NTFS文件系统实例分析

实验报告（四）分析MRB表中的主分析区
一、实验目的：
1）掌握利用WinHEX软件查看硬盘的MRB表
2）认识MRB在计算机启动过程中的作用并熟悉MRB的结构。

3）分析MRB中每一个分区表项的意义。

二、实验环境(硬件或软件)：
WinHEX软件，虚拟机WinXP系统环境
三、实验要求（或实验原理）：
分析自己的硬盘，使用下表所示的方式描述当前分区的情况
四、实验内容(实验步骤或者程序编写)：
1.搜索第一个文件记录的位置
分析图中的80属性，可看出它的数据所在的簇流为32 40 01 00 00 0C，即簇流从00 00 0C （786432）簇开始，共40 01（320）簇
2.分析第二个文件记录
、
五、实验结果及分析：
做实验时要注意：CHS地址需要先将十六进制数值换算为二进制，再进行拆分和换算。

不同的操作系统可能会使用不同的分区类型，有时可利用分区类型值来隐藏某些分区。

LBA地址换算时要先高低换位后再换为十进制，这个地方的高位、低位是以字节为单位的。

实验二 NTFS文件系统设置实验一、实验目的1、掌握NTFS文件系统的基本概念2、掌握NTFS文件系统进行本地安全权限设置的操作3、掌握磁盘配额等操作二、实验要求1、设备要求：1台装有Windows Server 2012操作系统并装有Hyper-V的计算机2、每组1人，独立完成三、实验基础实验在Hyper-V虚拟机完成，掌握Hyper-V的基本操作，理解NTFS文件系统与权限设置的基本操作。

四、实验要求与步骤任务1：1）选择Windows 2008/2012虚拟机；2）添加1个虚拟磁盘（3G容量）-（建议使用SCSI控制器）；3）启动Windows 2008虚拟机，用计算机管理-存储-磁盘管理，将磁盘联机并初始化;4）新建3个简单卷，空间大小为1G, 分别设置驱动器号为F、G、H，并格式化F盘文件系统为FAT32；G、H盘文件系统为NTFS任务2:创建用户S1、S2、S3等,在G盘中建立文件夹G:\DOC，用记事本存放文件111.txt ,222.txt等, 在H盘中建立文件夹H:\S1、H:\S2、H:\S3操作实现以下设置要求，并验证：1) G:\DOC中存放着公司重要的资料，只有S1、S2普通用户对其只拥有读取权限，Administrator对其拥有完全控制权限2)H盘以S1、S2、S3命名的个人文件夹，对应用户拥有完全控制权限，其它用户无任何权限（如：H:\S1文件夹，S1用户拥有完全控制权限，其他用户无任何权限）4)文件或文件夹的复制和移动对NTFS权限的影响,实验操作并观察属性的变化5）在H盘上启用磁盘配额：把S1 账户的配额设置为：磁盘空间限制为20MB，警告等级为18MB把S2 账户的配额设置为：磁盘空间限制为30MB，警告等级为28MB切换到S1 账户，向H:\S1复制一些文件，当复制到一定程度时会出现什么问题？任务3:用Administrator 帐户登录，在H盘建立一个文件夹test，在该文件夹中建立一个文本文件A.txt、B.txt，对A.txt压缩、对B.txt加密对test 文件夹进行如下设置：允许访问的帐户有S1 、S2、S3（其它的帐户和组都删除），S1的访问权限为“读+写”，S2的访问权限都为“完全控制”,S3的访问权限为“读”分别切换到S1、S2、S3用户登录，验证以下操作是否允许：如果S3用户离职，管理员删除了其账户，但发现该员工计算机中有文件夹管理员无法访问，管理员该如何访问该文件夹并给其它人设置NTFS权限五、练习与思考1、简述NTFS、FAT32、FAT文件系统的区别。

NTFS文件解析系统的简单分析正如我们所知道的，目前主流anti-rootkit检测隐藏文件主要有两种方法，一种是文件系统层的检测(像IceSword自己构造irp包发到文件系统驱动)，另一种就是磁盘级别的低级检测，直接对磁盘的数据进行分析,比如SnipeSword、filereg和unhooker.最近对第二种方法的一部分(及NTFS文件系统的解析)做了一些学习，于是就写点学习的东西与大家分享，其中有很多错误和不足希望大牛们指出。

（1）准备工作――获取分区的一些基本参数我们可以用CreateFile打开某个盘，读取偏移为0的扇区的数据。

具体的数据结构为：typedef struct tag_NTFSBPB{BYTE bJmp[3];//跳转指令BYTE bNTFlags[4]; // 文件系统NTFS的为"NTFS"BYTE bReserve1[4]; //一般为四个空格WORD wBytePerSector;//每扇区字节数BYTE bSectorPerCluster//;每簇扇区数WORD wReserveSectors;//保留扇区数BYTE bFatNum; // 总是0WORD wRootDirNum; //总是0WORD wSectorOfParti; //总是0BYTE bMedium;//WORD wSectorPerFat; //总是0WORD wSectorPerTrack;//WORD wHeadNum;//DWORD dwHideSector;//DWORD dwSectoOfParti; //总是0BYTE bDeviceFlag;//BYTE bReserve2;//WORD wReserve3;//ULONGLONG ullSectorsOfParti; //扇区总数ULONGLONG ullMFTAddr;//$MFT的起始逻辑簇号ULONGLONG ullMFTMirrAddr;// $MFT的起始逻辑簇号BYTE bClusterPerFile;//BYTE bReserve4[3];//DWORD dwClusterPerINDX;//BYTE bSerialID[8];//} NTFSBPB, *LPNTFSBPB;其中最重要的应该就是通过ullMFTAddr获得$MFT的起始逻辑簇号进而找到根图（1）目录的位置在进行分析。

详解NTFS⽂件系统⼀、分析NTFS⽂件系统的结构当⽤户将硬盘的⼀个分区格式化为NTFS分区时，就建⽴了⼀个NTFS⽂件系统。

NTFS⽂件系统同FAT32⽂件系统⼀样，也是⽤“簇”为存储单位，⼀个⽂件总是占⽤⼀个或多个簇。

NTFS⽂件系统使⽤逻辑簇号（LCN）和虚拟簇号（VCN）对分区进⾏管理。

逻辑簇号：既对分区内的第⼀个簇到最后⼀个簇进⾏编号，NTFS使⽤逻辑簇号对簇进⾏定位。

虚拟簇号：既将⽂件所占⽤的簇从开头到尾进⾏编号的，虚拟簇号不要求在物理上是连续的。

NTFS⽂件系统⼀共由16个“元⽂件”构成，它们是在分区格式化时写⼊到硬盘的隐藏⽂件（以”$”开头），也是NTFS⽂件系统的系统信息。

NTFS的16个元⽂件介绍：⾸先找到该分区的起始扇区，具体可以参考这篇⽂章。

⼆、分析$Boot⽂件$Boot元⽂件由分区的第⼀个扇区（既DBR）和后⾯的15个扇区（既NTLDR区域）组成，其中DBR由“跳转指令”、“OEM代号”、“BPB”、“引导程序”和“结束标志”组成，这⾥和FAT32⽂件系统的DBR⼀样。

下图是⼀个NTFS⽂件系统完整的DBR。

下⾯我们分析⼀下DBR中的各参数EB 58 90：（跳转指令）本⾝占2字节它将程序执⾏流程跳转到引导程序处。

“EB 58 90″清楚地指明了OS引导代码的偏移位置。

jump 52H加上跳转指令所需的位移量，即开始于0×55。

4E 54 46 53 20 20 20 20:(OEM代号)这部分占8字节，其内容由创建该⽂件系统的OEM⼚商具体安排。

为“NTFS”。

BPB：NTFS⽂件系统的BPB从DBR的第12个字节开始，占⽤73字节，记录了有关该⽂件系统的重要信息，下表中的内容包含了“跳转指令”、“OEM代号”以及“BPB”的参数。

对照上⾯的BPB分析如下：02 00：每个扇区512个字节08：每个簇8个扇区00 00：保留扇区为000 00 00：为000：不使⽤F8：为硬盘00 00：为000 3F：每磁道63个扇区00 FF：每柱⾯255个磁头00 00 00 3F：隐藏扇区数（MBR到DBR）00 00 00 00：不使⽤80 00 80 00：不使⽤00 00 00 00 0C 80 33 FF：扇区总数20972851100 00 00 00 00 00 00 03：$MFT的开始簇号00 00 00 00 00 85 57 80：$MFTmirr的开始簇号00 00 00 F6：每个MFT记录的簇数00 00 00 01：每索引的簇数B8 11 2A 0C B8 11 2A 0C：分区的逻辑序列号引导程序：DBR的引导程序占⽤426字节，其负责完成将系统⽂件NTLDR装⼊，对于没有安装系统的分区是⽆效的。

有很多刚刚学习NTFS文件系统，可能都会有这个困扰，了解了DBR MFT 10 30 80 属性datarun后，还是不会怎么去定位目录或者或者子目录MFT。

因为我看了很多书上面都没有讲解怎么去定位！网上资料也很抽象，很难理解，所以我在这里把我自己学习过程中的一点认识写上来，希望能够帮助大家。

DBR MFT 我就不讲了。

直接从定位开始，在这里我要记住第5号元文件记录为根目录记录MFT 也就是好，现在进入正题，因为每个目录（文件）都有一个MFT，而子目录的MFT的首地址正是根据他的父目录的MFT来定位的，所以NTFS的文件系统中MFT正好形成了一棵树（是不是和FDT差不多，但是复杂多了）,所以大家可以想到，要定位树上叶子的位置，你必须知道ROOT（根）的位置吧，自然而然，我们就必须得到根目录的MFT的首扇子区号。

大家看到这里，想必都MFT有个大概的了解了吧，通过查阅MFT的相关资料，我们可以得知：5号MFT，遍是根目录的MFT区！！那么如何得到5号MFT的首扇区号呢.?我们可以通过DBR，通过DBR的参数（具体请自己查阅）我们可以获得0号MFT的首簇号,因为一个MFT占用2个扇区，我们可以轻松得知5号MFT的首扇区号(这个都不会算的话，那我也没办法了…),好现在知道了根目录的MFT…那我们就可以通过这个MFT寻找他所有直接子结点的MFT，好，现在基本方法大家都知道了吧，比如我们要定位D:\\a\\b\\c.txt这个c.txt文件，那么通过根目录的MFT我们可以定位到a的MFT,再由a的MFT获取b的MFT，由b的MFT获取c.txt的MFT,最后由c.txt的MFT分析可得这个TXT文件的DATA扇区号。

这样大家的思路是不是清楚了。

这里我以实例来说明如何定位，H盘有个文件路径是H:\111\222\nihao.txt首先要找到我们111目录的MFT表。

从第5号元文件，也就是索引根目录也就是ROOT DIRECTORY， 3083336扇区，我们可以从第5号MFT算出它的位置我们打开第5号MFT80属性的运行就是我们需要找的位置， 31 01 FE FF 03 开始簇号为262142 大小为1簇，转换为扇区也就是簇乘以8等于3083336，当然如果打开的是物理盘有MBR或者EBR要加上MBR 扇区，我这里打开的是逻辑盘，所以不用加，我们跳转到3083336扇区，看看是不是根目录。

图1 名字可能不太对但结构应该没差.png当找到⼀个NTFS⽂件系统的分区之后，接下来就可以开始着⼿遍历⽬录树和⽂件了。

你可能要问为什么不是第⼀步：读取NTFS的DBR扇区扇区的结构在之前那⽚⽂章写过了，下⾯给个DBR的截图。

图2 DBR扇区图中红⾊⽅框⾥⾯的数据是MFT的偏移(⼩端字节序)，即0X 00 00 00 00 00 0C 00 00，单位是簇，即MFT 个扇区，我们转到该分区的第 6291456扇区，就是MFT⽂件的第⼀个扇区了。

接下来该分析MFT是什么⿁？百度⼀下。

MFT是什么⿁？百度⼀下。

图3 ???不好意思，进错⽚场了。

图4 MFT主⽂件表实际上MFT也是⼀个⽂件，在winhex中可以看到它：图5 WinHex中的MFT⽂件也能看到MFT的偏移和我们之前计算的结果时⼀致的。

MFT由⼀个个表项构成，每⼀个表项是⼀个⽂件记录，⼤⼩⼀般为1KB(两个扇区)，记录着卷中每⼀个⽬录和⽂件的信息，每个⽂件记录的结构都是固定的，由图6 ⼀个⽂件记录其中，⽂件记录头的结构定义如下：1. // ⽂件记录头2. typedef struct _FILE_RECORD_HEADER3. {4. /*+0x00*/ BYTE Type[4]; // 固定值'FILE'5. /*+0x04*/ UINT16 USNOffset; // 更新序列号偏移, 与操作系统有关6. /*+0x06*/ UINT16 USNCount; // 固定列表⼤⼩Size in words of Update Sequence Number & Array (S)7. /*+0x08*/ UINT64 Lsn; // ⽇志⽂件序列号(LSN)8. /*+0x10*/ UINT16 SequenceNumber; // 序列号(⽤于记录⽂件被反复使⽤的次数)9. /*+0x12*/ UINT16 LinkCount; // 硬连接数10. /*+0x14*/ UINT16 AttributeOffset; // 第⼀个属性偏移11. /*+0x16*/ UINT16 Flags; // flags, 00表⽰删除⽂件,01表⽰正常⽂件,02表⽰删除⽬录,03表⽰正常⽬录12. /*+0x18*/ UINT32 BytesInUse; // ⽂件记录实时⼤⼩(字节) 当前MFT表项长度,到FFFFFF的长度+413. /*+0x1C*/ UINT32 BytesAllocated; // ⽂件记录分配⼤⼩(字节)14. /*+0x20*/ UINT64 BaseFileRecord; // = 0 基础⽂件记录 File reference to the base FILE record15. /*+0x28*/ UINT16 NextAttributeNumber; // 下⼀个⾃由ID号16. /*+0x2A*/ UINT16 Pading; // 边界17. /*+0x2C*/ UINT32 MFTRecordNumber; // windows xp中使⽤,本MFT记录号18. /*+0x30*/ UINT16 USN; // 更新序列号19. /*+0x32*/ BYTE UpdateArray[0]; // 更新数组20. } FILE_RECORD_HEADER, *pFILE_RECORD_HEADER;⽂件记录头后⾯就是属性了，属性由属性头和属性体构成，有如下⼏种类型：图7 属性类型属性有常驻属性常驻属性和⾮常驻属性⾮常驻属性之分，当⼀个属性的数据能够在1KB 的⽂件记录中保存的时候，该属性为常驻属性；⽽当属性的数据⽆法在⽂件记录中存放，需要存放到MFT 外的其他位置时，该属性为⾮常驻属性。

NTFS文件系统扇区存储探秘（第14章修改Bitmap扇区实现文件隐藏）第14章修改Bitmap扇区实现文件隐藏在NTFS文件系统的元数据文件中，有一个对簇的使用情况进行标记的文件，该文件称作“位图文件”，文件名为“$Bitmap”。

在位图文件的MFT表中，记录了位图文件的数据存储地址，该数据存储地址的字段记录方式与其他文件是相同的。

在位图文件的数据区内，扇区中的每一个字节的每一个位，表示了在本逻辑驱动器中的每一个簇的使用情况。

如果某一个位为“0”，则表示其对应的簇未用，如果某一个位为“1”，则表示其对应的簇已经分配使用。

如果将位图文件数据区内的某些原来为“0”的位，使用有关的工具程序修改为“1”，再在这些位所对应的簇中，写入需要隐藏的文件数据，就能实现隐藏文件的目的。

使用这种操作方法，能够实现隐藏文件的原理是这样的:系统在将文件数据写入扇区时，首先要寻找位图文件数据区中的“0”位，然后将文件数据写入这些“0”位所对应的簇中。

对于那些为“1”的位，系统则认为它们所对应的簇已经分配使用，就不会再使用它们了。

直到使用这些簇的文件被删除以后，系统将那些“1”位改为“0”位以后，这些对应的簇才会重新被分配使用。

使用这种方法写入扇区的文件数据，在其他的系统文件里没有记录，也不会在系统使用的任何控件或插件中表示出来。

所以除了操作者之外，任何人都不可能发现这种隐藏的文件。

如果操作者本人需要使用隐藏文件时，可以使用读取扇区数据的方法，将文件恢复出来然后使用。

所以这种隐藏文件的方法，适用于那些使用频率不高的文件。

这种隐藏文件方法的优点是:1(文件数据是通过对物理扇区的写入而存储的，所以没有文件名，因此不存在误删除的问题。

2(文件数据隐藏的效果好，其他人很难通过非法手段获得数据。

3(即使对逻辑盘进行了格式化，或是对硬盘重新进行了分区，存储在扇区中的数据仍然能够保存完好。

同时由于当初写入数据时，必然记下了写入的扇区地址，所以恢复文件数据时的操作非常简单、准确和高效。

实验NTFS文件系统的权限设置与管理【目标】熟悉NTFS文件系统的权限及其设置【环境】安装了Windows 2003 Server操作系统的计算机【步骤】任务一：为学生创建一个私有的用户文件夹具体任务：在windows 2003 服务器NTFS磁盘分区上为用户stu01建立一个用户文件夹StuData01，用户文件夹只允许用户本人完全控制，用户tutor读取访问，其它人拒绝访问。

任务二：创建一个学生组公用文件夹具体任务：为学生组Students在windows 2003 服务器的NTFS磁盘分区上建立一个公用文件夹，该文件夹允许students成员读取及运行，tutor完全控制，Administrator只有列出文件夹，创建文件夹，删除子文件夹和文件的权限。

并且此文件夹对Administrator的NTFS 权限设置不传播到子文件夹。

思考：1.从同一磁盘分区的文件夹data，拷贝文件file1.doc到StuPublic，文件夹data的NTFS权限设置为Everyone有完全控制权。

StuPublic中的file1.doc的NTFS权限是什么？2.若上题file1.doc是被移动到StuPublic文件夹中，它的NTFS权限又是什么？3.若上题中是从不同NTFS磁盘分区的文件夹data中拷贝或移动文件file1.doc到StuPublic，StuPublic中的file1.doc的NTFS权限是什么？4.若上题是从一个非NTFS磁盘分区的文件夹data，拷贝文件file1.doc到StuPublic，StuPublic 中的file1.doc的NTFS权限是什么？5.按练习1设置好StuPublic文件夹后，新创建的子文件夹的NTFS属性默认是什么？6.若在设置StuPublic的NTFS权限之前，文件夹中已存在许多子文件夹和文件，并且具有不同的NTFS权限设置。

在重新设置StuPublic文件的NTFS权限后，要使所有的子文件夹和文件都具有与StuPublic文件夹相同的NTFS权限设置，该如何操作？任务三：文件夹共享：1、创建一个文件夹share,共享它。

NTFS是一个比FAT复杂的多的文件系统，我们一起努力来把它完整的解读出来NTFS的引导扇区也是完成引导和定义分区参数，和FAT分区不同，FAT分区的BOOT记录正常，就显示分区没有错误，即使文件不正确，而NTFS分区的BOOT不是分区的充分条件，它要求必须MFT中的系统记录如$MFT等正常该分区才能正常访问。

其BPB参数如下表所示。

字节偏移长度常用值意义0x0B 字 0x0002 每扇区字节数0x0D 字节 0x08 每簇扇区数0x0E 字 0x0000 保留扇区0x10 3字节 0x000000 总为00x13 字 0x0000 NTFS未使用，为00x15 字节 0xF8 介质描述0x16 字 0x0000 总为00x18 字 0x3F00 每磁盘扇区数0x1A 字 0xFF00 磁头数0x1C 双字 0x3F000000 隐含扇区0x20 双字 0x00000000 NTFS未使用，为00x28 8字节 0x4AF57F0000000000 扇区总数0x30 8字节 0x0400000000000000 $MFT的逻辑簇号0x38 8字节 0x54FF070000000000 $MFTMirr的逻辑簇号0x40 双字 0xF6000000 每MFT记录簇数0x44 双字 0x01000000 每索引簇数0x48 8字节 0x14A51B74C91B741C 卷标0x50 双字 0x00000000 检验和MFT中的文件记录大小一般是固定的，不管簇的大小是多少，均为1KB。

文件记录在MFT文件记录数组中物理上是连续的，且从0开始编号，所以，NTFS 是预定义文件系统。

MFT仅供系统本身组织、架构文件系统使用，这在NTFS中称为元数据（metadata，是存储在卷上支持文件系统格式管理的数据。

它不能被应用程序访问，只能为系统提供服务）。

其中最基本的前16个记录是操作系统使用的非常重要的元数据文件。

实验4 Windows NTFS文件系统权限实验
一、实验内容：学习应用Windows NTFS 文件系统权限的管理和应用
二、实验要求：对Windows NTFS文件系统有所了解，学会对权限的设置
三、实验步骤：
1. 右键单机“我的电脑”，打开“管理”，在本地用户和组的用户里面创建一个新用户：以自己的名字拼音命名，如张三，命名为zhangshan
2.完成新用户的创建之后我们接着在系统盘除外
．．．．．的盘里按照用户的前六项权限创建（完全控制、修改、读取和运行、列出文件夹目录、读取、写入）六个文件夹，对于这个文件夹分别赋予和文件名相同的权限．
3.下面把新创建的六个文件夹的属性打开，把它们的Users
．．
．．．．．组全部移
．．．．除掉
然后用再在新建的六个文件夹里面放入一个：批处理文件、一个文件夹和一个带内容的文本，当这些都完成之后开始进行下一步的实验.
下面我们对用zhangshan用户对完全控制做实验，那么我们把六个文件夹全部都加入zhangshan 用户里面.
下一步在zhangshan用户下依次对六个文件夹赋予
．．。

．．与它们的文件名字相对应的权限
下面注销administrator 用户切换到zhangshan 用户来检测权限的应用。

4.把以上过程截图并形成实验报告。

NTFS文件系统结构前言：最近由于项目需要，研究了一下NTFS文件系统，NTFS文件系统是windows使用的文件系统，包括NT，2000，xp系列。

无奈万恶资本主义的windows将自家的东西全部藏在阴暗的角落，NTFS理所当然地也不开源，尽管没有源代码，还是有足够丰富的资料将NTFS文件系统曝光在自由的阳光下。

下面通过从NTFS文件系统的根源出发，展示如何通过一层层的解析，最终读取到其中的某个文件。

环境：LINUX Ubuntu16.04，待解析的文件系统：NTFS，追踪其中的文件：C：\WINDOWS\DtcInstall.log(随机找的，仅仅以此为例)说明：本人找了一块完整的NTFS文件系统镜像，它里面是一个完整的Windows XP系统，是从Windows XP虚拟机镜像切下来的（因为虚拟机镜像不止包括完整的文件系统，例如我的这块虚拟机镜像从第0x7E000字节以后才是完整的NTFS文件系统），这些都不重要，重要的是现在你只要有一块完整的NTFS文件系统，当然必须是Window XP系统的，因为我们还有追踪C：\WINDOWS\DtcInstall.log这个文件，所以其实在Windows XP中使用Disk Genius打开你C盘分区就是一块完整的NTFS文件系统，如果以16进制查看应该是这样的：NTFS文件系统的布局：BOOT存放一些文件系统基本信息，如一个扇区512bytes，一簇(cluster)有8个扇区，共4K，比较重要的一项是MFT的偏移簇号。

MFT是NTFS中最重要的部分，它是一个个以“FILE"开始的文件记录数据结构。

struct 文件记录{文件记录头；属性1；属性2；属性3；……}而属性包括属性头和属性体两部分，如下属性的数据结构。

struct 属性{属性头；属性体；}所以，下面的文件记录结构举例请参考文件记录结构、文件记录头结构、属性头结构、不同属性体结构来看！这个数据结构就是文件的全部信息，文件的各种属性都放在这个数据结构中，在NTFS中文件内容也属于文件的属性，所以在NTFS中文件的一切都是属性，比如在这个数据结构中有30H属性记录文件名，10H属性记录文件的一些元信息如创建、访问时间等，而80H属性则是文件的内容，因为一个文件记录数据结构仅仅4K，所以如果文件很大，80H属性存放的不再是文件内容，而是存放文件内容的簇索引号run list.对于run list 解析以后介绍，这里知道它是文件内容的簇偏移索引即可。