NTFS常用属性表doc.docx
《NTFS常用属性表doc.docx》由会员分享,可在线阅读,更多相关《NTFS常用属性表doc.docx(18页珍藏版)》请在冰点文库上搜索。
NTFS常用属性表doc
NTFS元文件
序号
元文件
功能
0
$MFT
主文件表本身
1
$MFTMIRR
主文件表的部分镜像
2
$LOGFILE
日志文件
3
$VOLUME
卷文件
4
$ATTRDEF
属性定义列表
5
$ROOT
根目录
6
$BITMAP
位图文件
7
$BOOT
引导文件
8
$BADCLUS
坏簇文件
9
$SECURE
安全文件
10
$UPCASE
大写文件
11
$EXTENDMETADATADIRECTO
RY扩展元数据目录
12
$EXTEND\$REPARSE
重解析点文件
13
$EXTEND\$USNJRNL
变更日志文件
14
$EXTEND\$QUOTA
配额管理文件
15
$EXTEND\$OBJID
对象ID文件
16〜23
保留
23+
用户文件和目录
文件记录可能的属性
类型
操作系统
名称
0X10
标准信息
0X20
属性列表
0X30
文件名
0X40
NT
卷版本
0X40
2K
对象ID
0X50
安全描述符
0X60
卷名
0X70
卷信息
0X80
数据
0X90
索引根
0XA0
索引分配
0XB0
位图
0XC0
NT
符号连接
0XC0
2K
重解析点
0XD0
扩展信息
OXEO
扩展
OXFO
NT
特权设置
0X100
2K
日志流
MFT文件记录头部结构布局
偏移
长度
描述
0X0
4
固定值,一定是“FILE”
0X4
2
更新序列号的偏移
0X6
2
更新序列号与更新数组以字为单位大小(S)
0X8
8
日志文件序列号(每次记录被修改,都将导致该序列号加1)
0X10
2
序列号(用于记录本文件记录被重复使用的次数,每次文件删除时加1,
跳过0值,如果为0,则保持为0)
0X12
2
硬连接数,只岀现在基本文件记录中,目录所含项数要使用到它
0X14
2
第一个属性流的偏移地址
0X16
2
标志字节,1表示记录使用中,2表示该记录为目录
0X18
4
文件记录实际大小(填充到8字节,即以8字节为边界)
0X1C
4
文件记录分配大小(填充到8字节,即以8字节为边界)
0X20
8
所对应的基本文件记录的文件参考号(扩展文件记录中使用,基本文件
记录中为0,在基本文件记录的属性列表0X20属性存储中扩展文件记录的相关信息)
0X28
2
下一个自由ID号,当增加新的属性时,将该值分配给新属性,然后该值增加,如果MFT记录重新使用,则将它置0,第一个实例总是0
0X2A
2
边界,WINDOWSX中使用,也就是本记录使用的两个扇区的最后两个字节的值
0X2C
4
WINDOWSX中使用,本MFT记录号
2
更新序列号
2S-2
更新序列数组
标准属性的属性头结构
偏移
大小
值
描述
0X00
4
0X10
属性类型(10,标准属性)
0X04
4
0X60
总长度(包括头部本身)
0X08
1
0X00
非常驻标志(1表示非常驻)
0X09
1
0X00
属性名的名称长度
0X0A
2
0X18
属性名的名称偏移
0X0C
2
0X00
标志(似乎已经不再使用,统一放在文件属性中)
0X0E
2
属性ID(此处的属性ID不是指与0X10同级别的属性,应该是指下一级属性,如多数据流,每个数据
流属性都有一个属性ID,但都是数据流属性0X80)
0X10
4
L
属性体长度(L)
0X14
2
0X18
属性内容起始偏移
0X16
1
索引标志
0X17
1
0X00
填充
0X18
L
从此处开始,共L字节为属性
标准属性的属性体结构
偏移
大小
操作系统
描述
1~
标准属性头(已经分析过)
0X00
8
CTIME-文件创建时间
0X08
8
ATIME-文件修改时间
0X10
8
MTIME-MFT变化时间
0X18
8
RTIME-文件访问时间
0X20
4
文件属性(按照DOS术语来称呼,都是文件属性)
0X24
4
文件所允许的最大版本号(0表示未使用)
0X28
4
文件的版本号(最大版本号为0,则也为0)
0X2C
4
类ID(一个双向的类索引)
0X30
4
2K
所有者ID(表示文件的所有者,是文件配额$QUOT冲$0和$0索引的关键字,为0表示未使用磁盘配额)
0X34
4
2K
安全ID是文件$SECUR中$SII索引和$SDS数据流的关键字,注
意不要与安全标识相混淆
0X38
8
2K
本文件所占用的字节数,它是文件所有流占用的总字节数,为0
表示未使用磁盘配额
0X40
8
2K
更新系列号(USN,是到文件$USNJRNL勺一个直接的索引,为0表示USN日志未使用
文件名属性的属性头结构
偏移
大小
值
描述
0X00
4
0X30
属性类型(30,文件名属性)
0X04
4
0X68
总长度(包括头部本身)
0X08
1
0X00
非常驻标志
0X09
1
0X00
属性名的名称长度
0X0A
2
0X18
属性名的名称偏移
0X0C
2
0X00
标志(0X0001表示压缩,0X4000表示加密,0X8000
表示稀疏文件,常驻属性不会被压缩)
OXOE
2
0X03
属性ID(同标准属性的属性头)
0X10
4
0X4A
属性长度(L)
0X14
2
0X18
属性内容起始偏移
0X16
1
0X01
索引标志
0X17
1
0X00
填充
0X18
L
从此处开始,共L字节为属性
文件名属性体结构布局
偏移
大小
值
标准的属性头结构(见前表)
0X00
8
父目录的文件参考号(即父目录的基本文件记录号,分为两个部分,前6个字节48位为父目录的文件记录号,此处为0X05,
即根目录,所以$MFT的父目录为根目录,后2个字节为序列号)
0X08
8
文件创建时间
0X10
8
文件修改时间
0X18
8
最后的一次MFT更新时间
0X20
8
最后一次的访问时间
0X28
8
文件分配大小
0X30
8
文件实际大小
0X38
4
标志,如目录、压缩、隐藏等
0X3C
4
用于EAS和重解析点
0X40
1
以字符计的文件名长度,每字符占用字节数由下一字节命名空间确定,一个字节长度,所以文件名最大255字节长。
0X41
1
文件名命名空间
0X42
1
2L
以UNICODE^式表示的文件名
文件名命名空间
01
WIN32
02
DOS
03
DOS&WIN
32
数据流属性的属性头结构
偏移
大小
值
意义
0X00
4
0X80
属性类型(0X80,数据流属性)
0X04
4
0X48
属性长度(包括本头部的总大小)
0X08
1
0X01
非常驻标志,此处就表示数据流非常驻
0X09
1
0X00
名称长度,$ATTRDE中定义,所以名称长度为0
0X0A
2
0X00
名称偏移
0X0C
2
标志,如0X0001压缩,0X4000加密,0X8000稀疏文件标志
0X0E
2
属性ID(每个属性都有一个惟一的标识)
0X10
8
起始VCN此处为0
0X18
8
结束VCN此处为0X仆F1
0X20
2
0X40
数据运行的偏移
0X22
2
单位压缩尺寸(一般为2倍簇大小,0表示未压缩)
0X24
4
0X00
填充
0X28
8
为属性值分配大小(按分配的簇的字节数计算)
0X30
8
属性值实际大小
0X38
8
属性流初始大小
0X40
数据运行
未命名常驻属性标准属性头结构
偏移
大小
值
意义
0X00
4
属性类型(如0X10,0X60)
0X04
4
属性长度(包括本头部的总大小)
0X08
1
0X00
非常驻标志
0X09
1
0X00
名称长度
0X0A
2
0X00
名称偏移
0X0C
2
0X00
标志
0X0E
2
属性ID(每个属性都有一个惟一的标识)
0X10
4
L
属性长度
0X14
2
0X18
属性偏移
0X16
1一
索引标志
0X17
1
0X00
填充
0X18
L一
具体的属性值
未命名非常驻属性标准属性头结构
偏移
大小
值
意义
0X00
4
属性类型(如0X80,0XA0
0X04
4
属性长度(包括本头部的总大小)
0X08
1
0X01
非常驻标志
0X09
1
N
名称长度
0X0A
2
0X40
名称偏移
OXOC
2
标志(0X0001压缩,0X4000加密,0X8000
稀疏文件)
OXOE
2
属性ID(每个属性都有一个惟一的标识)
0X10
8
起始VCN
0X18
8
结束VCN
0X20
2
2N+0X40
数据RUN的偏移(为4个字节的整倍数)
0X22
2
单位压缩尺寸(一般为2倍簇大小,0表示
未压缩)
0X24
4
0X00
填充
0X28
8
为属性值分配大小(按簇大小计算)
0X30
8
属性值实际大小
0X38
8
属性流初始大小(与分配大小不等时使用)
0X40
2N
UNICODE
字符
属性名
2N+0X40
数据运行(为4个字节的整倍数)
命名常驻属性标准属性头结构
偏移
大小
值
意义
0X00
4
属性类型(如0X90,0XB0)
0X04
4
属性长度(包括本头部的总大小)
0X08
1
0X00
非常驻标志
0X09
1
N
名称长度
0X0A
2
0X18
名称偏移
0X0C
2
0X00
标志(常驻属性不能压缩)
0X0E
2
属性ID(每个属性都有一个惟一的标识)
0X10
4
L
属性长度
0X14
2
2N+0X18
属性偏移
0X16
1
索引标志
0X17
1
0X00
填充
0X18
2N
UNICODE字符
属性名
2N+0X18
L
具体的属性值(为4个字节的整倍数)
命名非常驻属性标准属性头结构
偏移
大小
值
意义
0X00
4
属性类型(如0X20,0X80)
0X04
4
属性长度(包括本头部的总大小)
0X08
1
0X01
非常驻标志
0X09
1
0X00
名称长度
0X0A
2
0X00
名称偏移
0X0C
2
标志
0X0E
2
属性ID(每个属性都有一个惟一的标识)
0X10
8
起始VCN
0X18
8
结束VCN
0X20
2
0X40
数据运行的偏移
0X22
2
单位压缩尺寸(一般为2倍簇大小,0表示未压缩)
0X24
4
0X00
填充
0X28
8
为属性值分配大小(按簇大小计算)
0X30
8
属性值实际大小
0X38
8
属性流初始大小(与分配大小不等时使用)
0X40
数据运行
索引根的结构如表4-81所示。
索引根结构
偏移
大小
描述
标准属性头
0X00
4
属性类型
0X04
4
排序规则
0X08
4
索引项分配大小(字节数)
0X0C
1
每索引记录的簇数
0X0D
3
填充(到8字节)
索引头的结构如表4-82所示。
索引头结构
偏移
大小
描述
0X00
4
第一个索引项的偏移
0X04
4
索引项的总大小
0X08
4
索引项的分配大小
0X0C
1
标志
0X0D
3
填充(到8字节)
其标志字节的含义如表4-83所示。
索引头标志字节含义
标志
描述
0X00
小索引(适用于索引根)
0X01
大索引(适用于索引分配)
索引项的结构
偏移
大小
描述
标准属性头
下面的域只在没有设置为“最后一个索引项”时有效
0X00
8
文件参考号
0X08
2
L=索引项长度
0X0A
2
M=流长度
0X0C
1
标志
下面的域只在没有设置为“最后一个索引项”时有效
0X10
M
流
下面的域只在子节点标志设置为有效时才会岀现
L-8
8
索引分配属性中子节点的VCN
标准索引头结构
偏移
大小
描述
0X00
4
总是“INDX”
0X04
2
更新序列号的偏移
0X06
2
更新序列号与更新数组以字为单位的大小(S)
0X08
8
日志文件序列号
0X10
8
本索引缓存在索引分配中的VCN
0X18
4
索引项的偏移
0X1C
4
索引项大小
0X20
4
索引项分配大小
0X24
1
如果不是叶节点,置1,表示还有子节点
0X25
3
用0填充
0X28
2
更新序列
0X2A
2S-2
更新序列数组
索引项结构
偏移
大小
描述
0X00
8
文件的MFT参考号
0X08
2
索引项大小
0X0A
2
文件名偏移
0X0C
2
索引标志
OXOE
2
填充(到8字节)
OX1O
8
父目录的MFT文件参考号
0X18
8
文件创建时间
0X20
8
最后修改时间
0X28
8
文件记录最后修改时间
0X30
8
最后访问时间
0X38
8
文件分配大小
0X40
8
文件实际大小
0X48
8
文件标志
0X50
1
文件名长度(F)
0X51
1
文件名命名空间
0X52
2F
文件名
2F+0X52
P
填充(到8字节)
P+2F+0X52
8
子节点索引缓存的VCN
升级会员 