迅维网

标题: 学懂主流NTFS分区文件系统，你也可以成为MM眼中的大神！ [打印本页]

作者: Chinafix 时间: 2019-6-14 19:03
标题: 学懂主流NTFS分区文件系统，你也可以成为MM眼中的大神！
主要NTFS文件系统小讲第一课，学会了你也可以运用WINHEX进行底层数据分析，错删，误格式化，分区出错等一些问题在数据恢复软件处理不了时，你也可以通过这些知识来提升恢复几率。

由于篇幅有限不太可能一次讲解完毕，后续会不断更新，让我们一起来提升我们的数据恢复水平吧！

NTFS文件系统结构

分析NTFS文件系统的结构

当用户将硬盘的一个分区格式化为NTFS分区时，就建立了一个NTFS文件系统。NTFS文件系统同FAT32文件系统一样，也是用“簇”为储存单位，一个文件总是占用一个或多个簇。

NTFS文件系统运用逻辑簇号（LCN）和虚拟簇号（VCN）对分区进行管理。

逻辑簇号：既对分区内的第一个簇到最后一个簇进行编号，NTFS运用逻辑簇号对簇进行定位。

虚拟簇号：即将文件所占用的簇从开头到尾进行编号的，虚拟簇号不要求在物理上是连续的。

NTFS文件系统一共由16个元文件构成，它们是在分区格式化时写入到硬盘的隐藏文件以$开头，也是NTFS文件系统的系统文件。

NTFS的16个元文件介绍如下

下面就分析一下元文件（只介绍部分常用的元文件）

$Boot元文件

$Boot元文件由分区的第一个扇区（DBR）和后面的15个扇区（NTLDR区域）组成，其中DBR由“跳转指令”、“OEM代号”、“BPB”、“引导程序”和“结束标志”组成，下图是NTFS文件系统完整的DBR。

$MFT元文件

文件记录由两部分构成，一部分是文件记录头，另一部分是属性列表，最后结尾是“FFFFFFFF”,如下是一个完整的文件记录：

在NTFS文件系统中所有与文件相关的数据结构被认为属性，包括文件的内容，它记录了文件的所有属性。每个文件记录中都有多个属性，他们相对独立，有各自的类型和名称。每个属性都由两部分组成，既属性头和属性体。属性头的前四个字节为属性的类型。从文件记录头可以看到第一个属性流的偏移地址00C0000038下图是以10H为例的属性结构

还有很多元文件，这里就不一一介绍了，如果想更深入的了解NTFS文件系统，可以关心我们，我们不定时会出新的教程文章，不懂的可以在评论留言！

作者: 残剑 时间: 2019-6-14 19:03
高手学习了

作者: 显示器 时间: 2019-6-14 19:04
转发了

作者: 刘亚飞 时间: 2019-6-14 19:04
果然是高手。

作者: 杯子 时间: 2019-6-14 19:04
转发了

作者: 蜗牛 时间: 2019-6-14 19:05
转发了

作者: 努力向前. 时间: 2019-6-14 20:57
學習了

作者: yzlycch 时间: 2019-8-18 22:43
最重要的，用的比较多的是80属性没介绍啊

作者: mytmail 时间: 2019-12-21 16:19
先收藏。

坐下来好好学。

作者: 数据远程专家 时间: 2019-12-29 10:07
好东西，收藏了，支持

作者: guiyong007 时间: 2020-1-5 15:59
学习了学习了

作者: 维修新手f 时间: 2020-4-12 22:39
谢谢。好东西。

作者: doudou273 时间: 2020-4-18 21:48
提示: 作者被禁止或删除内容自动屏蔽

欢迎光临迅维网 (https://www.chinafix.com/)