NTFS文件系统知识

NTFS文件系统mft分析NTFSWENJIANXITONGmftFENXIIT专业教学资源NTFS文件系统DBR分析NTFS文件系统DBR组成：跳转指令、OEM代号、BPB参数、引导程序和结束标语NTFS文件系统DBR分析跳转指令将程序执行流程跳转到引导程序处。注：该指令本身占用2字节，紧接着跳转指令的是一条空指令NOP。OEM代号占用8字节，内容由创建该文件系统的OEM厂商具体安排。BPB记录文件系统的重要信息。NTFS文件系统DBR分析NTFS文件系统DBR分析负责完成系统文件NTLDR装入。注：对于一个没有安装操作系统的分区，这段程序没有用。“55AA”。与MBR、EBR相同。NTFS文件系统mft分析MFT文件结构特点1.每个文件记录占用2个扇区2.前16个文件记录固定被占用3.第17~23记录是系统保留的记录，暂时不用4.由两部分组成，一部分为文件记录头，一部分为属性列表NTFS文件系统mft分析文件记录头各字节信息NTFS文件系统mft分析文件记录中的属性的结构属性头属性体NTFS文件系统mft分析属性头字节含义NTFS文件系统mft分析80H属性分析NTFS文件系统mft分析A0属性分析NTFS文件系统缓存区分析缓存区MFT参考号NTFS文件系统手工遍历手工查找文件“FAT表分析.avi”文件演示定位DBR中BPB信息产看到$MFT起始簇号NTFS文件系统手工遍历跳转到第一个MFT项NTFS文件系统手工遍历“FAT表分析”unicode字符转换为“460041005400688806529067”查找80属性NTFS文件系统手工遍历读取80属性数据流数值可知文件起始簇号为236550，大小为174652928字节。NTFS文件系统手工遍历“FAT表分析”unicode字符转换为“460041005400688806529067”查找80属性NTFS文件系统手工遍历读取80属性数据流数值可知文件起始簇号为5165，大小为174652928字节。谢谢欣赏！XIEXIEXINSHANG!IT专业教学资源