NTFS文件系统的MFT标准属性数据结构

MFT的标准属性也就是0x10属性,它是一个常驻属性。因为标准属性的类型值是0x10,所以标准属性总是文件或目录的第一个属性。

这个标准属性包含时间日期属性,分为创建时间、修改时间、MFT改变时间和文件最后访问时间。这个标准属性还可以表示文件是否只读,是否为系统文件、压缩或加密等属性。下表是标准属性体的数据结构

偏移字节(16进制) 描述
00-07 创建时间
08-0F 最后修改时间
10-17 MFT改变时间
18-1F 文件最后访问时间
20-23
标志

0x01:只读;0x02:隐藏;0x04:系统;

0x20:存档;0x40:设备;0x80:常规;

0x100:临时;0x200:稀疏;0x400:重解析点;

0x800:压缩;0x1000:脱机;0x4000:加密
24-27 最高版本号
28-2B 版本号
2C-2F 分类ID
30-47 无意义

下图是winhex中的MFT看到的标准属性

可以看到标准属性是个常驻属性,其属性头的数据结构在前面几章有讲。

属性头部分

0x00-0x03 10 00 00 00:属性类型是0x10说明是个标准属性

0x04-0x07 60 00 00 00:说明这个标准属性有0x60个字节 也就是90个字节

0x08-0x08 00:00表示这个属性是个常驻属性

0x09-0x09 00:表示属性名长度为0,也就说明没有属性名

0x0A-0x0B 18 00:表示属性属性名长度,由于之前已经知道没有属性名,所以这个字节无意义。

0x0C-0x0D 00 00 :表示没有特殊的属性

0x0E-0x0F 00 00 :属性ID

0x10-0x13 48 00 00 00:表示属性体的大小是0x48字节

0x14-0x15 18 00:表示属性头大小是0x18字节

下面是属性体的部分,从0x18偏移开始

0x18-0x1F:49 BF 89 CE 15 74 D1 01 文件创建时间

0x20-0x27:49 BF 89 CE 15 74 D1 01 最后修改时间

0x28-0x2F:49 BF 89 CE 15 74 D1 01 MFT改变时间

0x30-0x37:49 BF 89 CE 15 74 D1 01 最后访问时间

0x38-0x3B:06 00 00 00 标志

0x3C-3F:00 00 00 00 最高版本号

0x40-0x43:00 00 00 00 版本号

0x44-0x47:00 00 00 00 分类ID

时间: 2024-11-01 21:20:01

NTFS文件系统的MFT标准属性数据结构的相关文章

NTFS文件系统MFT的属性列表

MFT是由一个个属性体组成,每个属性体都有一个对应的属性名.如0x10类型的属性表示标准属性,这个属性记录着文件的基本信息. NTFS文件系统的MFT属性列表 MFT属性类型值(16进制) MFT属性名 描述 10 $STANDARD_IFORMATION 标准属性,包含文件的基本属性,只读 创建时间.最后访问时间等属性. 20 $ATTRIBUTE_LIST 属性列表 30 $FILE_NAME 文件名属性(UNICODE编码) 40 $OBJECT_ID 对象ID属性,文件或目录的16字节唯

MFT的文件名属性数据结构

在NTFS文件系统中,文件名属性的类型值是0x30.从这个属性名就可以知道文件名属性是用来存储文件名的,其实这个属性还可以存储文件的大小和时间等信息.在文件名属性中还记录这父目录的MFT索引号,可以根据这个MFT索引号构建出原始的目录树结构. 在NTFS文件系统中 文件名属性是用unicode编码表示的,这点和之前学的FAT32文件系统略有不同. 下面是文件名属性体的数据结构表 字节偏移 描述 00-07 父目录的文件参数号 08-0F 文件建立时间 10-17 最后修改时间 18-1F MFT

NTFS文件系统-MFT属性体

上篇文章我们已经知道MFT属性体分为两种,一种是常驻属性头另外一种是非常驻属性头两种属性头在结构方面有所不同.那么MFT属性体的数据结构又是如何的呢,其实MFT的属性体是根据属性头的类型不同其数据结构也不同的. 常驻属性的属性体很小,可以直接存放在MFT项中.而非常驻属性的属性体很大,不能MFT项是存不下的,所以需要另外开辟空间存放,这也就导致了常驻属性和非常驻属性的属性体数据结构也是有所不同的. 上图是一个文件名为123.txt文档,里面的内容是123123123,可以看到当数据量较小时,NT

NTFS文件系统-MFT的属性头

前面说过MFT是有一个个属性组成,那么每个属性的具体结构又是如何呢?MFT属性的类型很多,但它们都有个共同的特点,那就是每个属性都有属性头和属性体.属性头又分为常驻属性和非常驻属性.常驻属性和非常驻数据最大的区别是常驻属性的只是在MFT内部记录,非常驻数据由于MFT记录不下(一个MFT项只有1024)所以需要在其它数据区记录.不管是常驻属性还是非常驻属性,它的属性头的前面16个字节是一样的. MFT属性结构图 从上图可以看出MFT头很小,只有几行代码 ,剩下都是MFT的属性.图中10属性和30属

NTFS文件系统MFT结构

MFT可以分为两部分:第一部分自然是MFT头,剩下一部分是MFT的属性列表.MFT是主要是有一个个属性列表组成的,属性列表用来记录文件的各个属性.MFT头的空间很小,只是用来记录MFT的关键信息. MFT的属性有很多类型,属性也分常驻属性和非常驻属性.每种类型的属性都有自己的结构,但大体结构可以分成两个部分,属性头和属性内容.不管是常驻属性还是非常驻属性它的属性头前16个 字节结构是相同的.

linux中生成考核用的NTFS文件系统

目的: 生成一个NTFS文件系统,要求: 1.$MFT至少2个碎片 2.根目录下建90个以从1开始的数字编号为名的子目录,每个子目录下建80-100个文件,文件编号从1开始编起. 3.有大量文件是由2个或以上碎片组成.(本例多为2个碎片) 1.shell 脚本如下: #!/bin/sh #   # #  Created by www.frombyte.com    张宇 on 2017/3/29.脚本可能有更新,见附件 # mkdir /mnt/padding cd /mnt/padding #

server 08 R2 NTFS 文件系统, 管理用户和组

server 08 R2 NTFS 文件系统, 管理用户和组 D文件系统的一些定义: ----------------------------NTFS安全权限-----------------------------文件夹的ACL---文件夹属性---安全---高级---权限项目 ?里面就是 该文件夹的访问控制列表.权限是从上往下匹配. 有四种文档有权限 继承性------在 d: 盘创建一个文件夹,文件夹的权限继承于 d 盘的权限.当我们给一个文件夹分配权限时,这个权限会指派到该文件夹下面的所

NTFS文件系统的简述

NTFS文件系统的设计思想基于稳定性.和安全性并支持大容量存储设备的文件系统: 1.它提供日志可以增加文件系统的容错率,可以有效的保护系统的安全.NTFS是一个可恢复的文件系统.在NTFS分区上即使强制关机后,一般也不需要运行CHKDSK命令修复磁盘.NTFS文件系统可以通过使用标准的事务处理日志和恢复技术来保证分区的一致性.发生系统失败事件时.NTFS文件系统会使用日志文件和检查点信息自动恢复文件系统的一致性. 2.NTFS文件系统将所有的数据都看作文件,即使是文件系统格式化产生的管理文件系认

B+树在NTFS文件系统中的应用

B+树在NTFS文件系统中的应用 flyfish 2015-7-6 卷(volume) NTFS的结构首先从卷开始.卷对应于磁盘上的一个逻辑分区,当你将一个磁盘或者磁盘的一部分格式化成NTFS,卷将被创建起来.一个磁盘可以有一个卷或好几个卷.NTFS独立的处理每一个卷. 卷对应的就是C盘,D盘,E盘等. 簇(cluster) 在一个NTFS卷中,簇的大小,或者说簇因子(cluster factor),是在磁盘管理程序MMC加载件格式化该卷的时候建立起来的.默认的簇因子随着卷大小的不同而不同,但它