NTFS定义与元记录文件含义

csdn · 发表于 2008-5-31 14:27:17

NTFS引导扇区 BIOS 参数表(为提高容错性能, FAT32 和 NTFS 都对引导扇区进行了镜像存储):
X0B  2  0002  每扇区[wiki]字节[/wiki]数
X0D  1  08  每[wiki]簇[/wiki]扇区数
X0E  2  0000  保留扇区
X10  3  000000  全0
X13  2  0000  NTFS不用
X15  1  F8  介质描述符
X16  2  0000  全0
X18  2  3F00  每磁道扇区数
X1A  2  FF00  [wiki]磁头[/wiki]数
X1C  4  3F000000  隐含扇区
X20  4  00000000  NTFS不用
X24  4  80008000  NTFS不用
X28  8  4AF57F0000000000  总扇区数
X30  8  0400000000000000  MFT文件逻辑簇数
X38  8  54FF070000000000  MFTMIRR文件逻辑簇数
X40  4  F6000000  每文件记录段簇移  长  典型数值  描述  数
X44  4  01000000  每个索引块簇数
X48  8  14A51B74C91B741C  卷序列号
X50  4  00000000  检查和
元记录文件`
　　MFT 是一个自引用的数据库。包含定义它本身数据结构的信息被存储在一些称为元数据记录的特殊记录(文件)中。MFT 元记录都以 $ 字符开始命名, 其顺序和结构是固定的。
序号  文件名  功能
0  $MFT  NTFS 分区中的任何对象都是文件, 包括 MFT 本身。$MFT 是 MFT 的文件记录, 其数据部分包含指向 MFT本身的运动和表示其使用情况的位图（BitMap）。引导加载程序（NTLDR)通过读取引导扇区的地址指针找到$MFT 文件记录。
1  $MFTMirr  MFT 开始几个元记录的备份, 存储在磁盘分区中间的位置，实现关键信息的镜像存储。$MFTMirr 也可以通过引导扇区的地址指针来定位，同时其本身就是指向$MFT 镜像文件的一个标准的 MFT 文件记录。
2  $LogFile  MFT 开始几个元记录的备份, 存储在磁盘分区中间的位置，实现关键信息的镜像存储。$MFTMirr 也可以通过引导扇区的地址指针来定位，同时其本身就是指向$MFT 镜像文件的一个标准的 MFT 文件记录。
3  $Volume  包含NTFS 卷的名称、大小和[wiki]格式化[/wiki]该分区的 NTFS的版本号
4  $AttrDef  列出 NTFS 支持的属性和这些属性相关的信息。
5  .(dot)  即文件系统的根目录，同FAT一致，目录通过文件名对文件系统进行索引。根目录是指向自己的元数据记录。这个逻辑在 DISK 程序磁盘树型目录完整分析中将用到。
6  $Bitmap  同FAT 和 $MFT 一样, NTFS 也要进行卷使用/空闲簇的映射管理，同 FAT 的区别为映射按位来进行，相对要紧的多。
7  $Root  包含辅助引导加载程序 NTLDR 的位置信息。NTLDR的位置信息。NTLDR一般存储于引导扇区后的扇区。
8  $Badclus  标志磁盘分区中全部的坏簇，其数据内容就是存储在那些坏簇上的东西。
属性`
NTFS 使用记录头和一系列属性来组成记录。序号  属性名称  属性内容
0X10  $ Standard_Information  常规文件属性，时间等
0X20  $ Attribute_List  当前MFT记录空间无法存储全部属性信息时，其他存储记录的索引
0X30  $ File_Name  文件长，短文件名信息的描述
0X40  $ Object_ID
0X50  $ Security_Descriptor  NTFS 安全对象的描述
0X60  $ Volume_Name
0X70  $ Voluem_Information
0X80  $ Data  属性头部分描述位置和大小，数据部分，支持加密、压缩等
0X90  $ Index_Root  目录内容的索引，相当于全部对象的?File_Name 属性的副本
0XA0  $ Index_Allocation  非常驻的$Index_Root
0XB0  $ BitMap  属性位图

yachengcn · 发表于 2008-5-31 18:59:29

好东西顶起沙发坐坐

lughon · 发表于 2008-5-31 21:35:54

记下，学习，学习（38：

zcx_hqj · 发表于 2008-6-2 10:05:48

好,漂亮,我喜欢!

xiaoys · 发表于 2008-6-3 23:06:34

学习，明天仔细看看，我有个NTFS逻辑盘的MFT好像坏了。R-STUDIO能完整扫除文件目录。数据不丢，就是想怎么重建MFT，把它弄回来。

深圳王超 · 发表于 2008-11-3 23:00:07

楼主努力10年才有这样的才华，大家多多学习

at_123 · 发表于 2009-3-24 15:50:41

提示: 作者被禁止或删除内容自动屏蔽

xulemeng · 发表于 2009-3-29 12:42:22

原帖由 csdn 于 2008-5-31 14:27 发表

 登录/注册后可看大图

1 $MFTMirr MFT 开始几个元记录的备份, 存储在磁盘分区中间的位置，实现关键信息的镜像存储。$MFTMirr 也可以通过引导扇区的地址指针来定位，同时其本身就是指向$MFT 镜像文件的一个标准的 MFT 文件记录。
2 $LogFile MFT 开始几个元记录的备份, 存储在磁盘分区中间的位置，实现关键信息的镜像存储。$MFTMirr 也可以通过引导扇区的地址指针来定位，同时其本身就是指向$MFT 镜像文件的一个标准的 MFT 文件记录。

谢谢楼主！

另外，2的解释好像和1相同了。

wwswwswws · 发表于 2009-4-2 15:29:06

学习了，学习了！

kunanzhang · 发表于 2009-5-18 22:49:00

顶一下,又学习到了实用的,进步一次,谢谢