NTFS文件系统实例分析

NTFS文件系统实例分析

一、基本情况

NTFS文件系通过主文件$MFT管理文件，每个文件都有很多属性，磁盘上每建立1个文件，在$MFT中记录文件的属性，文件记录大小都是1KB，小文件（小于1KB）的全部属性都存放在$MFT中，大文件（1K以上）在它的MFT基本文件记录中，其80数据属性有数据运行（dataRuns或一个盘区（extent），）指针（包含数据所在的起始簇号和簇的大小）,也称为流描述，当流描述的第一个字节为0里就表示该流已经结束。

NTFS使用逻辑簇号（LCN，Logical Cluster Number）和虚拟簇号（VCN，Virtual Cluster Number）来对簇进行定位。

LCN是对整个卷中的所有的簇从头到尾进行简单编号，VCN是对特定文件的簇从头到尾进行编号，以便引用文件中的数据。

文件MFT记录的结束标志为ff ff ff ff。

二、举例

建立一个小文本文件dd.txt和一个大文件large.txt。

1、文件属性修改

打开主文件$MFT，按Unicode编码，向下查找文本，搜索文件名dd.txt，读出文件dd.txt记录，查看0x10属性，在偏移0x38处就是该文件属性，长度为4字节。改变此字节就可改变文件是的只读、隐藏、系统等属性。

2、小文件（小于1KB，文件所有属性在MFT中的一条记录中容

纳）

打开主文件$MFT，按Unicode编码，向下查找文本，搜索文件名dd.txt，读出文件dd.txt的记录，查看0x80属性，在偏移0x18处就是该文件的内容，在此可直接修改文件内容。

2、大文件（大于1KB）

打开主文件$MFT，按Unicode编码，向下查找文本，搜索文件名large.txt，读出文件large.txt的记录，查看0x80属性，在偏移0x10、0x18处分别用8个字节记录文件起始VCN和结束VCN，此例分别是00 00 00 00 00 00 00 00，01 00 00 00 00 00 00 00，说明文件只有0簇和1簇共2簇；在偏移0x20处的2个字节是该文件数据运行的偏移，此处的值为0x40，所以查看偏移0x40处就是文件的第1个运行的描述，该运行分为：

子运行1：31 02 C6 3A 0C

其中“31”中的“1”表示“31”后面第1个字节的数表示子运行的大小，即该子运行的大小为02簇。“31”中的“3”表示“31”后面4个字节中后面3个字节是子运行的起始簇号，即子运行的起始簇号为“0C3AC6”，此运行的描述之后为“00”表示运行结束。0C3AC6转为十进制801478，从导航菜单中转到801478簇就能看到文件的内容。