NTFS文件系统常用属性表.doc

NTFS 元文件序 号元 文 件功 能0$MFT主文件表本身1$MFTMIRR主文件表的部分镜像2$LOGFILE日志文件3$VOLUME卷文件4$ATTRDEF属性定义列表5$ROOT根目录6$BITMAP位图文件7$BOOT引导文件8$BADCLUS坏簇文件9$SECURE安全文件10$UPCASE大写文件11$EXTEND METADATA DIRECTORY扩展元数据目录12$EXTEND\$REPARSE重解析点文件13$EXTEND\$USNJRNL变更日志文件14$EXTEND\$QUOTA配额管理文件15$EXTEND\$OBJID对象 ID 文件16~23保留23+用户文件和目录文件记录可能的属性类型操作系统名称0X10标准信息0X20属性列表0X30文件名0X40NT卷版本0X402K对象 ID0X50安全描述符0X60卷名0X70卷信息0X80数据0X90索引根0XA0索引分配0XB0位图0XC0NT符号连接0XC02K重解析点0XD0 扩展信息0XE0 扩展0XF0NT特权设置0X1002K日志流MFT 文件记录头部结构布局偏移长度描述0X04固定值，一定是“FILE”0X42更新序列号的偏移0X62更新序列号与更新数组以字为单位大小（S）0X88日志文件序列号（每次记录被修改，都将导致该序列号加 1）0X102序列号（用于记录本文件记录被重复使用的次数，每次文件删除时加1，跳过 0 值，如果为 0，则保持为 0）0X122硬连接数，只出现在基本文件记录中，目录所含项数要使用到它0X142第一个属性流的偏移地址0X162标志字节，1 表示记录使用中，2 表示该记录为目录0X184文件记录实际大小（填充到 8 字节，即以 8 字节为边界）0X1C4文件记录分配大小（填充到 8 字节，即以 8 字节为边界）0X208所对应的基本文件记录的文件参考号（扩展文件记录中使用，基本文件记录中为 0，在基本文件记录的属性列表 0X20 属性存储中扩展文件记录的相关信息）0X282下一个自由 ID 号，当增加新的属性时，将该值分配给新属性，然后该值增加，如果 MFT 记录重新使用，则将它置 0，第一个实例总是 00X2A2边界，WINDOWS XP 中使用，也就是本记录使用的两个扇区的最后两个字节的值0X2C4WINDOWS XP 中使用，本 MFT 记录号0X302更新序列号0X322S-2更新序列数组标准属性的属性头结构偏移大小值描述0X0040X10属性类型（属性类型（1010，标准属性），标准属性）0X0440X60总长度（包括头部本身）总长度（包括头部本身）0X0810X00非常驻标志非常驻标志(1(1 表示非常驻表示非常驻) )0X0910X00属性名的名称长度0X0A20X18属性名的名称偏移0X0C20X00标志（似乎已经不再使用，统一放在文件属性中）0X0E2属性 ID（此处的属性 ID 不是指与 0X10 同级别的属性，应该是指下一级属性，如多数据流，每个数据流属性都有一个属性 ID，但都是数据流属性0X80）0X104L属性体长度（属性体长度（L L））0X1420X18属性内容起始偏移属性内容起始偏移0X161索引标志0X1710X00填充0X18L从此处开始，共 L 字节为属性标准属性的属性体结构偏移大小操作系统描述~~标准属性头（已经分析过）0X008C C TIMETIME – 文件创建时间文件创建时间0X088A A TIMETIME – 文件修改时间文件修改时间0X108M M TIMETIME – MFTMFT 变化时间变化时间0X188R R TIMETIME – 文件访问时间文件访问时间0X204文件属性（按照文件属性（按照 DOSDOS 术语来称呼，都是文件属性）术语来称呼，都是文件属性）0X244文件所允许的最大版本号（0 表示未使用）0X284文件的版本号（最大版本号为 0，则也为 0）0X2C4类 ID（一个双向的类索引）0X3042K所有者 ID（表示文件的所有者，是文件配额$QUOTA 中$O 和$Q索引的关键字，为 0 表示未使用磁盘配额）0X3442K安全 ID 是文件$SECURE 中$SII 索引和$SDS 数据流的关键字，注意不要与安全标识相混淆0X3882K本文件所占用的字节数，它是文件所有流占用的总字节数，为0 表示未使用磁盘配额0X4082K更新系列号（USN），是到文件$USNJRNL 的一个直接的索引，为 0 表示 USN 日志未使用文件名属性的属性头结构偏移大小值描述0X0040X30属性类型（30，文件名属性）0X0440X68总长度（包括头部本身）0X0810X00非常驻标志0X0910X00属性名的名称长度0X0A20X18属性名的名称偏移0X0C20X00标志（0X0001 表示压缩，0X4000 表示加密，0X8000 表示稀疏文件，常驻属性不会被压缩）0X0E20X03属性 ID（同标准属性的属性头）0X1040X4A属性长度（L）0X1420X18属性内容起始偏移0X1610X01索引标志0X1710X00填充0X18L从此处开始，共 L 字节为属性文件名属性体结构布局偏移大小值~~标准的属性头结构（见前表）0X008父目录的文件参考号（即父目录的基本文件记录号，分为两个父目录的文件参考号（即父目录的基本文件记录号，分为两个部分，前部分，前 6 6 个字节个字节 4848 位为父目录的文件记录号，此处为位为父目录的文件记录号，此处为0X050X05，即根目录，所以，即根目录，所以$MFT$MFT 的父目录为根目录，后的父目录为根目录，后 2 2 个字节为个字节为序列号）序列号）0X088文件创建时间0X108文件修改时间0X188最后的一次 MFT 更新时间0X208最后一次的访问时间0X288文件分配大小0X308文件实际大小0X384标志，如目录、压缩、隐藏等0X3C4用于 EAS 和重解析点0X401以字符计的文件名长度，每字符占用字节数由下一字节命名空以字符计的文件名长度，每字符占用字节数由下一字节命名空间确定，一个字节长度，所以文件名最大间确定，一个字节长度，所以文件名最大 255255 字节长。

字节长0X411文件名命名空间文件名命名空间 0X422L以以 UNICODEUNICODE 方式表示的文件名方式表示的文件名文件名命名空间文件名命名空间01WIN3202DOS03DOS&WIN32数据流属性的属性头结构偏移大小值意义0X0040X80属性类型（0X80，数据流属性）0X0440X48属性长度（包括本头部的总大小）0X0810X01非常驻标志，此处就表示数据流非常驻0X0910X00名称长度，$ATTRDEF 中定义，所以名称长度为 00X0A20X00名称偏移0X0C2标志，如 0X0001 压缩，0X4000 加密，0X8000 稀疏文件标志0X0E2属性 ID（每个属性都有一个惟一的标识）0X108起始 VCN，此处为 00X188结束 VCN，此处为 0X1FF10X2020X40数据运行的偏移0X222单位压缩尺寸（一般为 2 倍簇大小，0 表示未压缩）0X2440X00填充0X288为属性值分配大小（按分配的簇的字节数计算）0X308属性值实际大小0X388属性流初始大小0X40...数据运行未命名常驻属性标准属性头结构偏移大小值意义0X004属性类型（如 0X10，0X60）0X044属性长度（包括本头部的总大小）0X0810X00非常驻标志0X0910X00名称长度0X0A20X00名称偏移0X0C20X00标志0X0E2属性 ID（每个属性都有一个惟一的标识）0X104L属性长度0X1420X18属性偏移0X161索引标志0X1710X00填充0X18L具体的属性值未命名非常驻属性标准属性头结构偏移大小值意义0X004属性类型（如属性类型（如 0X800X80，，0XA00XA0））0X044属性长度（包括本头部的总大小）属性长度（包括本头部的总大小）0X0810X01非常驻标志非常驻标志0X091N名称长度名称长度0X0A20X40名称偏移名称偏移0X0C2标志（0X0001 压缩，0X4000 加密，0X8000 稀疏文件）0X0E2属性 ID（每个属性都有一个惟一的标识）0X108起始起始 VCNVCN0X188结束结束 VCNVCN0X2022N+0X40数据数据 RUNRUN 的偏移（为的偏移（为 4 4 个字节的整倍数）个字节的整倍数）0X222单位压缩尺寸（一般为 2 倍簇大小，0 表示未压缩）0X2440X00填充0X288为属性值分配大小（按簇大小计算）0X308属性值实际大小0X388属性流初始大小（与分配大小不等时使用）0X402NUNICODE字符属性名2N+0X40...数据运行（为 4 个字节的整倍数）命名常驻属性标准属性头结构偏移大小值意义0X004属性类型（如 0X90，0XB0）0X044属性长度（包括本头部的总大小）0X0810X00非常驻标志0X091N名称长度名称长度0X0A20X18名称偏移名称偏移0X0C20X00标志（常驻属性不能压缩）0X0E2属性 ID（每个属性都有一个惟一的标识）0X104L属性长度属性长度0X1422N+0X18属性偏移属性偏移0X161索引标志0X1710X00填充0X182NUNICODE 字符属性名2N+0X18L具体的属性值（为 4 个字节的整倍数）命名非常驻属性标准属性头结构偏移大小值意义0X004属性类型（如属性类型（如 0X200X20，，0X800X80））0X044属性长度（包括本头部的总大小）属性长度（包括本头部的总大小）0X0810X01非常驻标志非常驻标志0X0910X00名称长度名称长度0X0A20X00名称偏移名称偏移0X0C2标志0X0E2属性 ID（每个属性都有一个惟一的标识）0X108起始起始 VCNVCN0X188结束结束 VCNVCN0X2020X40数据运行的偏移数据运行的偏移0X222单位压缩尺寸（一般为 2 倍簇大小，0 表示未压缩）0X2440X00填充0X288为属性值分配大小（按簇大小计算）为属性值分配大小（按簇大小计算）0X308属性值实际大小属性值实际大小0X388属性流初始大小（与分配大小不等时使用）属性流初始大小（与分配大小不等时使用）0X40...数据运行数据运行索引根的结构如表 4-81 所示。

索引根结构偏移大小描述~~标准属性头0X004属性类型0X044排序规则0X084索引项分配大小（字节数）0X0C1每索引记录的簇数0X0D3填充（到 8 字节）索引头的结构如表 4-82 所示索引头结构偏移大小描述0X004第一个索引项的偏移0X044索引项的总大小0X084索引项的分配大小0X0C1标志0X0D3填充（到 8 字节）其标志字节的含义如表 4-83 所示索引头标志字节含义标志描述0X00小索引（适用于索引根）0X01大索引（适用于索引分配）索引项的结构偏移大小描述~~标准属性头下面的域只在没有设置为“最后一个索引项”时有效0X008文件参考号0X082L =索引项长度0X0A2M =流长度0X0C1标志下面的域只在没有设置为“最后一个索引项”时有效0X10M流下面的域只在子节点标志设置为有效时才会出现L - 88索引分配属性中子节点的 VCN标准索引头结构偏移大小描述0X004总是“INDX”0X042更新序列号的偏移0X062更新序列号与更新数组以字为单位的大小（S）0X088日志文件序列号0X108本索引缓存在索引分配中的 VCN0X184索引项的偏移0X1C4索引项大小0X204索引项分配大小0X241如果不是叶节点，置 1，表示还有子节点0X253用 0 填充0X282更新序列0X2A2S-2更新序列数组索引项结构偏移大小描述0X008文件的 MFT 参考号0X082索引项大小0X0A2文件名。