背景
NTFS 作為一個新的文件系統,因其安全性高而受到越來越多的重視,越來越多的應用
采用了NTFS 文件系統。
作為一個新的文件系統,NTFS 有着許多區別於FAT32 的優點,如磁盤配額、文件系統
加密、支持動態分區等。因此了解NTFS 文件系統的結構非常有必要。
本實驗主要完成以下三個任務:
1)了解NTFS 文件系統的結構,在NTFS 文件系統下進行磁盤配額、讀寫權限的設置
2)熟悉NTFS 下的MFT 表的結構,使用Runtime Disk Explorer for NTFS 查看MFT 表
3)通過使用工具Runtime Disk Explorer for NTFS 及WINHEX,了解文件的各種屬性
和文件紀錄的結構
操作步驟及工作要點
NTFS 的DBR 分析
1) 使用WINHEX 打開NTFS 分區,並且查看BPB 參數,抓圖。
2) 記錄$MFT、$MFTMirr 的起始簇號。
$MFT起始簇號為0x0C00、$MFTMirr 的起始簇號為0xDD87FF。
MFT 結構以及$MFT 文件記錄分析
1) 使用Disk Explorer 打開NTFS 文件系統
2) 跳轉到MFT 表的開始部分,抓圖
3) 打開$MFT 的文件記錄,查看記錄頭和屬性列表部分,抓圖。
記錄頭部分:
屬性表部分:
4) 記錄屬性列表中間的常駐屬性和非常駐屬性。
常駐屬性:$10,$30。非常駐屬性:$80,$B0
5) 打開$80 屬性,記錄$MFT 的數據流情況,抓圖。
文件的文件記錄分析
1) 在NTFS 文件系統下新建一個文本文件,輸入幾個字符作為內容。
2) 打開該文件的文件記錄
3) 查看屬性列表,記錄常駐屬性和非常駐屬性。
常駐屬性:$10,$30,$40,$80。無非常駐屬性
4) 打開$80 屬性,查看屬性頭和屬性內容。
屬性頭
屬性內容
5) 打開-大文件(超過1M)的文件記錄
6) 查看大文件的$80 屬性,比較與小文件的區別。
屬性從常駐屬性變為非常駐屬性,body 里不再存放文件內容,header 內容增多。
目錄的文件記錄分析
1) 打開根目錄的文件記錄$root,並且查看詳細數據。
2) 查看屬性列表,記錄其中的常駐屬性和非常駐屬性。
常駐屬性:$10,$30,$40,$50,$90,$B0。非常駐屬性:$A0
3) 查看90 和A0 屬性,並且抓取圖形。
$90:
$A0:
