摘要:
管理更新序列号 (USN) 会改变日志,该日志提供了永久的对卷中所有对文件做过修改的的记录。当添加、删除和修改文件、目录和其它 NTFS 对象时,NTFS 将记录输入 USN 更改日志中,计算机上每个卷都有一个更改日志。每个记录指定更改类型和所更改的对象。新的记录将添加到数据流的最后。 程序可以查询 USN 更改日志,从而确定对文件集的所有更改。USN 更改日志的效率比检查时间戳或注册文件的效率... 阅读全文
摘要:
稀疏文件是指内部具有一个或多个未分派的数据区域的文件。程序将会发现这些未分派的包含零字节的区域,但是没有实际的磁盘空间用来代表这些零。换句话说,所有有意义或非零数据得到了分配,反之所有无意义的数据(大串由零组成的数据)没有得到分配。当读入稀疏文件时,已分配的数据以存储方式返回,在默认情况下,按照 C2 安全需求未分配的数据也返回。稀疏文件支持允许不再从文件中的任何地方分配数据。 在稀疏文件中,大范... 阅读全文
摘要:
查询或删除重新分析点,这些重新分析点是 NTFS 文件系统对象,而这些对象具有可定义的包含用户控制数据的属性,这些重新分析点在输入/输出 (I/O) 子系统中用于扩展功能。重新分析点作为目录连接点和卷安装点。文件系统过滤驱动程序使用重新分析点来标记该驱动程序特定的某些文件。在 NTFS 卷上,文件或目录可以包含一个重分析点(用户定义数据的集合)。存储数据的程序和文件系统过滤器可以理解这种数据格式,... 阅读全文
摘要:
管理对象标识符(也称为 OID),它是“分布式链接跟踪 (DLT) 客户”服务和“文件复制服务 (FRS)”用于跟踪其它对象(如文件、目录和链接)的内部对象。对象标识符对多数程序是不可见的,绝不要修改它。 警告 不要删除、设置或修改对象标识符。删除或设置对象标识符有可能造成文件的部分数据乃至整个卷上数据的丢失。此外,有可能造成“分布式链接跟踪 (DLT) 客户”服务和“文件复制服务 (FRS)... 阅读全文
摘要:
在 NTFS 中,有两个关于文件长度的重要概念:文件尾 (EOF) 标记和有效数据长度 (VDL)。EOF 指定文件的实际长度。VDL 标识磁盘上有效数据的长度。VDL 和 EOF 之间的任何读操作都将自动返回 0 以便保留 C2 对象重新使用要求。 阅读全文
摘要:
硬连接就是某个文件的目录入口。每个文件都可认为至少有一个硬连接。在 NTFS 卷上,每个文件都有多个硬链接,所以一个文件可能出现在多个目录中(甚至以不同的文件名出现在相同目录中)。既然所有的链接都引用同一个文件,所以程序能打开任意链接并修改文件。只有当一个文件的所有链接都删除后,该文件才能从文件系统中删除。创建硬链接后,程序可以象使用其它文件名一样使用它。NTFS 硬链接与 POSIX 硬链接相似... 阅读全文
摘要:
朋友的局域网最近两天网速突然变得非常的慢。怀疑有人在用P2P软件。又因为是交换网络环境,无法用嗅探器嗅探。网关是TP-link的一个SOHO路由,没有提供详细的TCP、UDP连接数据。于是就想到强制局域网里的用户每人装一个软件,由软件记录TCP、UDP的连接情况,以及联网的程序。首先想到使用System.Net的命名空间,结果发现并没有相关的功能。又查找System.Diagnostics,也没有... 阅读全文