MFT是由一个个属性体组成,每个属性体都有一个对应的属性名。如0x10类型的属性表示标准属性,这个属性记录着文件的基本信息。

NTFS文件系统的MFT属性列表

MFT属性类型值(16进制) MFT属性名 描述
10 $STANDARD_IFORMATION 标准属性,包含文件的基本属性,只读 创建时间、最后访问时间等属性。
20 $ATTRIBUTE_LIST 属性列表
30 $FILE_NAME 文件名属性(UNICODE编码)
40 $OBJECT_ID 对象ID属性,文件或目录的16字节唯一标志
50 $SECURITY_DESCRIPTOR 安全描述符属性,文件的访问控制安全属性
60 $VOLUME_NAME 卷名属性
70 $VOLUME_INFORMATION 卷信息属性
80 $DATA 文件的数据属性
90 $INDEX_ROOT 索引根属性
A0  $INDEX_ALLOCATION 是90属性的扩展版(90属性只能在MFT内记录文件列表,A0属性将文件列表记录到数据区可以记录更多的文件)
B0  $BITMAP  位图属性
C0 $REPARSE_POINT 重解析点属性
D0 $EA_INFORMATION 扩展属性信息
E0 $EA 扩展属性
100 $LOGGED_UTILITY_STREAM EFS加密属性

红色标记:表示非常重要必须要记住

绿色标记:表示比较重要最好记住

没标记的了解下即可