2022年数据恢复基本知识讲义

1、数据恢复的基本知识一、基本概念1、 数据这里我们所说的数据，只指计算机数据，后面不再专门指出。首先，“数据”是一个广义的概念，不仅包括计算机文件系统或数据库系统中存储的各种数据、正文、图形、图像、声音等形式的多媒体数据文件、软件或各种文档资料，也包括存放或管理这些信息的硬件信息， 如计算机硬件及其网络地址、网络结构、 网络服务等。 尽管在许多文献中都大量引用“数据”与“信息”两个术语，但却没有一个被公认的数据与信息的定义。本书中对“数据”与“信息”不加以区分，视为同义。2、数据恢复那么什么是数据恢复呢？简单地说，数据恢复就是把遭受破坏、或由硬件缺陷导致不可访问或不可获得、 或由于误操作等各种原

2、因导致丢失的数据还原成正常数据，即恢复至它本来的“面目”。数据恢复不仅对已丢失的文件进行恢复，还可以恢复物理损伤的磁盘数据，也可以恢复不同操作系统的数据。二、硬盘结构1、 硬盘的物理结构图 1 2、 硬盘的数据组织1）盘片： 硬盘的每一个盘片都有两个盘面（side ） ，即上、 下盘面， 一般每个盘面都利用上，即都装上磁头可以存储数据，成为有效盘片， 也有极个别的硬盘其盘面数为单数。每一个这样的有效盘面都有一个盘面号，按顺序从上而下自“0”开始依次编号。在硬盘系统中，盘面号又叫磁头号，就是因为每一个有效盘面都有一个对应的读写磁头。硬盘的盘片组在214 片不等，通常有23 个盘片，故盘面号（磁头

3、号）为03 或 05。精品学习资料 可选择p d f - - - - - - - - - - - - - - 第 1 页，共 22 页 - - - - - - - - -2）磁道：磁盘在格式化时被划分成许多同心圆，这些同心圆轨迹叫做磁道（track ） 。磁道从外向内自0 开始顺序编号。 硬盘的每一个盘面有3001024 个磁道， 新式大容量硬盘每面的磁道数更多，如图2-24 所示。信息以脉冲串的形式记录在这些轨迹中，这些同心圆不是连续记录数据， 而是被划分成一段段的圆弧，由于径向长度不一样，这些圆弧的角速度一样，而线速度不一样， 外圈的线速度较内圈的线速度大，即同样的转速下， 外圈在同样时间

4、段里，划过的圆弧长度要比内圈划过的圆弧长度大。每段圆弧叫做一个扇区，扇区从“1”开始编号，每个扇区中的数据是作为一个单元同时读出或写入的。一个标准的3.5 英寸硬盘盘面通常有几百到几千条磁道。这些磁道是看不见的，它们只是盘面上以特殊形式磁化了的一些磁化区。这些磁道是在磁盘格式化时就规划好了的。3）柱面：所有盘面上的同一磁道构成一个圆柱，通常称作柱面（cylinder ） ，每个圆柱上的磁头，由上而下从“0”开始编号。数据的读写是按柱面进行的，即磁头在读写数据时首先在同一柱面内从“0”磁头开始进行操作，依次向下在同一柱面的不同盘面即磁头上进行操作，只在同一柱面所有的磁头全部读写完毕后才移动磁头转

5、移到下一柱面，即数据的读/ 写是按柱面来进行的，而不是按盘面来进行的。也就是说， 一个磁道已写满数据，就在同一柱面的下一个盘面来写，一个柱面写满后，才移到下一个柱面。4）扇区：操作系统是以扇区（sector ）形式将信息存储在硬盘上的。每个扇区包括512 字节的数据和一些其他信息。一个扇区有两个主要部分：即存储数据地点的标识符和存储数据的数据段。三、寻址方式1、c/h/s 寻址方式c：柱面号（最大10 位） ；h：磁头号（最大6 位） ；s：扇区号（最大6 位） ，其中扇区数从 1 编号，其它从0 编号，用三个参数唯一定位。2、lba 寻址方式lba 寻址方式下从0 开始给扇区线性编号，一直编

6、到整块硬盘的最后一个扇区。显然线性地址是物理扇区的逻辑地址。3、c/h/s 和 lba 之间的转换1）读写规则要了解从 c/h/s 到 lba 线性地址的转换规则。由于系统在写入数据时是按照从柱面到柱面的方式， 在上一个柱面写满数据后才移动磁头到下一个柱面，并从下一柱面的第一个磁头的第一个扇区开始写入，从而使磁盘性能最优，所以， 在对物理扇区进行线性编址时，也按照这种方式进行。即把第一柱面（0 柱）第一磁头（0 面）的第一扇区（1 扇区）编为逻辑“ 0” 扇区，把第一柱面（0 柱）第一磁头（0 面）的第二扇区（2 扇区）编为逻辑“ 1” 扇区，直至第一柱面（0 柱）第一磁头（0 面）的第63

7、扇区（ 63 扇区）编为逻辑“ 62” 扇区，然后转到第一柱面（0 柱）第二磁头（1 面）的第一扇区（1 扇区），接着上一面编为逻辑“ 63” 扇区， 0 柱面所有扇区编号完毕后转到1柱面的 0 磁头 1 扇区，依次往下进行，直至把所有的扇区都编上号。2）从 c/h/s 到 lba 通过对编号规则的介绍，很容易看出c/h/s 与 lba 地址的对应关系。用c 表示当前柱面号， h 表示当前磁头号，s 表示当前扇区号，cs 表示起始柱面号，hs 表示起始磁头号，ss表示起始扇区号，ps表示每磁道有多少个扇区，ph 表示每柱面有多少个磁道，则有：lba= （c cs） phps+（h hs） ps

8、+（ s ss）（1）精品学习资料 可选择p d f - - - - - - - - - - - - - - 第 2 页，共 22 页 - - - - - - - - -一般情况下，cs=0，hs=0，ss=1，ps=63，ph=255，lba 计算如下：c/h/s=0/0/1 ，代入（ 1）式中可得lba=0 c/h/s=0/0/63 ，代入（ 1）式中可得lba=62 c/h/s=0/1/1 ，代入（ 1）式中可得lba=63 c/h/s=220/156/18 ，代入（ 1）式中可得lba=3544145 3）从 lba 到 c/h/s 先介绍两种运算div 和 mod （这里指对正整数的

9、操作）。div 称做整除运算，即被除数除以除数所得商的整数部分。比如，5 div 2=2 ，33 div 5=6 ；mod 运算则是取商的余数。比如， 5 mod 2=1 ，33 mod 5=3 。div 和 mod 是一对搭档，一个取整数部分，一个取余数部分。各变量仍按上述假设进行，则有：c=lba div （phps）+cs h=（lba div ps） mod ph +hs （2）s=lba mod ps +ss 如果不运用mod 运算符，只运用div 运算符，也可按式（3）进行转换，两者的结果相同，只是运算的复杂度不同。c=lba div （phps）+cs h=lba div ps

10、（c cs） ph +hs （3）s=lba （c cs） ph ps （h hs） ps+ss 按照这个规律，则有：lba=0 ，相应地， c/h/s=0/0/1 lba=62 ，相应地， c/h/s=0/0/63 lba=63 ，相应地， c/h/s=0/1/1 lba=3544145 ，相应地， c/h/s=220/156/18 四、引导扇区（ mbr）mbr ，即主引导记录区，位于整个硬盘的0 磁道 0 柱面 1 扇区。在总共512 字节的主引导扇区中， mbr 的引导程序占用其中的前446 个字节（偏移0偏移 1bdh ） ，随后的 64个字节（偏移1beh偏移 1fdh）为 dpt

11、 （disk partition table，硬盘分区表） ，最后的两个字节 “ 55 aa ” （偏移 1feh偏移 1ffh）是分区有效结束标志。由它们共同构成硬盘主引导记录，也称主引导扇区。精品学习资料 可选择p d f - - - - - - - - - - - - - - 第 3 页，共 22 页 - - - - - - - - -图 2（mbr ）其中，硬盘分区表中的每16 个字节被称为分区表项，一个分区表项管理一个分区。在分区表项内：第 1 个字节为80 的表示被激活，为00 的表示未被激活。第 2 个字节为 c/h/s 模式下起始磁头号。第 3 个字节为 c/h/s 模式下起始

12、扇区号。第 4 个字节为 c/h/s 模式下起始柱面号。第 6 个字节为 c/h/s 模式下结束磁头号。第 7 个字节为 c/h/s 模式下结束扇区号。第 8 个字节为 c/h/s 模式下结束柱面号。其中，第 3、4个字节结合， 扇区号为 6 位，柱面号为10 位 （占用第3 个字节的高两位） 。第 5 个字节为分区类型：若值为01 表示是 fat12 格式；若值为04 表示是小于32m 的fat16 格式；若值为06 表示是大于32m 的 fat16 格式；若值为0b 或 0c 表示是 fat32 格式；若值为07 表示是ntfs 格式；若此分区表项为扩展分区，则第5 个字节的值应为05精品

13、学习资料 可选择p d f - - - - - - - - - - - - - - 第 4 页，共 22 页 - - - - - - - - -或 0f，05 为小于 8.4g，0f 为大于 8.4g。从第 9 个字节开始为lba 寻址方式下的管理。第912 字节为当前分区的起始扇区号。第 1216 字节为当前分区的大小（分区所包含的扇区数）。五、扩展分区（ ebr）如何在一个硬盘中来划分扩展分区呢？1） 在第一个扇区（引导扇区）中的第一个分区表项上填写主分区信息。2）在第二个分区表项上的第5 个字节上填写05 或 0f，则证明此分区为一个扩展分区，此时这个分区为主扩展分区。如果在这个扩展分区

14、上在划分扩展分区的话，则找到这个扩展分区的第一个扇区（ebr ） ，重复上述两个步骤，所得到的是次扩展分区，以此类推。图 3（ebr）精品学习资料 可选择p d f - - - - - - - - - - - - - - 第 5 页，共 22 页 - - - - - - - - -下面是一块硬盘的数据组织结构：图 4六、操作系统引导记录区（dbr）进入一个分区的内部，第一个扇区就是dbr （dos boot record） 。它包括一个引导程序和一个被称为bpb（bios parameter block ）的本分区参数记录表。引导程序的主要任务是，当 mbr 将系统控制权交给它时，判断本分区根

15、目录前两个文件是不是操作系统的引导文件。 bpb 参数块记录着本分区的起始扇区、结束扇区、文件存储格式、硬盘介质描述符、根目录大小、 fat 个数，分配单元大小等重要参数。第 1、2 字节如果为eb 58 则表示跳转58 个字节，则跳到5a。从 5a 开始到 55 aa 之间为引导数据。从 3 到 a 为厂家和格式化版本。从 b 到 59 为 bpb 参数：bc 为每扇区的字节数。d 为每簇的扇区数。ef 为 dbr 所保留的扇区数。10 为 fat 表的个数。15 为媒体描述符（f8 为硬盘）。18 和 19 为每磁道扇区数。2023 为记录本分区的大小。2427 记录 fat 表的大小（可

16、确定根目录的位置）。2c2f 记录根目录的起始簇号。30 为文件信息系统所在的扇区。32 为 dbr 的备份的扇区号。3334 保留。40 为 bios 下记录媒体方式（80 表示硬盘）。42 为扩展引导标志（是固定值28 或 29） 。5256 为版本号。精品学习资料 可选择p d f - - - - - - - - - - - - - - 第 6 页，共 22 页 - - - - - - - - -图 5（c 盘的 dbr，fat 格式）图 5 为用 winhex打开整个硬盘后通过mbr 经过扇区计算后得到的c 盘 dbr 地址。精品学习资料 可选择p d f - - - - - - -

17、- - - - - - - 第 7 页，共 22 页 - - - - - - - - -图 6（c 盘的 dbr，fat 格式）图 6 为用 winhex直接打开c 盘后显示的dbr ，两个图是一样。七、fat 文件系统1、格式化1）低级格式化 测试硬盘介质； 为硬盘划分磁道； 为硬盘的每个磁道按指定的交叉因子间隔安排扇区； 将扇区 id 放置到每个磁道上，完成对扇区的设置； 对磁盘表面进行测试，对已损坏的磁道和扇区做“ 坏” 标记； 给硬盘中的每个扇区写入某一ascii 码字符。精品学习资料 可选择p d f - - - - - - - - - - - - - - 第 8 页，共 22 页

18、- - - - - - - - -2）高级格式化从各个逻辑盘指定的柱面开始，对扇区进行逻辑编号（分区内的编号）。在基本分区上建立dos 引导记录（ dbr ） ，若命令中带有参数“ /s” 则装入dos的三个系统文件。在各个逻辑盘建立文件分配表（fat） 。建立根目录对应的文件目录表（fdt）及数据区。对于 fat16 和 fat32 文件系统（ ntfs 采用不同的文件管理技术，另做介绍），硬盘上的数据按照其不同的特点和作用大致可分为5 部分：mbr 区、dbr 区、fat 区、dir 区和 data区。其中， mbr 由分区软件创建，而dbr 区、fat 区、 dir 区和 data 区由

19、高级格式化程序创建。文件系统写入数据时只是改写相应的fat 区、 dir 区和 data 区。2、 fat32 文件系统1）fat32 文件系统将逻辑盘的空间划分为三个部分，依次是引导区（boot 区） 、文件分配表区（ fat 区）和数据区（data 区） 。引导区和文件分配表区又合称为系统区。2）引导区从第一扇区开始，使用三个扇区（实际只使用了第一个扇区，但第二和第三个扇区也写入了 “ 55 aa ” 标志） ，保存有该逻辑盘每扇区字节数，每簇对应扇区数等重要参数和引导记录。之后还留有若干个保留扇区，两者共占用32 个扇区。而fatl6 文件系统的引导区一般只占用一个扇区，没有保留扇区。3

20、）文件分配表区保存有两个相同的文件分配表，因为文件所占用的存储空间（簇链）及空闲空间的管理都通过fat 来实现， fat 是如此的重要，所以系统保存两个以便第一个损坏时，还有第二个备用。文件系统对数据区的存储空间是按簇进行划分和管理的，簇是空间分配和回收的基本单位，即一个文件总是占用若干个整数簇，文件所使用的最后一簇剩余的空间不再使用。4）fat32 系统一簇对应8 个逻辑相邻的扇区，理论上，这种用法所能管理的逻辑盘容量上限为 16tb（ 16 384gb） ，容量大于16tb 时，可以用一簇对应16 个扇区，依此类推。但是，对于容量小于512mb 的盘，采用fat32 虽然一簇为8 个扇区，

21、比使用fatl6 一簇 16 个扇区，簇有所减小，但fat32 的 fat 表较大，占用空间较多，总数据区被减少，两者相抵，实际并不能增加有效存储空间，所以微软建议对小于512mb的逻辑盘不宜使用fat32。5）根目录区（root 区）不再是固定区域、固定大小，可看做是数据区的一部分。因为根目录已改为根目录文件，采用与子目录文件相同的管理方式，一般情况下从第二簇开始使用，大小视需要增加，因此根目录下的文件数目不再受最多512 个的限制。 fatl6 文件系统的根目录区（ root 区）是固定区域、固定大小，占用fat 区之后紧接着的32 个扇区，最多保存 512 个目录项，是系统区的一部分。6

22、）目录区中的文件目录项变化较多。一个目录项仍占用32 字节，可以是文件目录项、子目录项、卷标项（仅根目录有）、已删除目录项、长文件名目录项等。目录项中原来在dos下保留未用的10 个字节都有了新的定义，全部32 个字节的定义如下。第 07 字节，文件名。第 810 字节，文件扩展名。第 11 字节，文件属性，按二进制位定义，最高两位保留未用，0 至 5 位分别是只读位、隐藏位、系统位、卷标位、子目录位、归档位，当只读位、隐藏位、系统位、卷标位全为1，其他位全为0，即 11 字节为 “0fh ” 时表示该项为长文件名记录项。第 1213 字节，仅长文件名目录项有效，用来存储其对应的短文件名目录项

23、的文件名字节校验和。第 1315 字节， 24 位二进制文件建立时间，其中高5 位为小时，次6 位为分钟，再次精品学习资料 可选择p d f - - - - - - - - - - - - - - 第 9 页，共 22 页 - - - - - - - - -5 位的倍数为秒，最后8 位为单位精确到10 毫秒的创建秒数。第 1617 字节， 16 位二进制文件建立日期，其中高7 位为相对于1980 年的年份值，次 4 位为月份，后5 位为月内日期。第 1819 字节， 16 位二进制文件最新访问日期，定义同16 17 字节。第 2021 字节，起始簇号的高16 位。第 2223 字节， 16 位

24、二进制文件最新修改时间，其中高5 位为小时，次6 位为分钟，后 5 位的倍数为秒数。第 2425 字节， 16 位二进制文件最新修改日期，定义同16 17 字节。第 2627 字节，起始簇号的低16 位。第 2831 字节， 32 位文件字节长度。其中 1219 字节为以后陆续定义。所有字节的意义如下：图 7 下面图8 是文件目录项的起始扇区，也是data 区的起始位置，它的寻找方式是：先通过mbr 中的分区表项中的第912 字节的值确定dbr 的位置（本案例值为00 00 00 3f，换算成十进制为63） 。然后跳到第63 扇区找到dbr ，先看第10 个字节的值（本案例值为02，说明有两个

25、fat 表） ， 再看第 ef 字节的值 （其值为dbr 的保留扇区数， 此案例值为00 26，换算成十进制为38） ， 再看第 2427 字节的值 （其值为记录fat 表的大小， 此案例值为00 00 27 0d，换算成十进制为9997） 。这样， data 区的起始位置是：mbr 的保留扇区数 +dbr精品学习资料 可选择p d f - - - - - - - - - - - - - - 第 10 页，共 22 页 - - - - - - - - -的保留扇区数 +fat 表的大小 2=63+38+9997 2=20095，因此， data 区的起始位置是第20095 扇区。图 8（fdt

26、）下面图 9 是 fat 表的起始位置：精品学习资料 可选择p d f - - - - - - - - - - - - - - 第 11 页，共 22 页 - - - - - - - - -图 9（fat）下面图 10 是 fat 表中每个簇号可取的表项值及其含义：图 10 下面图 11 展示了各个区域的逻辑关系：精品学习资料 可选择p d f - - - - - - - - - - - - - - 第 12 页，共 22 页 - - - - - - - - -图 11 八、ntfs 文件系统ntfs 是在 1993 年随着 windows nt 的第一个版本推出而面世的，是一个性能优良的文件

27、系统。 ntfs 基于可恢复文件结构而设计，它可使用户数据文件不会有丢失或毁坏的危险，适用于一些要求安全性高、而且在磁盘上存储远远大于fat 文件系统所能处理的巨型文件等场合。与fat 相同， ntfs 也使用“簇”作为最小的分配单位。簇的大小，也称为簇因子，由 ntfs 格式化程序确定。ntfs支持的簇大小为512，1024，2048 和 4096 个字节。ntfs 只与簇有关，与物理扇区的大小无关。1、 ntfs 中的 dbr 第 bc 字节：每扇区字节数。第 d 字节：每簇占几个扇区。第 2427 字节：固定值80 00 80 00。第 282f 字节：分区大小。第 3037 字节： $

28、mft 文件起始簇号。第 383f 字节：镜像 $mft 文件起始簇号。说明： dbr 的备份不再这个分区内，格式化时留一个扇区备份。精品学习资料 可选择p d f - - - - - - - - - - - - - - 第 13 页，共 22 页 - - - - - - - - -图 12（d 盘的 dbr ，ntfs 格式）2、$mft 文件在 ntfs 中，磁盘上的任何事物都为文件。在文件中存储一切使得文件系统很容易定位和维护数据。文件通过主文件表（mft ）来确定其在磁盘上的存储位置。主文件表是一个与文件相对应的数据库，有一系列文件记录组成卷中每一个文件都有一个文件记录（对于大型文件还

29、有可能多个记录与之相对应）。主文件表自身也有它自己的文件记录。mft 中的文件记录大小一般是固定的，是 1kb 。 文件记录在mft 文件记录数组中物理上是连续的，且从 0 开始编号。 mft 仅供系统本身组织、架构文件系统使用，这在ntfs 中成为元数据（matadata，使存储在卷上支持文件系统格式管理的数据。它不能被应用程序访问，只能为系统提供服务） 。其中最基本的前16 个记录是操作系统使用的非常重要的元数据文件。这些元数据文件的名字都以“$”开始，所以是隐藏文件。精品学习资料 可选择p d f - - - - - - - - - - - - - - 第 14 页，共 22 页 - -

30、 - - - - - - -序号元 文 件功能0 $mft 主文件表本身1 $mftmirr 主文件表的部分镜像2 $logfile 日志文件3 $volume 卷文件4 $attrdef 属性定义列表5 $root 根目录6 $bitmap 位图文件7 $boot 引导文件8 $badclus 坏簇文件9 $secure 安全文件10 $upcase 大写文件11 $extend metadata directory 扩展元数据目录12 $extend$reparse 重解析点文件13 $extend$usnjrnl 变更日志文件14 $extend$quota 配额管理文件15 $exte

31、nd$objid 对象 id 文件1623 保留23+ 用户文件和目录我们先把图12 中第 3037 字节的值（ 00 00 00 00 00 0c 00 00）换算成十进制的值为786432，因为是簇号所以要乘以8，7864328=6291456，跳到6291456 扇区，这是 $mft文件的起始扇区。精品学习资料 可选择p d f - - - - - - - - - - - - - - 第 15 页，共 22 页 - - - - - - - - -图 13（mft ）精品学习资料 可选择p d f - - - - - - - - - - - - - - 第 16 页，共 22 页 - -

32、- - - - - - -图 14（mft 续）1） 头四个字节46 49 4c 45（固定） 为一个文件记录的起始标志。一个文件记录管理一个文件，占用1k 空间（ 2 个扇区）。2)第 1415 个字节记录第1 个属性起始的偏移（位置），属性前面为文件记录头。3)在一个属性内部第 14 个字节：属性的id ，如果id=10 为标准信息属性=30 为文件名属性=80 为数据属性=b0 为位图属性4）数据属性第 1724 个字节：起始vcn （虚拟簇号） 。第 3334 个字节： run list 起始位置。（data run ：连续簇）精品学习资料 可选择p d f - - - - - - -

33、 - - - - - - - 第 17 页，共 22 页 - - - - - - - - -第 4148 个字节：文件属性体的分配大小。第 4956 个字节：文件属性体的实际大小（字节数）。第 5764 个字节：文件属性体的初始大小。对 run list 的说明：在 run list 的起始位置，第1 个字节高位和地位相加，如第1 个字节为11 则后面连续 2 位为 1 个 run 。第 2个字节为文件所占连续簇的个数。第 3个字节为文件的起始簇号。 如第 1 个字节为31 则后面连续4 位为 1 个 run 。第 2个字节为文件所占连续簇的个数。第 35 个字节为文件的起始簇号。 再往后如果

34、是00，则证明此文件为1 个 run ，不是 00 接下来为第2 个 run 附录： ntfs常用属性表文件记录可能的属性类型操作系统名称0x10标准信息0x20属性列表0x30文件名0x40 nt 卷版本0x402k 对象 id0x50安全描述符0x60卷名0x70卷信息0x80数据0x90索引根0xa0索引分配0xb0位图0xc0 nt 符号连接0xc02k 重解析点0xd0扩展信息0xe0扩展0xf0 nt 特权设置0x1002k 日志流mft 文件记录头部结构布局精品学习资料 可选择p d f - - - - - - - - - - - - - - 第 18 页，共 22 页 - -

35、- - - - - - -偏移长度描述0x0 4 固定值，一定是“file”0x4 2 更新序列号的偏移0x6 2 更新序列号与更新数组以字为单位大小（s）0x8 8 日志文件序列号（每次记录被修改，都将导致该序列号加1）0x10 2 序列号（用于记录本文件记录被重复使用的次数，每次文件删除时加1，跳过 0 值，如果为 0，则保持为0）0x12 2 硬连接数，只出现在基本文件记录中，目录所含项数要使用到它0x14 2 第一个属性流的偏移地址0x16 2 标志字节， 1 表示记录使用中，2 表示该记录为目录0x18 4 文件记录实际大小（填充到8 字节，即以8 字节为边界）0x1c 4 文件记录

36、分配大小（填充到8 字节，即以8 字节为边界）0x20 8 所对应的基本文件记录的文件参考号（扩展文件记录中使用，基本文件记录中为0，在基本文件记录的属性列表0x20 属性存储中扩展文件记录的相关信息）0x28 2 下一个自由id 号，当增加新的属性时，将该值分配给新属性，然后该值增加，如果mft记录重新使用，则将它置0，第一个实例总是0 0x2a 2 边界， windows xp 中使用，也就是本记录使用的两个扇区的最后两个字节的值0x2c 4 windows xp中使用，本mft记录号2 更新序列号2s-2 更新序列数组标准属性的属性头结构偏移大小值描述0x0040x10 属性类型（ 10

37、，标准属性）0x0440x60 总长度（包括头部本身）0x0810x00非常驻标志 (1 表示非常驻 )0x0910x00属性名的名称长度0x0a20x18属性名的名称偏移0x0c20x00标志（似乎已经不再使用，统一放在文件属性中）0x0e2属性 id （此处的属性id 不是指与 0x10 同级别的属性，应该是指下一级属性，如多数据流，每个数据流属性都有一个属性id，但都是数据流属性0x80）0x104l属性体长度（ l）0x1420x18属性内容起始偏移0x161索引标志0x1710x00填充0x18l从此处开始，共l 字节为属性精品学习资料 可选择p d f - - - - - - -

38、- - - - - - - 第 19 页，共 22 页 - - - - - - - - -标准属性的属性体结构偏移大小操作系统描述标准属性头（已经分析过）0x008c time 文件创建时间0x088a time 文件修改时间0x108m time mft 变化时间0x188r time 文件访问时间0x204文件属性（按照dos术语来称呼，都是文件属性）0x244文件所允许的最大版本号（0 表示未使用）0x284文件的版本号（最大版本号为0，则也为 0）0x2c4类 id（一个双向的类索引）0x3042k所有者 id（表示文件的所有者，是文件配额 $quota 中$o和$q索引的关键字 ，为 0 表示未使用磁盘配额）0x3442k安全 id 是文件 $secure 中$sii 索引和 $sds数据流的关键字，注意不要与安全标识相混淆0x3882k本文件所占用的字节数，它是文件所有流占用的总字