTFS中主文件表(MFT)记录的查找方法、以及MFT文件记录的结构。
二、实验原理
已格式化的NTFS卷如下图所示。
0x14A51B74C91B741C
卷序列号
0x50
DWORD
0x00000000
校验和
2.主文件表(MFT)及文件记录结构
以下是元文件的列表。其中ID为0-15的文件为系统文件,用户文件从第24个MFT记录开始排。
序号(ID)
元文件
功能
序号(ID)
元文件
功能
0
$MFT
主文件列表本身
3
$Volume
NTFS未使用
0x15
BYTE
F8
介质描述
0x16
WORD
0000
总是0
0x18
WORD
3F00
每磁道扇区数
0x1A
WORD
FF00
磁头数
0x1C
DWORD
3F000000
隐含扇区
0x20
DWORD
00000000
NTFS未使用
0x24
DWORD
80008000
NTFS未使用
0x28
LONGLONG
4
文件记录实际大小
0x1C
4
文件记录分配大小
0x20
8
所对应的基本文件记录的文件参考号
0x28
2
下一个属性ID
0x2A
2
边界,Windows XP中使用
0x2C
4
Windows XP中使用,本MFT记录号
0x30
2
更新序列号
0x32
4
更新数组
三、实验步骤
1.将D盘分区转换为NTFS
命令行输入:convert d:/fs:ntfs
总是0
0x18
WORD
0x3F00
每磁道扇区数
0x1A
WORD
0xFF00
磁头数
0x1C
DWORD
0x3F000000
隐含扇区
0x20
DWORD
0x00000000
NTFS未使用
0x24
DWORD
0x80008000
NTFS未使用
0x28
LONGLONG
0x4AF57F0000000000
扇区总数
0x30
偏移
长度/字节
描述
0x00
4
“FILE”标识符
0x04
2
更新序列号偏移
0x06
2
更新序列号大小
0x08
8
日志文件($LogFile)序列号(LSN)
0x10
2
序列号
0x12
2
硬连接数
0x14
2
第一个属性的偏移地址
0x16
2
标志,00表示文件被删除,01文件正在使用,02目录被删除,03目录正在使用
0x18
0
0x15
BYTE
介质描述Βιβλιοθήκη F80x18WORD
每磁道扇区数
63
0x1A
WORD
磁头数
255
0x1C
DWORD
隐含扇区
63
0x28
LONGLONG
扇区总数
63488816
0x30
LONGLONG
$MFT的起始逻辑簇号
786432
0x38
LONGLONG
$MFTMirr的起始逻辑簇号
16
0x40
DWORD
在驱动器C选项卡中选中test.txt文件完成定位,记录其记录头,并查看其80属性。
四、原始数据记录
1.BPB内容
字节偏移
字段长度
示例值
字段名
0x0B
WORD
0002
每扇区字节数
0x0D
BYTE
08
每簇扇区数
0x0E
WORD
0000
保留扇区
0x10
3 BYTE
000000
总是0
0x13
WORD
0000
每个文件记录段的簇数
246
0x44
DWORD
每个索引块的簇数
1
0x48
LONGLONG
卷序列号
F27001B88F01B8D4
0x50
DWORD
校验和
0
2.在C盘的根目录下创建一简单的文本文件test.txt(包含一段英文)
3.安装工具软件WinHex,并使之运行
4.打开磁盘C
“工具”——>“打开磁盘”,选择C。
5.定位C盘的引导扇并记录BPB内容
“位置”——>“跳到扇区”,在逻辑扇区中输入“0”,记录BPB内容。
6.定位MFT中test.txt文件记录并记录其记录头
卷文件
1
$MFTMirr
主文件表的部分镜像
4
$AttrDef
属性定义列表
2
$LogFile
日志文件
5
$Root
根目录
6
$Bitmap
位图文件
10
$UpCase
大写文件
7
$Boot
引导文件
11-15
$Extend
扩展文件(共5个)
8
$BadClus
坏簇文件
16-23
保留
9
$Secure
安全文件
文件记录头结构
LONGLONG
0x0400000000000000
$MFT的起始逻辑簇号
0x38
LONGLONG
0x54FF070000000000
$MFTMirr的起始逻辑簇号
0x40
DWORD
0xF6000000
每个文件记录段的簇数
0x44
DWORD
0x01000000
每个索引块的簇数
0x48
LONGLONG
0x48
LONGLONG
F27001B88F01B8D4
卷序列号
0x50
DWORD
00000000
校验和
2.test.txt对应的MFT文件记录头内容
80的属性00
五、结论
字节偏移
字段长度
字段名
字段内容(值用十进制表示)
0x0B
WORD
每扇区字节数
512
0x0D
BYTE
每簇扇区数
8
0x0E
WORD
保留扇区
30C3C80300000000
扇区总数
0x30
LONGLONG
00000C0000000000
$MFT的起始逻辑簇号
0x38
LONGLONG
1000000000000000
$MFTMirr的起始逻辑簇号
0x40
DWORD
F6000000
每个文件记录段的簇数
0x44
DWORD
01000000
每个索引块的簇数
1.磁盘参数块(BPB)
字节偏移
字段长度
示例值
字段名
0x0B
WORD
0x0002
每扇区字节数
0x0D
BYTE
0x08
每簇扇区数
0x0E
WORD
0x0000
保留扇区
0x10
3 BYTE
0x000000
总是0
0x13
WORD
0x0000
NTFS未使用
0x15
BYTE
0xF8
介质描述
0x16
WORD
0x0000