NTFS文件系统常用属性表.doc

NTFS 元文件 序 号元 文 件功 能 0 MFT 主文件表本身 1 MFTMIRR 主文件表的部分镜像 2 LOGFILE 日志文件 3 VOLUME 卷文件 4 ATTRDEF 属性定义列表 5 ROOT 根目录 6 BITMAP 位图文件 7 BOOT 引导文件 8 BADCLUS 坏簇文件 9 SECURE 安全文件 10 UPCASE 大写文件 11 EXTEND METADATA DIRECTORY 扩展元数据目录 12 EXTEND REPARSE 重解析点文件 13 EXTEND USNJRNL 变更日志文件 14 EXTEND QUOTA 配额管理文件 15 EXTEND OBJID 对象 ID 文件 16 23 保留 23 用户文件和目录 文件记录可能的属性 类型操作系统名称 0X10 标准信息 0X20 属性列表 0X30 文件名 0X40NT 卷版本 0X402K 对象 ID 0X50 安全描述符 0X60 卷名 0X70 卷信息 0X80 数据 0X90 索引根 0XA0 索引分配 0XB0 位图 0XC0NT 符号连接 0XC02K 重解析点 0XD0 扩展信息 0XE0 扩展 0XF0NT 特权设置 0X1002K 日志流 MFT 文件记录头部结构布局 偏移长度描述 0X04 固定值 一定是 FILE 0X42 更新序列号的偏移 0X62 更新序列号与更新数组以字为单位大小 S 0X88 日志文件序列号 每次记录被修改 都将导致该序列号加 1 0X102 序列号 用于记录本文件记录被重复使用的次数 每次文件删除时加 1 跳过 0 值 如果为 0 则保持为 0 0X122 硬连接数 只出现在基本文件记录中 目录所含项数要使用到它 0X142 第一个属性流的偏移地址 0X162 标志字节 1 表示记录使用中 2 表示该记录为目录 0X184 文件记录实际大小 填充到 8 字节 即以 8 字节为边界 0X1C4 文件记录分配大小 填充到 8 字节 即以 8 字节为边界 0X208 所对应的基本文件记录的文件参考号 扩展文件记录中使用 基本文 件记录中为 0 在基本文件记录的属性列表 0X20 属性存储中扩展文件 记录的相关信息 0X282 下一个自由 ID 号 当增加新的属性时 将该值分配给新属性 然后该 值增加 如果 MFT 记录重新使用 则将它置 0 第一个实例总是 0 0X2A2 边界 WINDOWS XP 中使用 也就是本记录使用的两个扇区的最后两个 字节的值 0X2C4 WINDOWS XP 中使用 本 MFT 记录号 0X302 更新序列号 0X322S 2 更新序列数组 标准属性的属性头结构 偏移大小值描述 0X0040X10属性类型 属性类型 1010 标准属性 标准属性 0X0440X60总长度 包括头部本身 总长度 包括头部本身 0X0810X00非常驻标志非常驻标志 1 1 表示非常驻表示非常驻 0X0910X00属性名的名称长度 0X0A20X18属性名的名称偏移 0X0C20X00标志 似乎已经不再使用 统一放在文件属性中 0X0E2 属性 ID 此处的属性 ID 不是指与 0X10 同级别的 属性 应该是指下一级属性 如多数据流 每个数 据流属性都有一个属性 ID 但都是数据流属性 0X80 0X104L属性体长度 属性体长度 L L 0X1420X18属性内容起始偏移属性内容起始偏移 0X161索引标志 0X1710X00填充 0X18L从此处开始 共 L 字节为属性 标准属性的属性体结构 偏移大小操作系统描述 标准属性头 已经分析过 0X008C C TIMETIME 文件创建时间文件创建时间 0X088A A TIMETIME 文件修改时间文件修改时间 0X108M M TIMETIME MFTMFT 变化时间变化时间 0X188R R TIMETIME 文件访问时间文件访问时间 0X204文件属性 按照文件属性 按照 DOSDOS 术语来称呼 都是文件属性 术语来称呼 都是文件属性 0X244文件所允许的最大版本号 0 表示未使用 0X284文件的版本号 最大版本号为 0 则也为 0 0X2C4类 ID 一个双向的类索引 0X304 2K 所有者 ID 表示文件的所有者 是文件配额 QUOTA 中 O 和 Q 索引的关键字 为 0 表示未使用磁盘配额 0X344 2K 安全 ID 是文件 SECURE 中 SII 索引和 SDS 数据流的关键字 注 意不要与安全标识相混淆 0X388 2K 本文件所占用的字节数 它是文件所有流占用的总字节数 为 0 表示未使用磁盘配额 0X408 2K 更新系列号 USN 是到文件 USNJRNL 的一个直接的索引 为 0 表示 USN 日志未使用 文件名属性的属性头结构 偏移大小值描述 0X0040X30属性类型 30 文件名属性 0X0440X68总长度 包括头部本身 0X0810X00非常驻标志 0X0910X00属性名的名称长度 0X0A20X18属性名的名称偏移 0X0C20X00 标志 0X0001 表示压缩 0X4000 表示加密 0X8000 表示稀疏文件 常驻属性不会被压缩 0X0E20X03属性 ID 同标准属性的属性头 0X1040X4A属性长度 L 0X1420X18属性内容起始偏移 0X1610X01索引标志 0X1710X00填充 0X18L从此处开始 共 L 字节为属性 文件名属性体结构布局 偏移大小值 标准的属性头结构 见前表 0X008 父目录的文件参考号 即父目录的基本文件记录号 分为两个父目录的文件参考号 即父目录的基本文件记录号 分为两个 部分 前部分 前 6 6 个字节个字节 4848 位为父目录的文件记录号 此处为位为父目录的文件记录号 此处为 0X050X05 即根目录 所以 即根目录 所以 MFT MFT 的父目录为根目录 后的父目录为根目录 后 2 2 个字节为个字节为 序列号 序列号 0X088文件创建时间 0X108文件修改时间 0X188最后的一次 MFT 更新时间 0X208最后一次的访问时间 0X288文件分配大小 0X308文件实际大小 0X384标志 如目录 压缩 隐藏等 0X3C4用于 EAS 和重解析点 0X401 以字符计的文件名长度 每字符占用字节数由下一字节命名空以字符计的文件名长度 每字符占用字节数由下一字节命名空 间确定 一个字节长度 所以文件名最大间确定 一个字节长度 所以文件名最大 255255 字节长 字节长 0X411文件名命名空间文件名命名空间 0X422L以以 UNICODEUNICODE 方式表示的文件名方式表示的文件名 文件名命名空间文件名命名空间 01WIN32 02DOS 03DOS WIN32 数据流属性的属性头结构 偏移大小值意义 0X0040X80属性类型 0X80 数据流属性 0X0440X48属性长度 包括本头部的总大小 0X0810X01非常驻标志 此处就表示数据流非常驻 0X0910X00名称长度 ATTRDEF 中定义 所以名称长度为 0 0X0A20X00名称偏移 0X0C2标志 如 0X0001 压缩 0X4000 加密 0X8000 稀疏文件标志 0X0E2属性 ID 每个属性都有一个惟一的标识 0X108起始 VCN 此处为 0 0X188结束 VCN 此处为 0X1FF1 0X2020X40数据运行的偏移 0X222单位压缩尺寸 一般为 2 倍簇大小 0 表示未压缩 0X2440X00填充 0X288为属性值分配大小 按分配的簇的字节数计算 0X308属性值实际大小 0X388属性流初始大小 0X40 数据运行 未命名常驻属性标准属性头结构 偏移大小值意义 0X004属性类型 如 0X10 0X60 0X044属性长度 包括本头部的总大小 0X0810X00非常驻标志 0X0910X00名称长度 0X0A20X00名称偏移 0X0C20X00标志 0X0E2属性 ID 每个属性都有一个惟一的标识 0X104L属性长度 0X1420X18属性偏移 0X161索引标志 0X1710X00填充 0X18L具体的属性值 未命名非常驻属性标准属性头结构 偏移大小值意义 0X004属性类型 如属性类型 如 0X800X80 0XA00XA0 0X044属性长度 包括本头部的总大小 属性长度 包括本头部的总大小 0X0810X01非常驻标志非常驻标志 0X091N名称长度名称长度 0X0A20X40名称偏移名称偏移 0X0C2 标志 0X0001 压缩 0X4000 加密 0X8000 稀疏文件 0X0E2属性 ID 每个属性都有一个惟一的标识 0X108起始起始 VCNVCN 0X188结束结束 VCNVCN 0X2022N 0X40数据数据 RUNRUN 的偏移 为的偏移 为 4 4 个字节的整倍数 个字节的整倍数 0X222 单位压缩尺寸 一般为 2 倍簇大小 0 表示 未压缩 0X2440X00填充 0X288为属性值分配大小 按簇大小计算 0X308属性值实际大小 0X388属性流初始大小 与分配大小不等时使用 0X402N UNICODE 字符 属性名 2N 0X40 数据运行 为 4 个字节的整倍数 命名常驻属性标准属性头结构 偏移大小值意义 0X004属性类型 如 0X90 0XB0 0X044属性长度 包括本头部的总大小 0X0810X00非常驻标志 0X091N名称长度名称长度 0X0A20X18名称偏移名称偏移 0X0C20X00标志 常驻属性不能压缩 0X0E2属性 ID 每个属性都有一个惟一的标识 0X104L属性长度属性长度 0X1422N 0X18属性偏移属性偏移 0X161索引标志 0X1710X00填充 0X182NUNICODE 字符属性名 2N 0X18L具体的属性值 为 4 个字节的整倍数 命名非常驻属性标准属性头结构 偏移大小值意义 0X004属性类型 如属性类型 如 0X200X20 0X800X80 0X044属性长度 包括本头部的总大小 属性长度 包括本头部的总大小 0X0810X01非常驻标志非常驻标志 0X0910X00名称长度名称长度 0X0A20X00名称偏移名称偏移 0X0C2标志 0X0E2属性 ID 每个属性都有一个惟一的标识 0X108起始起始 VCNVCN 0X188结束结束 VCNVCN 0X2020X40数据运行的偏移数据运行的偏移 0X222单位压缩尺寸 一般为 2 倍簇大小 0 表示未压缩 0X2440X00填充 0X288为属性值分配大小 按簇大小计算 为属性值分配大小 按簇大小计算 0X308属性值实际大小属性值实际大小 0X388属性流初始大小 与分配大小不等时使用 属性流初始大小 与分配大小不等时使用 0X40 数据运行数据运行 索引根的结构如表 4 81 所示 索引根结构 偏移大小描述 标准属性头 0X004属性类型 0X044排序规则 0X084索引项分配大小 字节数 0X0C1每索引记录的簇数 0X0D3填充 到 8 字节 索引头的结构如表 4 82 所示 索引头结构 偏移大小描述 0X004第一个索引项的偏移 0X044索引项的总大小 0X084索引项的分配大小 0X0C1标志 0X0D3填充 到 8 字节 其标志字节的含义如表 4 83 所示 索引头标志字节含义 标志描述 0X00小索引 适用于索引根 0X01大索引 适用于索引分配 索引项的结构 偏移大小描述 标准属性头 下面的域只在没有设置为 最后一个索引项 时有效 0X008文件参考号 0X082L 索引项长度 0X0A2M 流长度 0X0C1标志 下面的域只在没有设置为 最后一个索引项 时有效 0X10M流 下面的域只在子节点标志设置为有效时才会出现 L 88索引分配属性中子节点的 VCN 标准索引头结构 偏移大小描述 0X004总是 INDX 0X042更新序列号的偏移 0X062更新序列号与更新数组以字为单位的大小 S 0X088日志文件序列号 0X108本索引缓存在索引分配中的 VCN 0X184索引项的偏移 0X1C4索引项大小 0X204索引项分配大小 0X241如果不是叶节点 置 1 表示还有子节点 0X253用 0 填充 0X282更新序列 0X2