分析NTFS文件系统得到特定文件的内容

找某一个文件的内容（如要读取文件D:\dir\dir2\text.txt，详细过程例如以下：

（1）读取分区表/分区链表信息，找到磁盘F的起始扇区。

（2）读取D盘的第一个扇区（分区的BOOTSETOR）取得分区的每簇大小，MFT表起始簇号等信息。

（3）读取MFT表的第五个记录（根文件夹）找到文件夹索引所在簇号。

（4）读取根文件夹索引，查找dir文件夹所在的MFT记录号

（5）读取dir文件夹的MFT记录，找到文件夹索引所在簇号。

（6）读取dir文件夹的索引，查找dir2文件夹所在MFT记录号

（7）读取dir2文件夹的MFT记录。找到文件夹索引所在簇号。

（8）读取dir2文件夹的索引，查找test.txt 所在MFT记录号

（9）读取test.txt文件的MFT记录。找到它的DATA属性。

（10）依据DATA属性中指定的文件数据存放位置读取出test.txt文件的数据。

以下我们借助工具Winhex来找到D:\dir\dir2\text.txt的内容

1.读取分区表/分区链表信息。找到磁盘F的起始扇区。

打开磁盘0号扇区

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvbGl5dW4xMjNneA==/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="">

红线部分是D分区的信息。蓝色方框内是D分区的物理起始扇区 0XEA58BC。

2.读取D盘的第一个扇区（分区的BOOTSETOR）取得分区的每簇大小，MFT表起始簇号等信息。

打开物理扇区号为0XEA58BC的扇区，例如以下图，红线是每簇的扇区数（0X1，每簇一个扇区）。

蓝线部分是$MFT的逻辑簇号（0X00 00 00 00 02 0A F3，是相对于D分区開始的簇号）

紫线部分是一个MFT记录所占的簇数（0X00 00 00 02）

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvbGl5dW4xMjNneA==/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="">

3.读取MFT表的第五个记录（根文件夹）找到文件夹索引所在簇号。

打开$MFT表，相对于D分区的簇号是0X00 00 00 00 02 0A F3，相对于整个磁盘的簇号是 0XEA58BC + 0X00 00 00 00 02 0A F3 = 0XEC63AF。

由于从D分区第一个扇区得到每簇扇区数是1，所以$MFT在D分区的偏移是0X020AF3扇区。

每一个MFT记录所占簇数是2。根文件夹是MFT中的第5个记录（记录从0開始的），根文件夹的MFT记录项所在的簇数是 0X020AF3 + 5 * 2 = 0X20AFD。

所在扇区数是 0X20AFD *每簇扇区数1 = 0X20AFD

4.读取根文件夹索引，查找dir文件夹所在的MFT记录号

打开D分区偏移扇区0X20AFD，找到属性0X90。在0415FB80一行，偏移0X08是0X01，说明是很驻属性，得到Data run, 31 08 BB 10 03,即在D分区偏移簇数0X0310BB，长度是0X8簇。

查看D分区偏移簇号0X0310BB，会看到根文件夹下的索引项，当中可看到$AttrDef,$BadClus,$Bitmap,$Boot等系统文件的索引项。

找到dir的索引项。例如以下图，红框部分是本索引项的名称dir。

前8字节是文件的MFT索引记录号（前6个字节48位是父文件夹的文件记录号。0X0375，后2个字节为序列号）

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvbGl5dW4xMjNneA==/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="">

5.读取dir文件夹的MFT记录，找到文件夹索引所在簇号。

以下计算dir 的MFT表项在$MFT中的簇号：

一个MFT表项占两个簇，第0X0375项是相对于$MFT的第0X0375*2= 0X6EA簇，也就是相对于D分区的第 0X02 0A F3 + 0X6EA = 0X211DD簇（扇区是0X211DD）

6.读取dir文件夹的索引，查找dir2文件夹所在MFT记录号

打开扇区0X211DD，例如以下图。

0423BB00一行。偏移0位置是0X00。说明是常驻属性，从紫色框中得到dir2的MFT记录项的记录号是0X0376

7.读取dir2文件夹的MFT记录，找到文件夹索引所在簇号。

如今来确定dir2的MFT记录项所在的簇数

$MFT開始簇数 + 0X0376*每记录簇数

0X020AF3 + 0X0376 *2 = 0X211DF

8.读取dir2文件夹的索引，查找test.txt 所在MFT记录号

打开D分区偏移 0X211DF 簇

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvbGl5dW4xMjNneA==/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="">

可看到test.txt 的MFT记录号是 0X0377

9.读取test.txt文件的MFT记录，找到它的DATA属性。

得到test.txt 的MFT记录项在D分区的偏移簇号

=$MFT表的偏移簇数 + test.txt记录号*每MFT记录簇数

=0X020AF3 + 0X0377 *2

= 0X211E1(簇号)

= 0X211E1(扇区号)

打开0X211E1(扇区号)：

从0x30文件名称属性能够看到test.txt的文件名称。

0X80数据属性中能够得到文件内容

10.依据DATA属性中指定的文件数据存放位置读取出test.txt文件的数据。

从0X80数据属性中能够知道此属性是常驻属性。直接看到test.txt的文件内容，“This is test for NTFS!”.

另外，假设我继续向test.txt 写入数据。DATA属性中的数据会添加。下图中红线之间的数据是后来添加的。

可是当文件内容在增多时。0X80数据属性从常驻属性改为很驻属性，文件内容不会直接存储在此属性中。而是其它簇中，依据Data run能够定位到。

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvbGl5dW4xMjNneA==/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="">

OX80数据属性。0X01说明是很驻属性。

Data run，31 02 4C 0D 01;说明内容从分区偏移簇号0X010D4C開始。长度是0X02个簇。

打开簇号是0X010D4C的扇区，能够看到test.txt的文件内容：

（本文如有错误。请指正。多谢。）