底层数据恢复网概述
每个MFT 文件记录从属性开始建立, 在$AttrDef中定义了下列一些可能的属性。
| 类型 | 操作系统 | 名称 |
|---|---|---|
| 0x10 | 标准信息 ($STANDARD_INFORMATION) | |
| 0x20 | 属性列表 ($ATTRIBUTE_LIST) | |
| 0x30 | 文件名 ($FILE_NAME) | |
| 0x40 | NT | 卷版本 ($VOLUME_VERSION) |
| 0x40 | 2K | 对象标识符 ($OBJECT_ID) |
| 0x50 | 安全描述符 ($SECURITY_DESCRIPTOR) | |
| 0x60 | 卷名 ($VOLUME_NAME) | |
| 0x70 | 卷信息 ($VOLUME_INFORMATION) | |
| 0x80 | 数据 ($DATA) | |
| 0x90 | 根索引 ($INDEX_ROOT) | |
| 0xA0 | 分支索引 ($INDEX_ALLOCATION) | |
| 0xB0 | 位图 ($BITMAP) | |
| 0xC0 | NT | 符号链接 ($SYMBOLIC_LINK) |
| 0xC0 | 2K | 修复点 ($REPARSE_POINT) |
| 0xD0 | $EA_INFORMATION | |
| 0xE0 | $EA | |
| 0xF0 | NT | 所有权设置 ($PROPERTY_SET) |
| 0x100 | 2K | 日志作用流 ($LOGGED_UTILITY_STREAM) |
注意
其他信息
所有权设置,符号链接和卷版本在NTFSV1.2中存在但不使用,在NTFSv3.0中不再存在(由win2k调用)。
每个MFT记录有一个标准标题,然后是属性列表(以属性标识符上升排序)和一个结束标记。这个结束标记只有4个字节:0xFFFFFFFF
评论前必须登录!
注册