NTFS文件系统

第3章NTFS文件系统第3章NTFS文件系统3.1NTFS基础知识3.2NTFS和FAT比较3.3NTFS下的数据恢复思考题第3章NTFS文件系统WindowsNT文件系统(即NTFS)提供了FAT文件系统所没有的性能、可靠性和兼容性。NTFS设计上能够快速实现标准的文件操作，例如读写和查询，它甚至实现了在超大容量硬盘上的文件系统恢复操作。用NTFS文件系统格式化一个卷(分区)后，就生成几个系统文件和主文件表(MasterFileTable，MFT)，MFT包含了NTFS卷上所有文件和文件夹的信息。NTFS卷开头包含的信息是分区引导记录，始于0扇，最大长度为16个扇区。NTFS卷的第一个文件是MFT。格式化后，NTFS卷的布局如图3-1所示。第3章NTFS文件系统图3-1已格式化的NTFS卷第3章NTFS文件系统3.1NTFS基础知识NTFS文件系统包含了公司环境中的文件服务器和高端个人计算机所要求的安全特性。NTFS文件系统同样支持数据访问控制和对关键性数据很重要的所有者权限。不仅一个WindowsNT机器上共享的文件夹可以赋予特定的许可，NTFS卷的文件和文件夹也可以赋予各种许可，而不论它们是否是共享的。NTFS是WindowsNT上唯一可以对单个文件赋予权限的文件系统。第3章NTFS文件系统NTFS文件系统有一个简单而又强大的设计思想。简言之，卷上的所有东西都是一个文件，所有东西都是文件的一个属性，有数据属性、安全属性、文件名属性等。NTFS卷上分配的每个扇区属于某个文件，甚至文件系统元数据(即描述文件系统自身的信息)也是一个文件的部分。第3章NTFS文件系统1．加密技术加密文件系统(EFS)提供了核心的用于在NTFS卷上保存加密文件的文件加密技术。EFS保证了文件的安全，使之免受入侵者对已保存的敏感数据进行未授权的物理访问(如通过便携式电脑或外部磁盘窃取信息)。2．磁盘配额Windows2000中对NTFS卷支持磁盘配额，用户可以通过磁盘配额监视和限制磁盘空间的使用。第3章NTFS文件系统3．重解析点重解析点(ReparsePoints)是NTFS中新的用于文件或文件夹的文件系统对象。一个包含重解析点的文件或文件夹拥有此前的文件系统所没有的附加行为。重解析点用于Windows2000中新的存储特性的很多方面，包括卷挂载点。4．卷挂载点卷挂载点(VolumeMountPoints)是NTFS的新特点。基于重解析点，卷挂载点允许管理员将对一个本地卷的根的访问移植成对另一个本地卷的某个文件夹的访问。第3章NTFS文件系统5．稀疏文件稀疏文件(SparseFiles)允许程序生成很大的文件，但在必要的时候会消耗磁盘空间。6．分布式链接跟踪NTFS提供了一项链接跟踪(link-tracking)服务，即分布式链接跟踪(DistributedLinkTracking)，用于维护文件快捷方式的完整性，类似于复合文档中的OLE链接。第3章NTFS文件系统3.1.1NTFS的DBR表3-1描述了格式化成NTFS卷的引导扇区。当格式化一个NTFS卷时，格式化程序分配开始的16个扇区给引导扇区和自举代码。第3章NTFS文件系统表3-1NTFS的引导扇区字节偏移字段长度字段名0x003字节Jump指令0x038字节OEMID0x0B25字节BPB0x2448字节扩展的BPB0x54426字节自举代码0x01FE字引导扇区结束标记第3章NTFS文件系统在NTFS卷上，BPB后面的数据字段构成扩展BPB。启动过程中，这些字段中的数据可以使NTLDR(NTloader程序)找到主文件表(MFT)。在NTFS卷上，MFT不会放在特定的预定义扇区上(和FAT16或FAT32不一样)，因此，如果MFT通常的位置有坏扇区，它可以移动。但是，如果数据遭到破坏，MFT无法定位，则WindowsNT/2000就认为该卷未格式化。第3章NTFS文件系统例如，演示运行Windows2000时一个NTFS卷格式化后的引导扇区。打印输出分为三节：字节0x00～0x0A是jump指令和OEMID(粗体显示)；字节0x0B～0x53是BPB和扩展BPB；剩余的代码是自举代码和扇区结束标记(粗体显示)。物理扇区为：0柱1面1扇第3章NTFS文件系统00000000:00000010:00000020:00000030:00000040:00000050:00000060:00000070:00000080:00000090:000000A0:000000B0:000000C0:000000D0:000000E0:000000F0:00000100:EB52904E54465320-20202000020800000000000000F80000-3F00FF003F0000000000000080008000-4AF57F00000000000400000000000000-54FF070000000000F600000001000000-14A51B74C91B741C00000000FA33C08E-D0BC007CFBB8C0078ED8E81600B8000D-8EC033DBC6060E0010E8530068000D68-6A02CB8A162400B408CD137305B9FFFF-8AF1660FB6C640660FB6D180E23FF7E2-86CDC0ED0641660FB7C966F7E166A320-00C3B441BBAA558A162400CD13720F81-FB55AA7509F6C1017404FE061400C366-601E0666A110006603061C00663B0620-000F823A001E666A0066500653666810-000100803E1400000F850C00E8B3FF80-3E1400000F846100B4428A162400161F-8BF4CD1366585B07.R.NTFS................?...?...........J...............T..................t..t......3.....|..............3.......S.h..hj....$.....s......f...@f.....?.......Af...f..f....A..U..$...r...U.u....t......f`..f...f....f;....:..fj.fP.Sfh.....................a..B..$......fX[..第3章NTFS文件系统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fXfX.-f3.f......f......f..f....6......$.......................f..........o...fa......................t.............Adiskreaderroroccurred...NTLDRismissing...NTLDRiscompressed...PressCtrl+Alt+Deltorestart......................U.第3章NTFS文件系统表3-2描述了该例中NTFS卷上BPB和扩展BPB的字段。字段和它们在FAT16、FAT32卷上一样，开始于0x0B,0x0D,0x15,0x18,0x1A和0x1C。示例值对应该例中的数据。由于一般的系统常依赖引导扇区来访问一个卷，因此应经常性地运行Chkdsk这样的磁盘扫描工具，以保护引导扇区，就如同无法访问一个卷就备份所有的数据文件以免数据丢失一样。第3章NTFS文件系统表3-2NTFS卷上的BPB字节偏移字段长度示例值字段名0x0BWORD0x0002每扇区字节数0x0DBYTE0x08每簇扇区数0x0EWORD0x0000保留扇区0x103BYTE0x000000总是00x13WORD0x0000NTFS未使用0x15BYTE0xF8介质描述0x16WORD0x0000总是00x18WORD0x3F00每磁道扇区数0x1AWORD0xFF00磁头数0x1CDWORD0x3F000000隐含扇区第3章NTFS文件系统字节偏移字段长度示例值字段名0x20DWORD0x00000000NTFS未使用0x24DWORD0x80008000NTFS未使用0x28LONGLONG0x4AF57F0000000000扇区总数0x30LONGLONG0x0400000000000000$MFT的起始逻辑簇号0x38LONGLONG0x54FF070000000000$MFTMirr的起始逻辑簇号0x40DWORD0xF6000000每个文件记录段的簇数0x44DWORD0x01000000每个索引块的簇数0x48LONGLONG0x14A51B74C91B741C卷序列号0x50DWORD0x00000000校验和第3章NTFS文件系统3.1.2NTFS主文件表NTFS卷上的每个文件表达成一个称为主文件表(MasterFileTable，MFT)的特殊文件的一个记录。NTFS保留了开头的16个记录用于保存特殊的信息。MFT中的第一个记录是MFT的自我描述，紧跟其后的第二个记录是MFT镜像文件。如果第一个MFT记录被破坏了，则NTFS就读出第二个记录找到MFT镜像文件，镜像文件的第一个记录和MFT的第一个记录完全相同。MFT和MFT镜像文件的位置记录在引导扇区中，引导扇区的一个副本放在逻辑磁盘的中间或末尾。第3章NTFS文件系统MFT的第三个记录是日志文件，用于文件恢复。MFT第17个及之后的记录用于卷上的每个文件和目录(NTFS视目录也为文件)。图3-2是MFT结构的简单演示。第3章NTFS文件系统图3-2MFT的结构第3章NTFS文件系统主文件表给每个文件记录都分配一定的空间，文件的属性写入MFT中已分配的空间。像图3-3中那样的小文件或小目录(典型的是1500字节或更少)，可以整个地包含在主文件表的记录里。该设计使得文件的访问速度非常快。目录记录在主文件表中的存放和文件记录几乎一样。目录包含着索引信息而非数据。小的目录记录整个驻留在MFT结构中；大的目录记录则组织成B+树，树中有些指向外部簇的指针记录，用于保存无法容纳在MFT结构中的目录入口。第3章NTFS文件系统图3-3小文件或小目录的MFT记录第3章NTFS文件系统3.1.3NTFS文件类型1．NTFS文件属