NTFS文件系统文件寻址实操记录

已于 2024-05-25 15:10:38 修改
阅读量1.3k 收藏 34
点赞数 34
分类专栏: something else ctf 文章标签: 数据库 缓存 NTFS 文件寻址 文件恢复 硬件架构
于 2024-05-25 15:10:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43907802/article/details/139195889
版权

前言

最近在学NTFS,发现网上的博客千篇一律,讲的不够通透,于是决定自己写一篇。

本文章通过寻找文件地址这个任务,讲述了NTFS文件系统$Boot文件、$MFT文件的结构,对$MFT文件中的A0、80属性进行了重点分析。

本文对于NTFS的具体每种属性的字段含义不会详细阐述,因此可以预先了解相关知识,或者在看到文中提到这些知识时使用搜索引擎详细查证一下。

个人认为讲的比较好的博客和资源:

  • https://www.cnblogs.com/lsh123/p/15789479.html
  • https://blog.youkuaiyun.com/enjoy5512/article/details/50935972
  • https://www.ntfs.com/ntfs-partition-boot-sector.htm
  • https://github.com/BigGan/Windows-Hack-Programming/issues/3
  • https://www.intohard.com/thread-61790-1-1.html

任务背景

在一块NTFS硬盘中存在如下文件:
在这里插入图片描述
其中demo文件夹中有如下文件:
在这里插入图片描述
目标是,通过解析NTFS底层数据,找到上述所有文件的源数据。

当然,无论是010 editor还是winhex还是各类工具,其实都能够很快的通过程序找到上述文件,但是为了探究系统文件寻址的底层流程,我们认为有必要在不使用解析程序的条件下走一遍这样的流程。

实验过程

使用winhex打开硬盘:
在这里插入图片描述
硬盘的前8个字节告诉我们这是一块NTFS的硬盘。

众所周知,NTFS包含了16个元文件和数据区,其结构如下:

最低0.47元/天 解锁文章
毕业设计:NTFS磁盘文件快速定位
05-16 1450
2012-5-27 6:03:53 1、最小化到系统托盘,右键弹出菜单 2、防止重复启动 3、添加排除文件夹 2012-5-20 11:24:06 加了个状态提示 ———————————————————— NTFS磁盘文件(夹)快速定位 只在NTFS、win2k及以后的windows版本适用 输入要查找的文件名中的关键字,列出路径,双击可打开文
Linux云计算 |【第一阶段】SERVICES-DAY3
小安的运维专栏
07-19 1487
分离解析介绍、NTP时间服务、基础邮件服务(MX记录)、部署postfix邮件服务器、自定义YUM仓库
WinHex在NTFS文件系统中的文件定位与恢复技巧
最新发布
weixin_28721743的博客
05-08 1051
WinHex是一款功能强大的十六进制编辑器,主要用于IT专业人员在数据恢复、计算机取证以及低级数据处理等方面。它不仅支持各种文件系统,如FAT、NTFS、EXT2/3等,还能够打开硬盘镜像和内存转储文件。对于5年以上的IT从业者而言,WinHex是不可或缺的工具之一,它能够满足数据恢复时对原始数据精确控制的需求。本章节将介绍WinHex的基本功能和界面布局,从而让读者初步了解其在日常工作中如何应用。
C#快速NTFS硬盘文件索引
08-09
C#快速NTFS硬盘文件索引,基于 USN编程,范例很好,非本人原创。。。
NTFS文件系统文件提取
weixin_60418242的博客
12-04 2664
一、寻找根目录 11.1、找到MFT主文件记录表 1(1)首先找到NTFS文件系统的DBR: 1(2)此时我们来到了MFT主文件表所在区域: 31.2、找根目录 3二、提取数据(重点) 52.1、提取单个根目录下的文件 52.1.1、小文件提取 5(1)首先我们看看我有什么文件在这个磁盘中: 5(2)从根目录获取所需文件所在扇区 6(3)找到文件所在扇区并提取 62.1.2、大文件提取 82.2、提取文件夹下的文件 10 学会了NTFS文件系统的结构以及知道如何从DBR获取关键字节信息之后我们
[源码和文档分享]编程现根据NTFS文件系统定位文件在磁盘上的偏移地址
qq_38474647的博客
12-30 189
背景 之前在上一篇博文中 “NTFS文件系统介绍及文件定位” 介绍过 NTFS 的基础概念和常用格式介绍,同时还详细给出了使用 NTFS 定位磁盘文件的例子。现在,这篇文章讲解的就是,编程NTFS 文件定位。也就是把之前手动定位全部改成编程现,输入一个文件路径,就可以得到文件的大小和数据在磁盘上的偏移地址。 现在,就把现的过程整理成文...
NTFS文件解析系统的简单分析,手工定位文件
08-22
在学习前人的基础上 加上自己的习笔记 图文并茂...呵呵
揭秘Linux文件系统:SD卡分区与格式化的7个最佳
本文系统性地介绍了Linux文件系统、SD卡分区和格式化的基础知识、深入解析以及作步骤。文章首先概述了Linux文件系统的概念,然后详细阐述了SD卡分区的基本原理、分区工具的选择与使用,以及分区过程中的注意...
【自定义分区】:突破MISC分区大小限制,解锁系统潜能
本文系统地探讨了MISC分区在不同作系统和系统架构中的作用、结构和限制。通过对MISC分区基础知识的介绍和大小限制的成因分析,本文揭示了分区限制对系统性能的影响,并强调了突破这些限制的必要性。文章进一步探讨...
又双叒叕来更新啦!Hadoop——HDFS篇
5akura's Blog
07-09 1104
文章目录HDFS(存储)概述HDFS的Shell作常用命令HDFS客户端作环境准备HDFS的API作HDFS的I/O流作HDFS数据流写数据的过程网络拓扑——节点距离计算机架感知读数据的过程NN和2NN工作机制Edits和FSimageCheckPoint触发条件设置设置NN故障处理集群安全模式安全模式相关常用命令NameNode多目录配置DataNodeDataNode工作机制数据的完整性DataNode掉线时限参数配置服役新数据节点退役旧数据节点添加白名单黑名单退役DataNode多目录配置
NTFS文件系统下用C++定位文件簇号和目录项
03-26
给定一个文件,输出该文件的目录项和文件所占的所有簇号,目前调试通过卷标为F:的U盘下任意文件的搜索,可能存在一些问题,仅供参考。 代码参考:https://www.debugrun.com/a/zAfLt9k.html
NTFS中手工定位目录和文件
02-27
NTFS中手工定位目录和文件并提取,例恢复。。。
NTFS硬盘必备的超快文件名搜索软件Everything
03-28
Everything是速度最快的文件名搜索软件。其速度之快令人震惊,百G硬盘几十万个文件,可以在几秒钟之内完成索引;文件名搜索瞬间呈现结果。它小巧免费,支持中文,支持正则表达式,可以通过HTTP或FTP分享搜索结果。如果不满意Windows自带的搜索工具、Total Commander的搜索、Google 桌面搜索或百度硬盘搜索,如果正在使用或放弃了Locate32,都值得推荐这款体积小巧、免安装、免费、速度极快(比Locate32更快)的文件搜索工具Everything!
极速创建硬盘文件索引 NTFS MTF
12-06
使用C#读取NTFS硬盘中的MTF文件信息,以便极速创建全盘文件索引,非常有技术含量的代码。
NTFS文件系统结构--从零开始追踪一个文件的位置
热门推荐
刘洋_heaven的博客
04-14 2万+
前言:最近由于项目需要,研究了一下NTFS文件系统NTFS文件系统是windows使用的文件系统,包括NT,2000,xp系列。无奈万恶资本主义的windows将自家的东西全部藏在阴暗的角落,NTFS理所当然地也不开源,尽管没有源代码,还是有足够丰富的资料将NTFS文件系统曝光在自由的阳光下。下面通过从NTFS文件系统的根源出发,展示如何通过一层层的解析,最终读取到其中的某个文件。 环境:LI
NTFS(微软专用文件系统
weixin_40191861的博客
06-13 3546
(英語:),是公司开发的,从开始成为家族的默认文件系统。可选数据流NTFS取代(文件分配表)和(高性能文件系统)并进行一系列改进成为更加完善的安全系统,例如增强对的支持,使用更高级的数据结构以提升性能、可靠性和磁盘空间利用率,并附带一系列增强功能,如(ACL)和文件系统日志。其他台式机和服务器作系统也支持NTFS。和提供代码的软件NTFS-system,可用于读写NTFS文件。内核不能对NTFS进行读作。
分析NTFS系统,得到特定文件内容
enjoy5512的博客
03-20 2133
手动在硬盘上找到特定文件的内容
硬盘文件系统系列专题之二 NTFS
存储随笔
09-10 9247
一、NTFS概述NTFS (New Technology File System),是 WindowsNT 环境的文件系统。新技术文件系统是Windows NT家族(如常见的Windows XP、Win7 、Win8、Win10)等的限制级专用的文件系统作系统所在的盘符的文件系统必须格式化为NTFS文件系统,4096簇环境下)。NTFS取代了老式的FAT文件系统NTFS可以支持的分区(如果采用动态磁盘则称为卷)大小可以达到2TB。
NTFS文件系统建立过程的深入剖析
文件表是NTFS文件系统的核心,其中记录文件系统内所有文件和目录的详细信息。 3.文件建立过程: 在NTFS文件系统中,创建新文件涉及多个步骤,主要包括文件分配、文件系统元数据更新和日志记录。当创建一个新...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

AndrewMe8211

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值