admin 主要NTFS文件系统讲座的第一课是使用WINHEX,在数据恢复软件无法处理某些故障(如基本数据分析、意外删除、格式错误、分区错误等)时,这些知识可以提高恢复概率。
由于篇幅有限不太可能一次讲解完毕,后续会不断更新,让我们一起来提高我们的数据恢复水平吧!
NTFS文件系统结构
分析NTFS文件系统的结构
当用户将硬盘的一个分区格式化为NTFS分区时,就建立了一个NTFS文件系统。NTFS文件系统同FAT32文件系统一样,也是用“簇”为存储单位,一个文件总是占用一个或多个簇。
NTFS文件系统使用逻辑簇号(LCN)和虚拟簇号(VCN)对分区进行管理。
逻辑簇号:既对分区内的第一个簇到最后一个簇进行编号,NTFS使用逻辑簇号对簇进行定位。
虚拟簇号:即将文件所占用的簇从开头到尾进行编号的,虚拟簇号不要求在物理上是连续的。
NTFS文件系统一共由16个元文件构成,它们是在分区格式化时写入到硬盘的隐藏文件以$开头,也是NTFS文件系统的系统文件。
NTFS的16个元文件介绍如下
下面就分析一下元文件(只介绍部分常用的元文件)
$Boot元文件
$Boot元文件由分区的第一个扇区(DBR)和后面的15个扇区(NTLDR区域)组成,其中DBR由“跳转指令”、“OEM代号”、“BPB”、“引导程序”和“结束标志”组成,下图是NTFS文件系统完整的DBR。
$MFT元文件
文件记录由两部分构成,一部分是文件记录头,另一部分是属性列表,最后结尾是“FFFFFFFF”,如下是一个完整的文件记录:
在NTFS文件系统中所有与文件相关的数据结构被认为属性,包括文件的内容,它记录了文件的所有属性。每个文件记录中都有多个属性,他们相对独立,有各自的类型和名称。每个属性都由两部分组成,既属性头和属性体。属性头的前四个字节为属性的类型。从文件记录头可以看到第一个属性流的偏移地址00C0000038下图是以10H为例的属性结构
还有很多元文件,这里就不一一介绍了,如果想更深入的了解NTFS文件系统,可以关注我们,我们不定时会出新的教程文章,不懂的可以在评论留言!