详解NTFS文件系统

一、分析NTFS文件系统的结构

当用户将硬盘的一个分区格式化为NTFS分区时，就建立了一个NTFS文件系统。NTFS文件系统同FAT32文件系统一样，也是用“簇”为存储单位，一个文件总是占用一个或多个簇。

NTFS文件系统使用逻辑簇号（LCN）和虚拟簇号（VCN）对分区进行管理。

逻辑簇号：既对分区内的第一个簇到最后一个簇进行编号，NTFS使用逻辑簇号对簇进行定位。

虚拟簇号：既将文件所占用的簇从开头到尾进行编号的，虚拟簇号不要求在物理上是连续的。

NTFS文件系统一共由16个“元文件”构成，它们是在分区格式化时写入到硬盘的隐藏文件（以”$”开头），也是NTFS文件系统的系统信息。

NTFS的16个元文件介绍：

首先找到该分区的起始扇区，具体可以参考MBR分区结构、DPT分区表、EBR扩展引导这篇文章。

二、分析$Boot文件

$Boot元文件由分区的第一个扇区（既DBR）和后面的15个扇区（既NTLDR区域）组成，其中DBR由“跳转指令”、“OEM代号”、“BPB”、“引导程序”和“结束标志”组成，这里和FAT32文件系统的DBR一样。下图是一个NTFS文件系统完整的DBR。

下面我们分析一下DBR中的各参数

EB 58 90：（跳转指令）本身占2字节它将程序执行流程跳转到引导程序处。

“EB 58 90″清楚地指明了OS引导代码的偏移位置。jump 52H加上跳转指令所需的位移量，即开始于0×55。

4E 54 46 53 20 20 20 20:(OEM代号)这部分占8字节，其内容由创建该文件系统的OEM厂商具体安排。为“NTFS”。

BPB：NTFS文件系统的BPB从DBR的第12个字节开始，占用73字节，记录了有关该文件系统的重要信息，下表中的内容包含了“跳转指令”、“OEM代号”以及“BPB”的参数。

对照上面的BPB分析如下：

02 00：每个扇区512个字节

08：每个簇8个扇区

00 00：保留扇区为0

00 00 00：为0

00：不使用

F8：为硬盘

00 00：为0

00 3F：每磁道63个扇区

00 FF：每柱面255个磁头

00 00 00 3F：隐藏扇区数（MBR到DBR）

00 00 00 00：不使用

80 00 80 00：不使用

00 00 00 00 0C 80 33 FF：扇区总数209728511

00 00 00 00 00 00 00 03：$MFT的开始簇号

00 00 00 00 00 85 57  80：$MFTmirr的开始簇号

00 00 00 F6：每个MFT记录的簇数

00 00 00 01：每索引的簇数

B8 11 2A 0C B8 11 2A 0C：分区的逻辑序列号

引导程序：DBR的引导程序占用426字节，其负责完成将系统文件NTLDR装入，对于没有安装系统的分区是无效的。

结束标志：DBR的结束标志与MBR，EBR的结束标志相同，为“55 AA”。

三、分析$MFT元文件

在NTFS文件系统中，磁盘上的所有数据都是以文件的形式存储，其中包括元文件。每个文件都有一个或多个文件记录，每个文件记录占用两个扇区，而$MFT 元文件就是专门记录每个文件的文件记录。由于NTFS文件系统是通过$MFT来确定文件在磁盘上的位置以及文件的属性，所以$MFT是非常重要 的，$MFT的起始位置在DBR中有描述。$MFT的文件记录在物理上是连续的，并且从0开始编号。$MFT的前16个文件记录总是元文件的，并且顺序是 固定不变的。

四、分析文件记录

1、文件记录的结构

文件记录由两部分构成，一部分是文件记录头，另一部分是属性列表，最后结尾是四个“FF”。如下是一个完整的文件记录：

在同一系统中，文件记录头的长度和具体偏移位置的数据含义是不变的，而属性列表是可变的，其不同的属性有着不同的含义。后文将对属性进行具体分析，先来看看文件记录头的信息。

在NTFS文件系统中所有与文件相关的数据结构均被认为是属性，包括文件的内容。文件记录是一个与文件相对应的文件属性数据库，它记录了文 件的所有属性。每个文件记录中都有多个属性，他们相对独立，有各自的类型和名称。每个属性都由两部分组成，既属性头和属性体。属性头的前四个字节为属性的 类型。如下是以10H属性为例的属性结构。

另外属性还有常驻与非常驻之分。当一个文件很小时，其所有属性体都可以存放在文件记录中，该属性就称为常驻属性。如果某个文件很大，1KB的文件记 录无法记录所有属性时，则文件系统会在$MFT元文件之外的区域(也称数据流)存放该文件的其他文件记录属性，这些存放在非$MFT元文件内的记录就称为 非常驻属性。

分析属性的属性头

每个属性都有一个属性头，这个属性头包含了一些该属性的重要信息，如属性类型，属性大小，名字(并非都有)及是否为常驻属性等。

常驻属性的属性头分析表:

如下是非常驻属性的属性头分析表：

前面说过了，属性的种类有很多，因此各属性体的含义也不同。下表是NTFS文件系统中的所有属性体的简介。

接下来来看几个重要的属性：

分析10H属性：

10H类型属性它包含文件的一些基本信息，如文件的传统属性，文件的创建时间和最后修改时间和日期，文件的硬链接数等等。如下：是一个10H类型的属性。

其中偏移0×20处的文件属性解释如下：

分析20H属性

20H类型属性既属性列表，当一个文件需要好几个文件记录时，才会用到20H属性。20H属性记录了一个文件的下一个文件记录的位置。如下：是20H属性的解释。

分析30H属性

30H类型属，该属性用于存储文件名 ，它总是常驻属性。最少68字节，最大578字节，可容纳最大Unicode字符的文件名长度。

分析80H属性

80H属性是文件数据属性，该属性容纳着文件的内容，文件的大小一般指的就是未命名数据流的大小。该属性没有最大最小限制，最小情况是该属性为常驻属性。常驻属性就不做多的解释了，上面我标记的是一个非常驻的80H属性。

其中，Run List是最难理解，也是最重要的。当属性不能存放完数据，系统就会在NTFS数据区域开辟一个空间存放，这个区域是以簇为单位的。Run List就是记录这个数据区域的起始簇号和大小，一个Run List例子上所示。这个示例中，Run List的值为“12 41 47 03”，因为后面是00H，所以知道已经是结尾。如何解析这个Run List呢？ 第一个字节是压缩字节，高位和低位相加，1+2=3，表示这个Data Run信息占用三个字节，其中高位表示起始簇号占用多少个字节，低位表示大小占用的字节数。在这里，起始簇号占用1个字节，值为03，大小占用2个字节， 值为47 41。解析后，得到这个数据流起始簇号为3，大小为18241簇。

虽然数据不一样，但是表达的意思是一样的。

分析90H属性

90H属性是索引根属性，该属性是实现NTFS的B+树索引的根节点，它总是常驻属性。该属性的结构如下图：

索引根的结构如表：

索引头的结构如表：

索引项结构如表：

分析A0H属性

A0属性是索引分配属性，也是一个索引的基本结构，存储着组成索引的B+树目录索引子节点的定位信息。它总是常驻属性。如下：是一个A0H属性的实例。

根据上图A0H属性的“Run List”可以找到索引区域，偏移到索引区域所在的簇，如下图：

起始簇：18265

簇大小：3

起始扇区号 = 该分区的其实扇区 + 簇号 * 每个簇的扇区数     也就是

64 + 18265 * 8 = 146124

对了，上面的偏移0×28还要加上0×18 = 0×40.

标准索引头的解释如下：

索引项的解释如下：

到此一些常用属性基本介绍的差不多了。

下面来说下遍历一个分区下面文件列表的思路：

1、定位DBR，通过DBR可以得知“$MFT”的起始簇号及簇的大小。

2、定位“$MFT”，找到“$MFT”后，在其中寻找根目录的文件记录，一般在5号文件记录。

3、在90H属性中得到B+树索引的根节点文件信息，重点在A0属性上。通过属性中的“Run List”定位到其数据流。

4、从“Run List”定位到起始簇后，再分析索引项可以得到文件名等信息。

5、从索引项中可以获取“$MFT”的参考号，然后进入到“$MFT”找到对应的文件记录。

6、然后再根据80H属性中的数据流就可以找到文件真正的数据了。

原文链接：http://www.blogfshare.com/detail-ntfs-filesys.html

原著：alone monkey的博客