玩玩ntfs之新建文件

最新推荐文章于 2023-11-05 19:01:11 发布
原创 最新推荐文章于 2023-11-05 19:01:11 发布
· 4.3k 阅读 · 0 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#磁盘 #cmd #工具

作 者: ProgmBoy

by:ProgrammeBoy http://hi.baidu.com/programmeboy
环境:首先新建一个512M的文件.然后用filedisk使用这个文件创建一个volume。然后格式化为ntfs格式。我是按每簇512字节格式化的。
目标:在根目录下添加一个名为777.txt的空文件
工具:filedisk、 Runtime's DiskExplorer for NTFS、winhex
1,先找到$mft,保存重要数据
(根据bootsector中数据找)例如我的bootsector如下图所示
 名称: 1.JPG 查看次数: 240 文件大小: 120.4 KB
这里我们用到的有偏移为B、D、30处这里说明下,显示结果都是10进制的,我们计算下$mft的偏移就是(349525)d *( 512)d* 1= (178956800)d 化成16进制就是(AAAAA00)x。注意这里(数字)d是指10进制的数
而(数字)x是指16进制的数.下同
我们来到这个地方
如下图:
 名称: 2.JPG 查看次数: 241 文件大小: 90.4 KB
2,找到并设置$mft的bitmap
先根据$mft中的bitmap属性(B0)找到run再根据run找到其数据区。
 名称: 3.JPG 查看次数: 240 文件大小: 101.5 KB
选中的那个就是B0属性。这里我们用到的就是紫色那个run,根据run我们知道其数据在55554簇处,即偏移(55554)x*(512)d(我的这个盘一个簇就一个扇区) = (AAAA800)x
我们来到这里:
 名称: 4.JPG 查看次数: 240 文件大小: 66.9 KB
看紫色部分。$mft中的bitmap属性数据中的每一位代表这个mft号的使用情况。比如上面第一二字节16位分别代表$MFT、$MftMirr、$LogFile、$volume、…..$Extend下面的一字节就是系统预留的8个mft号
.再接下来就是0F,化成2进制是00001111,这里得说明一下在bitmap中高位代表低的mft号。
例如:

字节序:            1F
二进制:             0 0 0 1   1 1 1 1 
所代表的mft序号:        8 7 6 5   4 3 2 1  (也就是说第12345正在使用78为空闲)
我们就可以找到空闲位写入我们的MFT了就向上图紫色所示第17位为空闲的,但是这是系统预留的我们不能用。接着往下找29位为空闲。那么我们就可以在第29个MFT中写入我们的MFT。我们设置第29位后bitmap数据由FF FF 00 0F 变成了 FF FF FF 1F
3, 创建新的MFT,写入磁盘
我们来到第29号mft处就是: (AAAA800)x (第一个mft的偏移) + (29 – 1) *(1024)d (每个FILERECORD的大小) = (AAB1A00)x
接下来我们就来手动填充这个MFT,这里我添加了3个最基本的属性, 10, 30, 80。
 名称: 5.JPG 查看次数: 242 文件大小: 186.9 KB
这样不好看,这样
 名称: 6.JPG 查看次数: 243 文件大小: 234.5 KB
额,比直接看数据好多了。。。。。
上面那几个带颜色的时必须填对的…还有那个USA你得在这个MFT的每个扇区的末尾都得设置.例如我这里的是01 00 (看上面偏移AAB1A30处),那么我们就得在这个MFT的两个扇区的末尾都设置成这个.如图:
第一个扇区
 名称: 7.JPG 查看次数: 240 文件大小: 18.3 KB
第二个扇区:
 名称: 8.JPG 查看次数: 240 文件大小: 10.1 KB
就是这样了…
唉,..我这里得atributeID忘加了…日志记录也没加。不过对于我们的目标来说无所谓
4,添加index_entry
Mft添加完了我们得到再到索引中添加….
我们先到第五个MFT也就是root中找到其A0属性,找到索引根
 名称: 9.JPG 查看次数: 240 文件大小: 108.4 KB
其run就是上图紫色部分.我们来到其数据处
 名称: 10.JPG 查看次数: 240 文件大小: 64.1 KB
上面紫色是index_entry的总长度,我们在添加index_entry后也要修改这个值。
我添加的index_entry如下图所示:
 名称: 11.JPG 查看次数: 236 文件大小: 84.3 KB
注意最后这个表示末尾的这一行必须得有呀…别的按照结构体格式直接加就行了。
5,就是在$Bitmap中设置这个扇区为正在使用(注意这个不是$mft中的那个bitmap属性)
   $mft中的bitmap表示哪个mft号在使用
   $Bitmap是表示整个盘中每个扇区的使用情况
这里我们得算下我们的mft在哪个扇区? (AAAB1A00)x / (512)d = (5558D)x
         再算下是第几个字节 (558D)x / 8 = AAB1
我们去第AAB1字节去设置去,$bitmap的数据区在1000BE00(就是在mft中找到$bitmap的FILERECORD然后再找到run就能找到数据区了)
 名称: 12.JPG 查看次数: 238 文件大小: 142.2 KB
我们的MFT的扇区是(AAB1)x + (1000BE00)x = (100168B1)x
 名称: 13.JPG 查看次数: 237 文件大小: 66.1 KB
已经使用了….
基本就是这样了…
我不会刷新缓存,但是重启很麻烦.。这里就体现出用filedisk的方便之处了.首先卸载磁盘,然后重新创建这个磁盘.缓存就会自动刷新了。新建的文件也就会显示出来了。
 名称: 14.JPG 查看次数: 235 文件大小: 99.3 KB

要想加data的话在其FILERECORD得80中加就行了。。
切记。这个程序只对上面说的环境有效。不可在真实磁盘中做实验呀。。。用filedisk创建个虚拟磁盘玩玩还是可以的。。。

下面是添加文件的程序的源代码和doc文件。。本来想写成cmd形式的了,还没写完。。。

如何在NTFS文件系统中创建文件的Link
张羿的优快云专栏
08-13 4949
大部分朋友可能知道UNIX提供了创建文件的Link的功能,而用过Windows的NTFS文件系统所支持的Link功能的朋友可能就没有那么多了(注意我说的不是Shortcut)。今天正好由于工作原因研究了一下相关内容,整理一下分享出来。本文简单介绍如何在Windows系统中使用NTFS文件系统所提供的功能创建Link。NTFS支持两种Link,Junction Point和Hard Link。J
网络安全之文件上传漏洞(上篇)(技术进阶)
weixin_70911257的博客
04-26 2492
文件上传漏洞就是服务器端脚本没有对上传的文件进行严格的过滤和验证,导致黑客利用这个漏洞上传恶意脚本从而达到控制整个网站甚至是服务器。文件上传绕过方法不是一成不变的,我这里一关列举了一种方法,在熟练运用后会发现原来同一关可以有多个绕过方法,所以灵活运用晓其原理才能更好的玩转文件上传漏洞中篇下个星期一更!!
NTFS文件系统中创建一个文件的基本步骤
03-21
NTFS文件系统中,每一个文件或目录都拥有一个MFT记录,MFT记录中记录了文件或目录的基本信息,对于普通文件来说,一般拥有文件序号,文件名,创建时间,文件大小,文件属性,文件数据地址索引等基本文件信息,而一个目录除了拥有基本文件信息,还拥有其目录下的文件索引项信息,文件与其父目录之间通过该文件的MFT记录中的父目录信息和目录中的索引项来建立隶属关系,这两种信息唯一地确定了文件与父目录之间的对应关系,由此可知,要在一个指定目录下生成一个文件,除了要创建目标文件本身的MFT记录,还需在其父目录的MFT记录或者其索引分配中建立目标文件的索引。在NTFS系统中,文件索引是一个比较复杂的内容,文件的索引采用了树型结构,这给NTFS系统带来了查找文件速度快的优点,但却给当索引结点增加或减少时,如何维护树的平衡带来了难题。在NTFS系统中,小目录的索引直接存放在目录本身MFT记录的90H属性中,而大目录的索引则需另外开辟新的索引分配区来存放相关的索引。原程序中只考虑了小目录的情况,即将文件的索引直接存放在90H属性中,并不考虑大目录的索引情况。除此之外,NTFS系统对于每一个文件操作都会写入日志文件中,以便一致性检查,但由于这方面的内容尚未研究清楚,本程序中也未涉及这方面的内容。
文件玩玩
御风的专栏
01-21 672
#include #include using namespace std; int main(){ ifstream c; ofstream d; char ch[100]; int num_char=0,num_line=0; int i; c.open("a.txt",ios::in); if(!c) { cerr<<"文件不存在"<<endl; exi
没事 创建文件夹,玩玩
weixin_34414196的博客
04-05 135
+ (NSString*)getCacheDirectory { NSArray *paths = NSSearchPathForDirectoriesInDomains(NSCachesDirectory, NSUserDomainMask, YES); NSString *dir = [[paths objectAtIndex:0]stringByAppending...
ntfs文件的删除 c语言,NTFS文件系统中创建一个文件基本步骤(完整).doc
weixin_36164462的博客
05-24 340
问题分析在NTFS文件系统中,每一个文件或目录都拥有一个MFT记录,MFT记录中记录了文件或目录的基本信息,对于普通文件来说,一般拥有文件序号,文件名,创建时间,文件大小,文件属性,文件数据地址索引等基本文件信息,而一个目录除了拥有基本文件信息,还拥有其目录下的文件索引项信息,文件与其父目录之间通过该文件的MFT记录中的父目录信息和目录中的索引项来建立隶属关系,这两种信息唯一地确定了文件与父目录之...
零命令玩转Ubuntu 8.10(Wubi安装图文教程)
02-02
确保选择一个NTFS格式且间充足的分区,例如D盘。建议至少有5GB以上的可用间,因为4GB的安装大小将分配给Ubuntu的系统分区。根据需求,你可以选择更大的分区大小以容纳更多软件。接着设定用户名和密码,其他选项...
第25章 串行FLASH文件系统FatFs—零死角玩转STM32-F429系列
flyleaf91的专栏
08-26 1万+
第25章     串行FLASH文件系统FatFs 全套200集视频教程和1000页PDF教程请到秉火论坛下载:www.firebbs.cn 野火视频教程优酷观看网址:http://i.youku.com/firege     本章参考资料:《00index_e.html》,这是FatFs官方的编译好的HTML文档,里面有FatFs所有函数的介绍和函数的应用示例,学习FatFs看这个
bat批处理文件实现复制、删除、创建文件夹、执行程序、打开文件
12-15
5、有时候我们想XCOPY 变为自动复制,并且复制完成后关闭电脑,可以建立一个批处理文件新建文本文档,更名为XCOPY.BAT 当然扩展名原来是TXT 格式的要更名为BAT 在这个 XCOPY.BAT 中输入 xcopy e:\*.* d: /s /h /c...
NTFS文件系统解析(三)
qq_38933606的博客
11-05 689
正如上图所示,绿色部分代表IndexEntry的头部,紧接着的红色部分和黄色部分就是去除了标准属性头之后的0x30属性,而最后的紫色部分则存储着子节点的VCN号。为了便于管理,NTFS文件系统为所有的属性定义了统一的头部结构,可以称之为属性头。对于NTFS文件系统而言,无论文件内容本身,抑或真实的文件属性,都被称之为属性。索引根节点通常由标准属性头,索引根属性头,索引属性头和索引属性组成。而由于每种属性的长度不一,因此又额外定义了常驻属性和非常驻属性。属性,这种情况下,文件的基本属性与。
Windows下NTFS文件系统创建与结构概览及DBR字节分析(基于Windows)
weixin_60418242的博客
11-28 2074
本文以图的方式简单明了地示例了一个NTFS文件系统的总体结构是如何的,同时以文字总结配合图示的形式总结DBR重点字节的作用
NTFS文件系统详解 之 文件定位
热门推荐
Nero Zhang的博客
09-11 1万+
一如既往的叨叨     首先要对硬盘分区(MBR、GPT)和文件系统(NTFS、FAT32等)有一定的认识,要知道MBR扇区以及DBR扇区的基本结构,如果后面遇到不清楚的地方可以参考上一篇文章https://blog.youkuaiyun.com/hilavergil/article/details/79270379,如果觉得这个文章不行的话,Emmm...还有Google呢。     接下来的代码目前只...
mkfs.ntfs - mkntfs - create an NTFS file system - 创建 NTFS 文件系统
程永强
03-07 3724
mkfs.ntfs - mkntfs - create an NTFS file system - 创建 NTFS 文件系统 Documentation https://docs.oracle.com/en/ Oracle Solaris 11.2 Information Library (简体中文) https://docs.oracle.com/cd/E56344_01/ 手册页部分 1M:系统管理命令 https://docs.oracle.com/cd/E56344_01/html/E54077/i
详解NTFS文件系统
weixin_30666753的博客
03-17 872
一、分析NTFS文件系统的结构 当用户将硬盘的一个分区格式化为NTFS分区时,就建立了一个NTFS文件系统。NTFS文件系统同FAT32文件系统一样,也是用“簇”为存储单位,一个文件总是占用一个或多个簇。 NTFS文件系统使用逻辑簇号(LCN)和虚拟簇号(VCN)对分区进行管理。 逻辑簇号:既对分区内的第一个簇到最后一个簇进行编号,NTFS使用逻辑簇号对簇进行定位。 虚拟簇号:既将文件所占...
mft文件记录属性头包括_4-ntfs属性分析.ppt
weixin_36323601的博客
01-12 1074
《4-ntfs属性分析.ppt》由会员分享,可在线阅读,更多相关《4-ntfs属性分析.ppt(24页珍藏版)》请在微传网上搜索。1、NTFS属性分析,,MFT文件记录结构,主文件表的文件记录由记录头和属性列表组成,大小为1KB或一个簇大小。属性列表长度可变,以“FF FF FF FF”结束。对于1KB长度的MFT记录,属性列表的起始偏移为0x30文件通过MFT来确定存储位置。MFT是一个对应的数...
NTFS中的$MFT详解
vrix的专栏
02-25 1万+
NTFS是Windows NT引入的新型文档系统,他具备许多新特性。本文旨在探索NTFS的底层结构,所叙述的也仅是文档在NTFS卷上的分布。NTFS中,卷中任何存放的数据均在一个叫$MFT的文档中,叫主文档表(Master File Table)。而$MFT则由文档记录(File Record)数组构成。File Record的大小一般是固定的,通常情况下均为1KB,这个概念相当于Linux中的i
数据恢复软件设计与实现(七)
不 ' 二
11-09 3396
6  NTFS文件系统介绍 NTFS文件系统是随着Windows NT操作系统诞生的,名字都有相似之处。NTFS有很多的特点:安全性、可恢复性、文件压缩、磁盘配额、B-树文件管理。这些特点是文件系统具有极高的安全性和稳定性,在使用中不易产生碎片。 微软未公布NTFS细节及实现,只有一些开源文档揭秘,这些资料目前看来是正确的,但其正确性有待验证,所以深入的研究是不得而知的,这对解析NTFS文件
kerberos身份认证怎么玩
最新发布
01-10
为了让应用程序能够顺利运用Kerberos进行认证,通常需要调整其配置文件使之指向正确的KDC路径并且指定适当的Realm信息。比如Java应用可通过JGSS-API完成这一过程;而对于Web服务来说可能还需要额外设置SPN(Service ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值