数据恢复技术NTFS文件属性课件.ppt

1、主控文件表结构主控文件表结构一NTFS文件属性文件属性二属性头结构属性头结构三四基本属性介绍基本属性介绍四字符编码转换字符编码转换五u 重点u 难点u 主控文件表（MFT）在NTFS文件系统中的地位非常重要，它记载了该分区中所有的文件记录信息，甚至还可以包括文件数据。u 在格式化时，系统首先确定了主控文件表的起始位置和大小。主控文件表本身也被当做文件管理，就是$MFT元文件。u 主控文件表由若干个文件记录项组成，每个文件记录项占1024字节，也就是2个扇区。在NTFS分区中，每个文件都有一个编号，元文件占了头16个文件记录项，编号为0到15，16到23是保留项，用户文件从24号开始。其中，第0

2、项便是$MFT。u MFT区域中的每个记录项都分为记录头和属性列表两个部分，记录头里包含了本记录项的总体情况和信息，属性列表里列出了该文件的所有属性。u 不同的文件可以有不同的属性，因此，属性列表的大小是可变的，在所有属性的最后是结束标志FFFFFFFFH。文件记录头10H属性结束标志80H属性B0H属性30H属性偏移偏移长度长度含义含义00H4BMFT标志，一定为字符串“FILE”04H2B更新序列号的偏移，通常为30H06H2B更新序列号的大小与数组08H8B日志文件序列号LSN10H2B序列号，用于记录本文件项被使用的次数12H2B硬链接数，即有多少目录指向该文件，只出现在基本文件记录中

3、14H2B第一个属性的偏移地址16H2B标志，第0位表示是使用/删除，第1位表示目录/文件18H4B记录头和属性的实际使用总长度1CH4B总共分配给文件记录的长度，通常为400H20H8B索引号，基本文件记录总为0，非0则表示为扩展文件记录28H2B下一属性ID2AH2BWindows XP中使用，边界2CH4BMFT记录编号（从0号起始）30H-更新序列号和更新序列数组u 在一个NTFS卷中文件所有的信息，包括文件数据在内，都被认为是文件的属性，而构成该属性的实际数据则被称为“流”。u 不同的文件拥有的属性不一样，有的属性也会在同一记录项中多次出现，比如文件名属性。u 每个属性的头4个字节表

4、示属性类型，接下来的4个字节表示本属性大小，根据这个信息，我们可以遍历文件的属性列表。u MFT中的各属性的大小均以8字节为边界。10属性头属性内容30属性头属性内容30属性头属性内容属性类型属性类型属性名属性名属性描述属性描述10H$STANDARD_INFOMATION标准信息：文件传统属性，时间属性，硬链接等20H$ATTRIBUTE_LIST属性列表：描述扩展文件记录项中属性的信息30H$FILE_NAME文件名：用Unicode字符表示的文件名40H$OBJECT_ID对象ID：具有64字节的标识符，提供API调用访问50H$SECURITY_DESCRIPTOR安全描述符：文件的访

5、问控制，现在移到$Secure中了60H$VOLUME_NAME卷名（卷标识）：仅存在于$Volume元文件中70H$VOLUME_INFOMATION卷信息：仅存在于$Volume元文件中80H$DATA数据：文件的实际数据内容90H$INDEX_ROOT索引根：文件目录的根节点A0H$INDEX_ALLOCATION索引分配：文件目录表的子节点B0H$BITMAP位图：分配空间的使用情况C0H$REPARSE_POINT重解析点，实现卷、目录和应用程序之间的连接D0H$EA_INFOMATION扩充信息属性E0H$EA扩充信息1000H$LOGGED_UTILITY_STREAMEFS加密

6、属性：存储合法用户列表、密钥等u 每个属性又分为属性头和属性内容两部分，属性头给出了该属性的结构信息。u 有的属性内容存储在记录项中（如文件名），称为常驻属性。有的属性内容很大，需要在MFT外另外开辟空间存储（如文件数据），则称为非常驻属性。u 有的属性在属性头之后列出了属性名，而有的则没有，一般存放特殊内容的属性都有属性名。偏移偏移大小大小含义含义00H4B属性类型04H4B属性大小（包括属性头和属性内容）08H1B是否常驻（00常驻；01非常驻）09H1B属性名长度（0表示无属性名，非0表示属性名的字符个数）0AH2B属性名的起始偏移（如果有的话），通常为18H0CH2B压缩（0001H）

7、、加密（4000H）、稀疏(8000H)标志0EH2B属性ID10H4B属性内容的长度14H2B属性内容的起始偏移（如果没有属性名，则为18H）16H1B索引标志17H1B无意义，通常为018H-该属性的内容，或属性名（如果有属性名的话）偏移偏移大小大小含义含义00H4B属性类型04H4B属性大小（包括属性头和属性内容）08H1B是否常驻（00常驻；01非常驻）09H1B属性名长度（0表示无属性名，非0表示属性名的字符个数）0AH2B属性名的起始偏移（如果有的话），通常为18H0CH2B压缩（0001H）、加密（4000H）、稀疏(8000H)标志0EH2B属性ID10H8B起始VCN18H8

8、B结束VCN20H2B数据运行（即非常驻区域，等同于数据区）的信息的偏移地址22H2B压缩单位大小，0表示未压缩24H4B无意义28H8B属性分配大小，是该属性所占的所有簇空间的大小30H8B属性真实大小，即实际占用空间38H8B最初的属性大小（似乎和属性真实大小相同）40H-属性的运行信息（记录了属性内容的位置和大小），或者为属性名（如果有的话）偏移偏移大小大小含义含义属性头00H8B文件建立时间，用64位来表示日期和时间，用Windows的时间API函数取得08H8B文件最后修改时间10H8BMFT修改时间18H8B文件最后访问时间20H4B传统文件属性。01只读文件，02隐含文件，04系

9、统文件，20H档案文件，40H设备文件，80H常规文件，100H临时文件，200H稀疏文件，400H重解析点文件，800H压缩文件，1000H脱机文件，4000H加密文件24H4B最大版本数，为0则表示没有版本28H4B版本数，如果偏移24H处为0则此处也为02CH4B分类ID（一个双向的类索引）30H4BWindows 2000以后才有，所有者ID，用于访问磁盘配额$Quota中索引关键字34H4BWindows 2000以后才有，安全ID，用于访问安全元文件$Secure中索引关键字38H8BWindows 2000以后才有，配额管理，配额占用情况，为0表示未使用配额40H8BWindow

10、s 2000以后才有，更新序列号，是进入元数据文件$UsnJrnl的索引关键字u 30H属性用于存储文件名，它总是常驻属性，可容纳255个Unicode字符的文件名长度。u NTFS通过为一个文件创建多个文件名的方式实现了POSIX式的硬链接，每个文件名属性都有它自己的详细资料和父目录。u 当一个硬链接文件被删除时，就从MFT记录中删掉这个文件名，当最后一个硬链接也删除时，文件就真正的删除了。u NTFS针对不同的操作系统提出了三种文件名命名空间，其字符集从小到大依次为：DOS、WIN32、POSIX。偏移偏移大小大小含义含义属性头00H8B父目录的文件参考号（MFT头的记录编号，偏移2CH）

11、08H8B文件创建时间10H8B文件修改时间18H8BMFT修改时间20H8B文件最后访问时间28H8B文件分配大小30H8B文件实际大小38H4B标志（传统文件属性）3CH4B$EA（扩充属性）使用的空间，或$REPARSE_POINT（重解析点属性）的类型40H1B文件名长度（字符数L）41H1B文件名命名空间（0POSIX，1=WIN32，2=DOS，3=WIN32&DOS）42HL2Unicode编码的文件名u 字符编码就是把所有的字符按某个顺序进行编号，用一个数字（代号）表示其编码。由于不同的地区有自己的语言和符号，因此编码方案也不同，我国采用国标（GB）编码。u 为了让不同地区的计

12、算机能够正常交换数据信息，国际上推出了一种Unicode编码，它是全世界统一编码，常用于网站、数据库等信息的存储与交换，其优点是能提供最好的兼容性，但不适用于做系统机内码使用。u Windows简体中文版使用的内码是GB-18030，而存储文件名的时候，为了满足其适应性，采用了Unicode编码。一个Unicode字符恒定占2个字节，西文字符保持了同ASCII码的兼容性，而中文字符则完全不同。字符ASCII码GB码Unicode码838H38H0038HA41H41H0041H人CBC8H4EBAHu 演示对NTFS分区中指定文件的属性分析过程。n1.MFT及文件记录项结构。n2.属性头的结构。n3.基本属性的内容分析。n4.字符编码。u 请在自己的计算机（或虚拟机）上选择一个NTFS分区，选择某个文件，对其文件目录项进行分析。