NTFS解析

最新推荐文章于 2024-02-01 16:51:01 发布
转载 最新推荐文章于 2024-02-01 16:51:01 发布 · 1.2k 阅读 · 0
文章标签:

#数据结构 #struct #system #dos #x86 #up

本文详细介绍了从MBR到NTFS文件系统的解析过程,包括分区表结构、NTFS引导扇区的具体字段含义及其如何帮助确定文件系统的关键参数。
据说NTFS是很复杂的文件系统, 想要解析一下, 看了很多资料, 但是也不是官方的. 为了备忘记了一下.第一部分:从MBR到NTFS 基于古老的bios的PC, 硬盘的第一个扇区是MBR. 基于新的EFI的有所不同, 还没有仔细研究. I386结构也就是下x86支持四个基本分区, 在MBR的offset 0x1bE, 0x1cE, 0x1DE, 0x1EE. 每个分区的数据结构如下: struct partition_dos { unsigned char boot_ind; /* 0x80 - active */ unsigned char head; /* starting head */ unsigned char sector; /* starting sector */ unsigned char cyl; /* starting cylinder */ unsigned char sys_ind; /* What partition type */ unsigned char end_head; /* end head */ unsigned char end_sector; /* end sector */ unsigned char end_cyl; /* end cylinder */ uint32_t dwRelativeSector; /* starting sector counting from 0 */ uint32_t dwNumberSectors; /* nr of sectors in partition */ }; 从这个数据结构就可以得到每个分区的起始和结束扇区数. 到了扇区的位置, 就可以得到某个分区的数据. 分区里的数据根据不同的文件系统有不同的组织方式. 一个sector描述了文件系统的属性. 一种文件系统和另一种文件系统的初始区别就在boot sector. 一个分区的boot sector描述了这个分区使用什么样的文件系统. 所有的boot sector都是512字节,有一些字节的定义是类似的, 有些是不同的.对于NTFS的定义如下: struct ntfs_boot_sector { uint8_t ignored[3]; /* 0x00 Boot strap short or near jump */ int8_t system_id[8]; /* 0x03 Name : NTFS */ uint16_t sector_size; /* 0x0B bytes per logical sector */ uint8_t sectors_per_cluster; /* 0x0D sectors/cluster */ uint16_t reserved; /* 0x0E reserved sectors = 0 */ uint8_t fats; /* 0x10 number of FATs = 0 */ uint8_t dir_entries[2]; /* 0x11 root directory entries = 0 */ uint8_t sectors[2]; /* 0x13 number of sectors = 0 */ uint8_t media; /* 0x15 media code (unused) */ uint16_t fat_length; /* 0x16 sectors/FAT = 0 */ uint16_t secs_track; /* 0x18 sectors per track */ uint16_t heads; /* 0x1A number of heads */ uint32_t hidden; /* 0x1C hidden sectors (unused) */ uint32_t total_sect; /* 0x20 number of sectors = 0 */ uint8_t physical_drive; /* 0x24 physical drive number */ uint8_t unused; /* 0x25 */ uint16_t reserved2; /* 0x26 usually 0x80 */ uint64_t sectors_nbr; /* 0x28 total sectors nbr */ uint64_t mft_lcn; /* 0x30 Cluster location of mft data.*/ uint64_t mftmirr_lcn; /* 0x38 Cluster location of copy of mft.*/ int8_t clusters_per_mft_record; /* 0x40 */ uint8_t reserved0[3]; /* zero */ int8_t clusters_per_index_record; /* 0x44 clusters per index block */ uint8_t reserved1[3]; /* zero */ uint64_t volume_serial_number; /* 0x48 Irrelevant (serial number). */ uint32_t checksum; /* 0x50 Boot sector checksum. */ uint8_t bootstrap[426]; /* 0x54 Irrelevant (boot up code). */ uint16_t marker; /* 0x1FE */ } __attribute__ ((__packed__)); 从这些512字节可以得到一些关键的信息. 例如每个sector的字节数, 每个cluster的sector数. 一共多少sector, mft的位置sector. 有了这些信息就可以去解析MFT了. 参考代码: TestDisk----GNU Project Udelete ----Code Project www.ntfs.com http://blog.hexun.com/glaciersl/1548787/viewarticle.html
NTFS文件系统详解(三)之NTFS元文件解析
enjoy5512的博客
03-23 2万+
NTFS中,所有存储在卷上的数据都包含在文件中,包括用来定位和获取文件的数据结构,引导程序和记录这个卷的记录(NTFS元数据)的位图,这体现了NTFS的原则:磁盘上的任何事物都为文件。在文件中存储一切使得文件系统很容易定位和维护数据,而在NTFS中,卷中所有存放的数据均在一个叫做MFT的文件记录数组中,称为主文件表(Master File Table),MFT是由高级格式化产生的。而MFT则由文件
1. ntfs源码分析 ntfs文件系统中mft的b+树
qq_29689973的博客
05-17 1198
一直好奇 ntfs文件系统 的mft 是如何使用 b+树的, 今天开始好好把ntfs使用b+树的流程整理出来, 涉及到的代码为 ntfs-3g ntfsprogs 的代码在个人的下载里面有. 废话不说开始分析. G:_xfile_all_xfile_2020_05\linux_src_chm_2010\ntfs-3g-20070920-BETA.chm 1. MFT的数据结构 ntfscat /dev/sda6 \$MFT mft 属性 typedef enum { AT_UNUSED
NTFS文件系统解析
飞鹤的程序员人生
02-01 4915
MFT表项记录着文件的相关属性,有常驻属性(比较小),有非常驻属性(数据较大,此属性只记录真实数据的索引)。Bitmap和LogFile一般都超过1K,都是记录在MFT的非常驻DATA属性中。MFT表项由MFT_HEADER+多个属性项构成。NTFS文件写操作过程中,最常修改的文件系统内容分别为:MFT、Bitmap、LogFile,其次是DBR区的一些其他元文件如MFTMirror和MFTMirror和MFTMirror和AttrDef等。
NTFS文件系统详解
缘木之鱼
10-10 2万+
  NTFS (New Technology File System),是 Windows NT 环境的文件系统。新技术文件系统是Windows NT家族(如,Windows 2000、Windows XP、Windows Vista、Windows 7和 windows 8.1)等的限制级专用的文件系统(操作系统所在的盘符的文件系统必须格式化为NTFS的文件系统,4096簇环境下)。NTFS取代了老式的FAT文件系统。   NTFS对FAT和HPFS作了若干改进,例如,支持元数据,并且使用了高级数据结构
NTFS - 系统解析
weixin_43763292的博客
03-02 1884
NTFS系统解析概述一,工具二,实现思路1:获取物理硬盘下的GPT分区信息3:数据获取 - 多线程4:usnjournal日志保存 - 多线程5:数据库保存 - 多线程6:ini配置三,遇到的问题 概述 ntfs系统解析是基于Windows下GPT分区的ntfs系统完成的。类似于everyThing快速搜索的程序。相比较everyThing此程序有非常的不足。在算法和内存上还有很大的空间优化。这里所有文件信息获取实现是直接解析ntfs下的结构信息获取得到的。并没有用到Windows的API。在实现上需要了解
深度解析NTFS文件系统
weixin_34061482的博客
11-27 589
深度解析NTFS文件系统更新时间: 2006-08-02 14:04:33 作者: techrepublic.com.com关键词: NTFS Windows 微软 微软Windows操作系统中,有两种文件系统:FAT文件系统和NTFS文件系统。在本文中,我会详细介绍微软的NTFS文件系统。 NTFS稳定性和安全性微软做的很多事情都让他们受尽责备。但是它做的一件非...
NTFS解析工程C++代码
02-01
为了实现NTFS解析,你可能需要对C++的内存管理和指针操作有深入了解,因为NTFS数据结构通常是复杂且嵌套的。同时,考虑到NTFS的安全特性,你需要小心处理权限和安全标识符。 此外,解析NTFS可能涉及的库和工具包括...
文件恢复(NTFS解析
08-02
本文将深入探讨“文件恢复(NTFS解析)”这一主题,包括NTFS文件系统的结构、文件删除原理以及如何利用特定工具进行文件恢复。 NTFS(New Technology File System)是Windows操作系统中的默认文件系统,以其高效、...
WinHex v21.0 Pro x86数据恢复文件系统NTFS解析
最新发布
10-01
WinHex v21.0 Pro x86NTFS文件系统下进行数据恢复时,主要基于对NTFS文件系统的核心结构进行解析。 ### MFT(主文件表)解析 NTFS的核心是MFT,每个文件和文件夹在MFT中都有一个对应的记录。WinHex会读取MFT记录...
ntfs.zip_ntfs_解析NTFS
09-23
这个“ntfs.zip”压缩包包含的资源显然是一份关于NTFS文件系统的深入解析,对于理解和操作这个核心的文件系统组件具有极大的价值。 NTFS的核心特性包括但不限于以下几点: 1. **日志文件系统**:NTFS采用事务日志...
NTFS.rar_ntfs_ntfs.rar_解析NTFS
09-23
在提供的文档“NTFS文件解析系统的简单分析.doc”中,可能会详细讲解NTFS的结构、如何读取和写入文件、如何管理MFT、以及如何实现权限控制和加密等功能。而“www.pudn.com.txt”可能包含更多参考资料链接或者对NTFS...
解析NTFS底层结构
07-15
解析NTFS底层结构 一、NTFS系统结构 NTFS是Windows NT引入的新型文件系统,如果您是一位熟悉FAT磁盘格式的专业人士,您可能会觉得NTFS系统的思想蹩脚而晦涩,如果您对FAT格式一无所知,那么恭喜您,您会更快的了解这种更有效率的磁盘格式。 NTFS的结构复杂,内容繁多,笔者仅对NTFS卷上的底层结构做分析,并提供卷上数据删除的特征状态供大家参考。 现在,我们首先来建立了解NTFS需要的基本概念。 1.0基本结构及基本概念 在NTFS中,文件以簇的形式分配。最小的单位为扇区,N个扇区为一簇。其中,N的值可以通过BPB(引导扇区)读出(以下会详细介绍)。 1.0.1卷与簇 卷大小(分区大小) 每簇的扇区 缺省的簇大小 小于等于512MB 1 512字节 513MB~1024MB(1GB) 2 1024字节(1KB) 1025MB~2048MB(2GB) 4 2048字节(2KB) 大于等于2049MB 8 4KB 表1 卷与簇的关系 从上面可以看出,也就是说不管驱动器多大NTFS簇的大小不会超过4KB。 1.0.2 NTFS的基本数据结构 NTFS的数据大体上可分为4个部分 (1) Partition boot sector(引导扇区,又称BPB),此部分为所有磁盘格式都共有,占用一个扇区,但是具体的内容当然各不相同(见表3)。 (2) Master File Table(主文件列表,MFT),它是对卷上所有文件的记录,每一个文件对应一个记录项,理论上占用该卷12%的空间。 (3) System files(系统文件),NTFS系统一共有16个系统文件,和8个保留文件。 (4) File area(数据区),留给用户的空间。 Partition boot sector 引导扇区 Master File Table 主文件列表 System files 系统文件 File area 用户文件区(数据区) 表2 NTFS的磁盘分配情况
NTFS-3G内部结构(具体文档分析)
03-26
NTFS-3G 是一个开源的软件,可以实现 Linux、Free BSD、Mac OSX、NetBSD 和 Haiku 等操作系统中的 NTFS 读写支持。它可以安全且快速地读写 Windows 系统的 NTFS 分区,而不用担心数据丢失。 本文档详细描述了源代码的结构,值得收藏!
硬盘内部硬件结构和工作原理详解
热门推荐
txer的专栏
07-22 6万+
一般硬盘正面贴有产品标签,主要包括厂家信息和产品信息,如商标、型号、序列号、生产日期、容量、参数和主从设置方法等。这些信息是正确使用硬盘的基本依据,下面将逐步介绍它们的含义。硬盘主要由盘体、控制电路板和接口部件等组成,如图1-1所示。盘体是一个密封的腔体。硬盘的内部结构通常是指盘体的内部结构;控制电路板上主要有硬盘BIOS、硬盘缓存(即CACHE)和主控制芯片等单元,如图1-2所示;硬盘接
NTFS:让你的硬盘更安全、更高效!」NTFS文件系统详解,
m0_59598029的博客
01-25 5086
本文详细介绍了NTFS文件系统的结构、Boot文件、Boot文件、Boot文件、MFT元文件、文件记录、属性的属性头和属性体分析接下来我将给各位同学划分一张学习计划表!
NTFS详解
2301_76767077的博客
04-12 4189
NTFS是Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式,提供长文件名、数据保护和恢复,能通过目录和文件许可实现安全性,并支持跨越分区。
NTFS 磁盘数据结构
qq_37959246的博客
10-24 636
10H类型属性 MFT头信息 ntfs引导扇区分析 属性头: 常驻、无属性名的属性头信息 常驻、有属性名的属性头信息 非常驻、无属性名的属性头信息 非常驻、有属性名的属性头信息
2. ntfs 文件系统源码分析之工具系列整理
qq_29689973的博客
05-17 1140
整理一下linux下的 ntfs 工具系列, 我们最终的目的是 通过linux 下拼装成一个可以启动的windows7 的可以 启动的镜像 ntfscat ntfs打印文件 # 打印 boot.ini ntfscat /dev/hda1 boot.ini # 打印 hosts ntfscat /dev/hda1 /winnt/system32/drivers/etc/hosts # 显示 inode 为5 的内容 ntfscat /dev/hda1 -a INDEX_ROOT -i 5 | h
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值