软件安全学习笔记(6):NTFS文件系统

一、总体结构

1个引导扇区+15个扇区的NTLDR区域+MFT元数据文件+MFT分配的空间+文件存储区

说明:

引导扇区将NTLDR的代码读入内存并移交控制权。

MFT是一个与文件相对应的文件属性数据库,以文件数组来实现,每个文件记录大小固定为1KB,它记录了除文件数据外的所有属性,甚至小文件的数据本身也包含在MFT中。


二、引导分区

前3个字节:跳转指令

再8个字节:生产厂商信息

再25个字节:BPB

再48个字节:扩展BPB

再426个字节:引导代码

剩下2个字节:结束标志


三、MFT

1、组织结构:

前16个记录:保存系统关键信息

从第24个记录开始为文件或目录信息。

2、文件记录(FR):大小固定为1KB,即2个扇区

每个文件记录由表头和属性列表组成,结束标志为:FFFFFFFFH

   (1)表头(FR头):

                前3个字节:FILE标志

                第14个字节开始,2个字节:第一个属性的偏移地址。

                第16个字节开始,2个字节:标志位(01文件 03目录 00未使用)

                第18个字节开始,4个字节:FR实际占用的字节数

                第22个字节开始,4个字节:总共分配的记录长度

                偏移量2C处,4个字节:MFT记录号,每个FILE都有唯一的一个记录号。

   (2)属性:

           软件安全学习笔记(6):NTFS文件系统_第1张图片

            


你可能感兴趣的:(软件安全学习笔记(6):NTFS文件系统)