数据恢复技术90H属性结构

2
索引标志，为1表示这个索引项包含子节点，为2表示这是结 束项，3表示包含子节点且为结束项 填充0，无意义
30H属性内容（参30H属性），以及填充的0 子节点缓冲区所在的VCN（有子节点时才存在）
0EH
10H 10H+N
2
N 8
教学方法与学做合一相适应 ◆ 教学评价与职业要求相适应
教学目标与行业要求相适应
◆
教学内容与就业创业相适应
结合图4-22做简要分析： 00H～07H（该文件参考号）：2C6H。 08H～09H（本索引项大小）：70H个字节。 0AH～0BH（索引内容所占字节数）：58H个字节。 0CH～0DH（索引标志）：1，此索引项包含子节点。 10H～68H（30H属性内容）：参考30H属性结构。 69～6FH（子节点缓冲区的VCN）：0，表示第一个缓冲区。 第一个索引项后面紧跟着是一个结束项，结束项没有MFT编号， 因为它不映射任何文件，在此占18H个字节。索引标志为3，代 表包含子节点，且是结束项。结束项当然也没有30H，所以后面 跟着子节点的VCN，值为1，表示第二个子节点缓冲区。
教学方法与学做合一相适应 ◆ 教学评价与职业要求相适应
教学目标与行业要求相适应
◆
教学内容Biblioteka Baidu就业创业相适应
如果目录中的文件数比较少，则索引项可以全部存储在索引根属 性中，如果目录较大，在90H属性中装不下时，则还会出现A0H索引分 配属性和B0H位图属性，如图所示。
目录的MFT记录项
教学方法与学做合一相适应 ◆ 教学评价与职业要求相适应
教学目标与行业要求相适应
◆
教学内容与就业创业相适应
二、B+树结构
图中暗色区域部分为90H属性，属性头这里 就不做分析了，只是多了一个属性名“$I30” 。索引根基本没什么意义，只起个标注作用。 索引头中给出了关于索引项的信息，索引根和 索引头各占10H字节空间，如表所示。
四
教学方法与学做合一相适应 ◆ 教学评价与职业要求相适应
教学方法与学做合一相适应 ◆ 教学评价与职业要求相适应
教学目标与行业要求相适应
◆
教学内容与就业创业相适应
任务总结
本次课主要给学习了:90H属性结构
教学方法与学做合一相适应 ◆ 教学评价与职业要求相适应
教学方法与学做合一相适应 ◆ 教学评价与职业要求相适应
教学目标与行业要求相适应
◆
教学内容与就业创业相适应
结合图4-22观察，分析一下索引头信息 ：其中第一个索引项的偏移是10H，是以此 处计算的偏移地址；索引项和索引头的总大 小有98H个字节；总分配大小也是98H个字节 ；标志位为1，说明是大索引，含有索引分 配。 接下来是目录索引项，索引项按文件名 依次排列，每个索引项都标出了文件的的 MFT编号，和30H属性，最后跟上一个结束项 ，如表4-14所示。
教学方法与学做合一相适应 ◆ 教学评价与职业要求相适应
教学目标与行业要求相适应
◆
教学内容与就业创业相适应
表4-14 目录索引项结构 偏移 00H 08H 0AH 大小 8 2 2 该文件的MFT参考号 本索引项的大小 索引内容（后面30H属性内容）所占字节数，如为0，则表示 此项为结束项 描述
0CH
90H属性结构
教学目标与行业要求相适应
◆
教学内容与就业创业相适应
一、属性
90H属性是索引根（$INDEX_ROOT）属性， 该属性是实现NTFS的B+树索引的根节点，主要 用于表示文件目录、安全描述等，它是有属性 名的常驻属性。90H属性依次由属性头、索引根 、索引头、以及若干索引项组成，索引项中主 要给出了该文件的MFT编号和30H文件名属性的 内容。 四
教学目标与行业要求相适应
◆
教学内容与就业创业相适应
表 索引根和索引头结构
偏移
00H 索 引 根 04H 08H 0CH 0DH 偏移 00H 04H 08H 0CH 0DH
大小
4B 4B 4B 1B 3B 大小 4B 4B 4B 1B 3B
索 引 头
描述 属性类型（在目录索引中为30H，也就是文 件名属性） 校对规则 索引项（索引缓冲区）分配大小字节数 （通常为4KB） 每索引缓冲区分配的簇数（通常为1） 无意义，填充至8字节 描述 第一个索引项的偏移（通常为10H） 索引项的总大小（含索引头） 索引项的总分配字节大小 标志。为0时，表示小索引（适用于索引 根）， 为1时，表示大索引（适用于索引分配） 无意义，填充至8字节