软件安全学习笔记(6):NTFS文件系统

一、总体结构

1个引导扇区+15个扇区的NTLDR区域+MFT元数据文件+MFT分配的空间+文件存储区

说明：

引导扇区将NTLDR的代码读入内存并移交控制权。

MFT是一个与文件相对应的文件属性数据库，以文件数组来实现，每个文件记录大小固定为1KB，它记录了除文件数据外的所有属性，甚至小文件的数据本身也包含在MFT中。

二、引导分区

前3个字节：跳转指令

再8个字节：生产厂商信息

再25个字节：BPB

再48个字节：扩展BPB

再426个字节：引导代码

剩下2个字节：结束标志

三、MFT

1、组织结构：

前16个记录：保存系统关键信息

从第24个记录开始为文件或目录信息。

2、文件记录（FR）：大小固定为1KB，即2个扇区

每个文件记录由表头和属性列表组成，结束标志为：FFFFFFFFH

   （1）表头（FR头）：

                前3个字节：FILE标志

                第14个字节开始，2个字节：第一个属性的偏移地址。

                第16个字节开始，2个字节：标志位（01文件 03目录 00未使用）

                第18个字节开始，4个字节：FR实际占用的字节数

                第22个字节开始，4个字节：总共分配的记录长度

                偏移量2C处，4个字节：MFT记录号，每个FILE都有唯一的一个记录号。

   （2）属性：