NTFS 文件系统结构

背景

NTFS 作为一个新的文件系统，因其安全性高而受到越来越多的重视，越来越多的应用
采用了NTFS 文件系统。
作为一个新的文件系统，NTFS 有着许多区别于FAT32 的优点，如磁盘配额、文件系统
加密、支持动态分区等。因此了解NTFS 文件系统的结构非常有必要。
本实验主要完成以下三个任务：
1）了解NTFS 文件系统的结构，在NTFS 文件系统下进行磁盘配额、读写权限的设置
2）熟悉NTFS 下的MFT 表的结构，使用Runtime Disk Explorer for NTFS 查看MFT 表
3）通过使用工具Runtime Disk Explorer for NTFS 及WINHEX，了解文件的各种属性
和文件纪录的结构

操作步骤及工作要点

NTFS 的DBR 分析

1） 使用WINHEX 打开NTFS 分区，并且查看BPB 参数，抓图。

 

 

 2） 记录$MFT、$MFTMirr 的起始簇号。

$MFT起始簇号为0x0C00、$MFTMirr 的起始簇号为0xDD87FF。

MFT 结构以及$MFT 文件记录分析

1） 使用Disk Explorer 打开NTFS 文件系统
2） 跳转到MFT 表的开始部分，抓图

 

 

3） 打开$MFT 的文件记录，查看记录头和属性列表部分，抓图。

记录头部分：

 

 

属性表部分：

4） 记录属性列表中间的常驻属性和非常驻属性。

常驻属性：$10,$30。非常驻属性：$80,$B0
5） 打开$80 属性，记录$MFT 的数据流情况，抓图。

文件的文件记录分析

1） 在NTFS 文件系统下新建一个文本文件，输入几个字符作为内容。

 

 

2） 打开该文件的文件记录

 

 

3） 查看属性列表，记录常驻属性和非常驻属性。

常驻属性：$10，$30，$40，$80。无非常驻属性
4） 打开$80 属性，查看属性头和属性内容。

属性头

 

 属性内容

 

 
5） 打开－大文件（超过1M）的文件记录

 

 6） 查看大文件的$80 属性，比较与小文件的区别。

 

 

 

属性从常驻属性变为非常驻属性，body 里不再存放文件内容，header 内容增多。

目录的文件记录分析

1） 打开根目录的文件记录$root，并且查看详细数据。

 

2） 查看属性列表，记录其中的常驻属性和非常驻属性。

 

常驻属性：$10,$30,$40,$50,$90,$B0。非常驻属性：$A0

3） 查看90 和A0 属性，并且抓取图形。

$90:

 

 $A0: