NTFS的文件记录file record:
46 49 4C 45 下面的30是属性文件名. 80属性内容是数据区
偏移 |
长度(字节) |
含义 |
00-03H |
4 |
FILE,文件记录的标志 |
04-05H |
2 |
更新的序列号的偏移 |
06-07H |
2 |
更新序列号的大小与数组 |
08-0FH |
8 |
日志文 件的序列号 |
10-11H |
2 |
序列号 |
12-13H |
2 |
连接数,有多少个目录指向该文件 |
14-15H |
2 |
第一个属性的起始位置
2003、xp为38 2000及NT,为30 |
16-17H |
2 |
标志(flags)00,表示文件已经删除,01表示正在使用,02表示这个文件记录为文件夹 |
18-1BH |
4 |
记录头和属性的总长度,也就是文件记录的总长度 |
1C-1FH |
4 |
分配给记录的长度 |
20-27H |
8 |
基本文件记录的文件索引号 |
28-29H |
2 |
下一个属性的ID |
2A-2B |
2 |
边界 |
2C-2F |
4 |
MFT 记录编号(起始编辑为0)Windows XP中使用 |
2A-2B |
2 |
2A-2B 是2000 为边界 30-31 在XP 2003下是边界 |
* 2C-2F |
4 |
文件记录编号 |
30-37 |
8 |
更新序列号数组 |
38-3FF |
456 |
属性和修下正值 |
注解:2C-2FH 4 (校验块大小) (校验方向) (2000NT没有记录号)
OD 是簇大小
例: 找$MFT 30-37偏移85659 小于512MB 都是占用一个扇区
如果是38往下数3行半
30-37起始簇地址×OD=$MFT地址
NTFS从DBR开始是以簇为单位的
标准信息 文件名 数据
40-45为dataru 区
例:32 44 2B 00 00 0C
(44 2B)长度 00 00 0C(代表开始位置簇)
MFT大小;从38-3F
|