前面说过MFT是有一个个属性组成,那么每个属性的具体结构又是如何呢?MFT属性的类型很多,但它们都有个共同的特点,那就是每个属性都有属性头和属性体。属性头又分为常驻属性和非常驻属性。常驻属性和非常驻数据最大的区别是常驻属性的只是在MFT内部记录,非常驻数据由于MFT记录不下(一个MFT项只有1024)所以需要在其它数据区记录。不管是常驻属性还是非常驻属性,它的属性头的前面16个字节是一样的。
MFT属性结构图
从上图可以看出MFT头很小,只有几行代码 ,剩下都是MFT的属性。图中10属性和30属性都是常驻属性,而80属性是非常驻属性 ,因为80属性是记录文件内容的属性,一般不是几个字节就能记录的。下面我们来看下非常驻属性的属性头具体结构
| 偏移字节(16进制) | 描述 |
| 00-03 | 属性类型 |
| 04-07 | 属性长度 |
| 08 | 常驻属性标志00:常驻 ;01表示非常驻 |
| 09 | 属性名长度(为0表示没有属性名) |
| 0A-0B | 属性名偏移(相对于属性头) |
| 0C-0D | 标志 |
| 0E-0F | 属性ID标志 |
| 10-13 | 属性体大小 |
| 14-15 | 属性头的大小 |
| 16 | 索引 |
| 17 | 保留 |
非常驻属性头的数据结构
| 偏移字节(16进制) | 描述 |
| 00-03 | 属性类型 |
| 04-07 | 属性长度 |
| 08 | 常驻属性标志00:常驻 ;01表示非常驻 |
| 09 | 属性名长度(为0表示没有属性名) |
| 0A-0B | 属性名偏移(相对于属性头) |
| 0C-0D | 标志 |
| 0E-0F | 属性ID标志 |
| 10-17 | 簇流的起始虚拟簇号(总是从0开始) |
| 18-1F | 簇流的结束虚拟簇号 |
| 20-21 | 簇流列表相对本属性头起始处偏移 |
| 22-23 | 压缩单位大小 |
| 24-27 | 保留 |
| 28-2F | 为属性内容分配的空间大小字节数 |
| 30-37 | 属性内容实际占用的大小字节数 |
| 38-3F | 属性内容初始大小字节数 |
非常驻属性头的最后3个参数都表示属性内容的大小, 这里可以写成一样大的。
时间: 2024-10-10 00:21:04