NTFS属性分析.ppt

  1. 1、本文档共24页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
NTFS属性分析

NTFS属性分析 MFT文件记录结构 主文件表的文件记录由记录头和属性列表组成,大小为1KB或一个簇大小。 属性列表长度可变,以“FF FF FF FF”结束。 对于1KB长度的MFT记录,属性列表的起始偏移为0x30 文件通过MFT来确定存储位置。MFT是一个对应的数据库,由一系列文件记录组成--卷中每个文件都有一个文件记录(大型文件可能有多个记录与之对应),其中第一个文件记录称为基本文件记录 MFT文件的MFT分析 MFT头 10H类型属性(标准属性信息) 30H类型属性(文件名属性) 80H类型属性(数据属性) B0H类型属性(位图属性) MFT结束标志 记录头的结构 每次记录修改都导致日志文件序列号($LogFile Sequence Number)变化 序列号(sn)用于记录主文件表记录被重复使用的次数 硬链接数记录硬链接数目,只出现在基文件记录中 文件记录的实际长度是文件记录在磁盘上实际占用的字节空间 基文件记录中的文件索引号,对于基本文件记录,其值为0,如果不为0,则是一个主文件表的文件索引号,指向所属的基本文件记录中的文件记录号,在基本文件记录中包含有扩展文件记录信息,储存在“属性列表”属性中 10属性 相对本属性起始地址,从偏移00H开始的四个字节表示类型,即属性名,这里是10H,在$AttrDef中,10H表示标准信息,所以,这里就是标准信息,前面已经介绍,所有的属性都有头部和属性值组成,标准属性也一样,有一个标准的属性头,其头部结构如表 从偏移00H开始的四个字节表示类型,即属性名,这里是10H,在SAttrDef中,10H表示标准信息; 从偏移04H开始的4个字节表示本属性长度,包括头部,这里是60H,即本属性长度为96个字节,从属性开始的38H算起,38H+60H=98H,所以下一个属性的起始偏移为98H。 从偏移08H开始的一个字节是非常驻标志,0表示本属性值常驻,1表示非常驻: 从偏移09H开始的1字节表示属性名长度,为0表示是$AttrDef中定义的标准属性; 从偏移0AH开始的两个字节表示名称相对于本属性起始地址的偏移值,由于名称长度为0,所以这里的值没有意义; 从偏移0CH开始的两个字节是标志字节;从偏移0EH开始的两个字节是标识字; 从偏移10H开始的四个字节表示常驻属性值的长度,此处为48H,表示属性部分占用48H,属性头为18H;属性值为48H,共计18H+48H=60H,是属性长度; 从偏移14H开始的两个字节表示相对属性起始地址的属性的起始偏移地址:从偏移16H开始的1个字节表示索引标志;从偏17H开始的字节为填充字节;从偏移18H开始的L(L为属性长度)个字节为属性字节,所使用的偏移是相对于属性内容起始偏移的偏移,即相对于属性头起始偏移0x18处,相对于整个文件记录偏移0x48处。 标准属性的结构 文件属性含义 时间日期域的意义 在本属性内从偏移18H开始,至偏移37H止,共20H个字节,即32个字节,分为4组,每组8个字节,分别表示创建时间、修改时间、最后的一次MFT更新时间和最后一次的访问时间,每8个字节按从低到高的顺序存储,即高位字节在后,如创建时间“E0 E3 E1 A0 66 E9 C3 0I”,应该是01C3E966A0E1E3E0H; 换算成I0进制所得到的结果为从1601-1-1开始的1秒数,即千万分之一的秒数; 如01 C3 E9 66 A0 E1 E3 E0H =127201841491600352D,此数乘以1得结果即为从1601-1-1开始秒数,这里是12720184149.1600352秒。 30属性(文件名) 标准属性之后的是文件名属性,文件名属性也一定是常驻属性,用于存储文件名。如$AttrDef中定义,其大小从68字节到578字节不等,与最大文件名为255个Unicode字符 文件名属性也由一个标准的属性头和可变长度的属性内容组成 文件名属性的属性头结构 文件名属性内容结构 文件标志含义 命名空间 将一个POSIX或Win32文件名转换成一个DOS友好的文件名,遵循以下步骤: 删除所有Unicode字符; 删除所有的“.”,保留最后但又不是第一个字符的“.”; 将所有字母转换成大写字母; 删除禁止使用的字符: 截断“.”之前的所有字符,使之只保留6个字符,然后加上“~1”; 截断“.”后3个字符以后的所有字符: 如果这样得到的文件名已经存在,将“~1”值递增,这也意味着,即使产生的DOS文件名是惟一的,也不能断定产生这个DOS名的Win32文件名是惟一的。 根据图可以知道,其文件名为Win32DOS类型,长为4个字符,从偏移0x42开 始,所以文件名为“24004D0046005400,因为是Unico

文档评论(0)

70后老哥 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档