1、NTFS分区结构分区结构一主控文件表与元文件主控文件表与元文件二引导扇区结构引导扇区结构三四修复引导扇区修复引导扇区四u 重点u 难点u 微软公司自推出Windows NT服务器操作系统以来,就开发了一种与之对应的,可靠性和安全性都很强的,可用于服务器操作系统的文件系统,即NTFS。u 它与FAT文件系统相比有许多优点:可恢复性、安全性、保密性、数据容错、文件压缩、磁盘配额管理等。u 在NTFS分区中,引入了卷概念。卷可以看成是分区的升级版,是为了解决某些分区限制而提出的概念,卷的操作和使用和分区是一样的。u 卷分为简单卷和动态卷两种,简单卷就是一个普通分区,而动态卷则可以实现一些高级功能,比
2、如可以将多个分区或者磁盘组织成一个卷,能够动态增长容量等,使其可以支持服务器存储所需的海量存储空间。u NTFS仍然使用簇来分配文件存储,簇又叫卷因子,在分区中通常每个簇包含8个扇区,从0开始编号,这个簇号叫做逻辑簇号(LCN)。u 在存储文件的时候,NTFS采用了索引存储方式:即把文件按照逻辑簇大小划分为多个区块,称为虚拟簇(VCN),在主控文件表中有一张索引表,记录了VCN和LCN的对应关系,因此可以快速地访问文件任意一个部分的内容,而且簇到扇区的转换也非常简单。VCN123456LCN101102106107108221u NTFS分区不再设管理控制区域,分区的0扇区便是0簇,全部空间都
3、是数据区域。分区中承担管理控制信息的数据块被组织成文件,灵活地存放在任意一个位置。只有BOOT区域比较特殊,由于0扇区仍是引导扇区,因此BOOT区域始终位于分区前端。u 在NTFS分区中,最重要的就是主控文件表(MFT),它记载了所有文件的属性信息,甚至包括数据,有点类似于FAT分区的文件目录表。u 为了防止遭到破坏,NTFS分区将MFT的位置移到了分区的中间,并在引导扇区中给出了它的簇号。我们在恢复数据的时候,就是依靠MFT来完成的。u 在NTFS中承担管理控制信息的数据称为元数据,用于记载文件属性信息、簇分配信息、以及加密、配额、日志等。这些元数据分别被组织成文件,称为元文件。u 前面所提
4、到的BOOT区域和MFT区域,也分别被组织为两个重要的元文件:$Boot和$MFT。u NTFS中有16个元文件,每个元文件都以美元符号起头,以标示其特殊身份。这些元文件记录了分区底层的结构信息,因此非常特殊而重要,被系统保护起来,用户和应用程序不能访问它们。编号编号元数据文件元数据文件功能或内容功能或内容0$MFT主控文件表本身1$MFTMirr主控文件表的部分备份(通常为前4项)2$LogFile日志文件,实现了NTFS的可恢复性和安全性3$Volume卷文件,标识卷名,是否格式化,是否需要修复等信息4$AttrDef属性定义列表文件5$Root根目录,存放目录和文件的索引,表示文件的逻辑
5、层次关系6$Bitmap位图元文件,记录了卷中簇的分配情况7$Boot引导元文件,恒为0簇起始8$BadClus坏簇列表元文件9$Secure安全元文件,存储访问控制表(在NTFS4及以前为磁盘配额信息)10$UpCase大小写字符转换表元文件11$ExtMD扩展元数据目录(Extended metadata directory)1215$Extended扩展元数据,分别为重解析点、加密日志、配额管理、对象ID1623为以后扩展而保留24?用户文件和目录的记录编号u NTFS分区的0扇区是引导扇区,也叫DBR扇区,它和后面的15个扇区(NTLDR区域)合起来构成BOOT区域,也就是$Boot元
6、文件。$Boot元文件恒定从0簇起始,占16个扇区。u NTFS分区的引导扇区同FAT分区的引导扇区在结构上非常相似,同样包含BPB,DBR和结束标志三个部分,只是在BPB参数上有部分不同。由于所有的结构信息都以元文件方式组织,因此在BPB中只包含几个重要的参数。NTFS的BPBNTFS的DBR偏移偏移长度长度描描 述述00H3B跳转指令(EBH 52H 90H),跳至54H处DBR部分03H8B文件系统和版本的OEM标志(NTFS)0BH2B每扇区字节数(通常为200H)0DH1B每簇扇区数(值为2的N次方,通常为8)15H1B介质描述,恒为F818H2B每磁道扇区数(通常为3FH,63)1
7、AH2B磁头数(通常为FFH,255)1CH4B隐含扇区数(本分区前的扇区总数,也就是本分区的起始逻辑扇区号)24H4BNTFS未使用,总为80H 00H 80H 00H28H8B扇区总数30H8B$MFT的起始逻辑簇号38H8B$MFTMirr的起始逻辑簇号40H4B每MFT记录簇数44H4B每索引簇数48H8B分区的逻辑序列号,格式化的时候随机产生50H4B校验和u 演示对NTFS分区引导扇区的BPB的分析过程。u NTFS的引导扇区如果遭到破坏,同样可以使用备份的引导扇区记录来恢复,只是NTFS的备份引导扇区存于分区末尾处,这样对于普通的破坏攻击有较好的保护作用。u 它存放的形式很巧妙:假设在分区表中标识了该分区大小为N,则在格式化为NTFS分区的时候,在引导扇区的BPB里面给出本分区占用扇区数为N-1,这样在分区表容量和分区内标注的容量间就有1个扇区的空隙,这个扇区既不会被本分区操作访问到,也不会被分区工具破坏。u 演示使用备份的引导扇区实现对NTFS分区的引导扇区的恢复。n1.NTFS分区结构与特点。n2.MFT和元文件的概念。n3.使用备份扇区修复引导扇区。u 请在自己的计算机(或虚拟机)上选择一个NTFS分区,找到它的备份引导扇区位置,然后将其复制到引导扇区位置。
