当前位置:文档之家 › NTFS 文件系统的主要数据结构

NTFS 文件系统的主要数据结构

  • 格式:pdf
  • 大小:222.22 KB
  • 文档页数:4

下载文档原格式

  / 4

合集下载

ntfs详细介绍

ntfs详细介绍

上一页下一页2 Windows NT的文件系统1. 概述(1)NTFS为多级目录结构,支持文件别名(符号链接方式);(2)NTFS文件由多个文件属性构成,每个属性由属性名和属性流(stream, 简单字节队列)组成;用户可自定义属性;(3)NTFS支持用户权限管理:有5种权限划分:读、写、运行、删除和修改权限;支持按用户、用户组分配权限;(4)NTFS文件支持数据压缩功能;(5)NTFS卷结构支持容错功能.2. NTFS结构NTFS的结构以卷为单位,卷与磁盘分区相关;卷由一组文件和未分配空间组成.NTFS以簇为基本硬盘分配单位,簇的大小为物理扇区的整数倍,通常为2K倍。

NTFS卷上的所有数据(包括用于引导、定位、空间分配等文件系统管理数据)都以文件的形式保存.NTFS结构由一组元文件构成:(1)主文件表($MFT):文件记录数组,每个记录为1KB;每个文件对应一个或多个文件记录;(2)主文件表副本($MFTMirr):是主文件表中前几项的副本,用于在主文件表不能读取时的元文件定位;(3)卷结构日志($LogFile):记录所有影响NTFS卷结构的操作,用于系统失败后的卷恢复;(4)空间分配位图($Bitmap):标识卷中每个簇的分配状态,即:空闲和已被分配;(5)引导文件($Boot):引导程序代码;(6)坏簇文件($BadClus):记录卷中据有损坏位置;(7)卷文件($V olume):卷名、文件系统版本、卷状态(卷是否被损坏);(8)属性定义表($AttrDef):卷中支持的属性类型列表.文件引用号:在主文件表中每个文件记录有一个64位的文件引用号;它由文件号和顺序号组成,文件号(48位:47~0)是文件在主文件表中的位置序号,顺序号(16位:63~48)在每次重复使用该文件记录时加1;NTFS文件是属性的集合,通常所说的文件内容是指未命名数据属性流.例:我们定义两个数据属性:ntfile(数据)和ntfile:data(自定义数据)。

NTFS文件系统

NTFS文件系统

NTFS文件系统NTFS(New Technology File System,新技术文件系统),是以MFT(Master File Table,主文件表或主索引记录)为核心,将整个分区的系统文件和用户文件有机地组织起来的文件系统。

NTFS最基本的原则:·磁盘上任何对象包括目录都是一种文件,都使用文件记录进行管理。

·所有与文件相关的项目,包括数据都被认为是属性。

·属性分常驻(在记录中)和非常驻两种,非常驻的大文件夹使用B+树结构进行管理。

·簇是NTFS最小的基本单位,一个1字节的文件也要占用一簇的空间。

·流是NTFS最基本的存储单元,是文件属性和属性值的集合。

●MFT文件◇MFT的位置和作用:MFT文件和它的备份,位于NTFS分区中部,前后都是数据区,能更好地受到保护。

与FAT 系统先放文件分配表,后接数据区的做法不同。

XP系统的NTFS分区,大致布局如下图:分区所有的文件,其相关的文件信息都保存在MFT中。

小于1K的小文件(目录),其整个内容都保存在MFT中。

大于1K的大文件(目录),只有它的起始信息保存在MFT中。

在NTFS中,文件通过主文件表MFT定位。

MFT是组织、架构NTFS文件系统最主要的数据库文件,对NTFS分区的性能有着至关重要的影响。

◇ID编号(MFT Entry Value,文件号):分区中的所有文件和目录(包括MFT文件自身),都被系统ID编号(编号0为MFT文件),并将它们的各类属性、起始信息或全部内容,以文件记录的形式,保存在MFT中。

分区高级格式化成NTFS文件系统时,首先建立了一个主文件表MFT。

在MFT文件中,会预先建立16个重要的文件(MFT记录的ID编号固定为0-15)和8个保留文件(MFT记录的ID编号固定为16-23),这24个文件是被称为元文件(Metafiles)或元数据(metadata)的系统文件(具体内容见后面),供系统本身组织、架构文件系统使用。

全面了解NTFS文件系统结构

全面了解NTFS文件系统结构

解读NTFSNTFS是一个比FAT复杂的多的文件系统,我们一起努力来把它完整的解读出来NTFS的引导扇区也是完成引导和定义分区参数,和FAT分区不同,FAT分区的B OOT记录正常,就显示分区没有错误,即使文件不正确,而NTFS分区的BOOT不是分区的充分条件,它要求必须MFT中的系统记录如$MFT等正常该分区才能正常访问。

其BPB参数如下表所示。

字节偏移长度常用值意义0x0B 字 0x0002 每扇区字节数0x0D 字节 0x08 每簇扇区数0x0E 字 0x0000 保留扇区0x10 3字节 0x000000 总为00x13 字 0x0000 NTFS未使用,为00x15 字节 0xF8 介质描述0x16 字 0x0000 总为00x18 字 0x3F00 每磁盘扇区数0x1A 字 0xFF00 磁头数0x1C 双字 0x3F000000 隐含扇区0x20 双字 0x00000000 NTFS未使用,为00x28 8字节 0x4AF57F0000000000 扇区总数0x30 8字节 0x0 $MFT的逻辑簇号0x38 8字节 0x54FF0000 $MFTMirr的逻辑簇号0x40 双字 0xF6000000 每MFT记录簇数0x44 双字 0x01000000 每索引簇数0x48 8字节 0x14A51B74C91B741C 卷标0x50 双字 0x00000000 检验和MFT中的文件记录大小一般是固定的,不管簇的大小是多少,均为1KB。

文件记录在MFT文件记录数组中物理上是连续的,且从0开始编号,所以,NTFS是预定义文件系统。

MFT仅供系统本身组织、架构文件系统使用,这在NTFS中称为元数据(metadata,是存储在卷上支持文件系统格式管理的数据。

它不能被应用程序访问,只能为系统提供服务)。

其中最基本的前16个记录是操作系统使用的非常重要的元数据文件。

这些元数据文件的名字都以“$”开始,所以是隐藏文件,在Windows 2000/XP中不能使用dir命令(甚至加上/ah参数)像普通文件一样列出。

NTFS文件系统的主要数据结构.pdf

NTFS文件系统的主要数据结构.pdf

有较好容错性和安全性的文件系统, 它的设计目标是面向对数 据安全性等要求比较高的商务和企业级应用。 由于微软没有公 开 ’()* 的 结 构 , 因 此 如 果 想 编 写 不 借 助 于 84/90,5’( : !; : 往往难以进行。笔者 <= 而直接操作 ’()* 文件系统的程序时, 在参考有关资料的基础上, 利用磁盘工具对 ’()* 的 文 件 系 统 作了一些分析, 并编写了相应程序对所给结构作了验证。’()* 文件系统一直在发展和完善中, 84/90,5’( 系列各个版本使用 的 ’()* 文件系统的结构稍有差异。文章描述的有关 ’()* 的 结构是基于 84/90,5!; 所使用的。
中, 系统定义的常用属性见表 1 。
表1
类型;’()P , 不 属 于 <C< O O 系统标识, <=’> @>2L.M%N ; 表, 为编程方便纳入
&’() 卷上常用属性
属性内容描述
?@A. <D,/FC/-)/H,I- ; O O每扇区字节数,大多数磁盘为 "Q!"" <=’>
文件的属性较多时, 用于存放文件的各种属性, 以方便访问 存放文件 O 目录名, 一个文件 O 目录可有多个文件名属性 对象标识符, 支持面向对象用, 可通过该标识符直接访问文件 兼容用, 从 &’_$" 起 , 该 值 被 *)/HG-/ 元 文 件 代 替 , 便于共享 存放卷名或卷标识, 该 属 性 仅 在 文 件 *‘I7G4/ 元 文 件 中 使 用 包含卷的状态等信息, 该 属 性 仅 在 文 件 *‘I7G4/ 元 文 件 中 使 用 存放文件的具体内容, 一个文件可有多个数据属性 可实现一个索引, 如目录等 <; 树 的 根 结 点 , 用 于 存 放 <; 树 的 所 有 子 结 点 每一位表示一个实体 (如 ‘:& , 文件记录使用标志) 的当前状态

NTFS文件系统结构分析

NTFS文件系统结构分析

NTFS元文件 元文件
• • • • • • $MFT :中的第一个记录是$MFT自身。 $MFTMirr: 主文件表的部分镜像 $LogFile (日志文件),该文件是NTFS为实现可恢复性和安全性而设计。在系统失败时 能恢复NTFS卷。 $Volume(卷文件),它包含卷名、NTFS的版本和一个表明该磁盘是否损坏的标志位。 (NTFS系统以此决定是否需要调用Chkdsk程序来进行修复) $AttrDef:(属性定义表),其中存放着卷所支持的所有文件属性,并指出他们是否可以 被索引和恢复等。 $Root(跟目录),其中保存着该卷跟目录下的所有文件和目录的索引。
NTFS的元文件 的元文件
• NTFS系统中,文件按照簇进行分配,簇大小在格式化的时候由格式化 程序根据卷的大小自动进行分配。 • 文件通过主文件表MFT来确定文件在磁盘上的存储位置。主文件表是一 个对应的数据库,由一系列文件记录组成,卷中每个文件都有一个文件 记录。第一个文件记录称为基本文件记录,其中存储有其他扩展文件记 录的一些信息。文件表本身也有它自己的文件记录。 • MTF中的文件记录大小一般固定为1KB,文件记录在MFT文件记录数组 中物理上是连续的,从0开始编号。
• 1.容错性:NTFS可以自动地修复磁盘错误而不会显示出错信 息. • 2.安全性:NTFS有许多安全性能方面的选项,可以阻止没有授 权的用户访问文件. • 3.EFS提供对存储在NTFS分区的文件进行加密的功能 • 4.用户可以选择压缩单个文件整个文件夹. • 5.磁盘配额:就是管理员可以对本域中的每个用户所能使用 的磁盘空间进行定额限制,即每个用户只能使用最大定额范 围内的磁盘空间.
属性头
• 每个属性又分为属性头和属性内容两部分,属性头给出了该 属性的结构信息。 • 有的属性内容存储在记录项中(如文件名),称为常驻属性。 有的属性内容很大,需要在MFT外另外开辟空间存储(如 文件数据),则称为非常驻属性。 • 有的属性在属性头之后列出了属性名,而有的则没有。

NTFS文件解析系统的简单分析

NTFS文件解析系统的简单分析

NTFS文件解析系统的简单分析正如我们所知道的,目前主流anti-rootkit检测隐藏文件主要有两种方法,一种是文件系统层的检测(像IceSword自己构造irp包发到文件系统驱动),另一种就是磁盘级别的低级检测,直接对磁盘的数据进行分析,比如SnipeSword、filereg和unhooker.最近对第二种方法的一部分(及NTFS文件系统的解析)做了一些学习,于是就写点学习的东西与大家分享,其中有很多错误和不足希望大牛们指出。

(1)准备工作――获取分区的一些基本参数我们可以用CreateFile打开某个盘,读取偏移为0的扇区的数据。

具体的数据结构为:typedef struct tag_NTFSBPB{BYTE bJmp[3];//跳转指令BYTE bNTFlags[4]; // 文件系统NTFS的为"NTFS"BYTE bReserve1[4]; //一般为四个空格WORD wBytePerSector;//每扇区字节数BYTE bSectorPerCluster//;每簇扇区数WORD wReserveSectors;//保留扇区数BYTE bFatNum; // 总是0WORD wRootDirNum; //总是0WORD wSectorOfParti; //总是0BYTE bMedium;//WORD wSectorPerFat; //总是0WORD wSectorPerTrack;//WORD wHeadNum;//DWORD dwHideSector;//DWORD dwSectoOfParti; //总是0BYTE bDeviceFlag;//BYTE bReserve2;//WORD wReserve3;//ULONGLONG ullSectorsOfParti; //扇区总数ULONGLONG ullMFTAddr;//$MFT的起始逻辑簇号ULONGLONG ullMFTMirrAddr;// $MFT的起始逻辑簇号BYTE bClusterPerFile;//BYTE bReserve4[3];//DWORD dwClusterPerINDX;//BYTE bSerialID[8];//} NTFSBPB, *LPNTFSBPB;其中最重要的应该就是通过ullMFTAddr获得$MFT的起始逻辑簇号进而找到根图(1)目录的位置在进行分析。

数据恢复技术分析NTFS分区结构

请在自己的计算机(或虚拟机)上选择一个NTFS 分区,找到它的备份引导扇区位置,然后将其复 制到引导扇区位置。
二、主控文件表与元文件
在NTFS分区中,最重要的就是主控文件表(MFT), 它记载了所有文件的属性信息,甚至包括数据, 有点类似于FAT分区的文件目录表。 为了防止遭到破坏,NTFS分区将MFT的位置移到了 分区的中间,并在引导扇区中给出了它的簇号。 我们在恢复数据的时候,就是依靠MFT来完成的。
分析NTFS分区结构
M6-1 本单元主要内容

NTFS分区结构
二 主控文件表与重难点
重点
NTFS分区概述 NTFS引导扇区分析 恢复NTFS引导扇区的方法 NTFS元文件介绍
难点
NTFS引导扇区BPB参数 NTFS元文件的概念和作用
LCN
101
102
106
107
108
221
一、NTFS分区结构
NTFS分区不再设管理控制区域,分区的0扇区便是 0簇,全部空间都是数据区域。分区中承担管理控 制信息的数据块被组织成文件,灵活地存放在任 意一个位置。只有BOOT区域比较特殊,由于0扇区 仍是引导扇区,因此BOOT区域始终位于分区前端。
在NTFS分区中,引入了卷概念。卷可以看成是分 区的升级版,是为了解决某些分区限制而提出的 概念,卷的操作和使用和分区是一样的。 卷分为简单卷和动态卷两种,简单卷就是一个普 通分区,而动态卷则可以实现一些高级功能,比 如可以将多个分区或者磁盘组织成一个卷,能够 动态增长容量等,使其可以支持服务器存储所需 的海量存储空间。
11
12~15 16~23 24~?
$ExtMD
$Extended\
扩展元数据目录(Extended metadata directory)

NTFS文件系统结构分析

NTFS文件系统结构分析在NTFS文件系统中,文件存取是按簇进行分配,一个簇必需是物理扇区的整数倍,而且总是2的整数次方。

NTFS文件系统并不去关心什么是扇区,也不会去关心扇区到底有多大(如是不是512字节),而簇大小在使用格式化程序时则会由格式化程序根据卷大小自动的进行分配。

文件通过主文件表(MFT)来确定其在磁盘上的存储位置。

主文件表是一个对应的数据库,由一系列的文件记录组成--卷中每一个文件都有一个文件记录(对于大型文件还可能有多个记录与之相对应)。

主文件表本身也有它自己的文件记录。

NTFS卷上的每个文件都有一个64位(bit)称为文件引用号(File Reference Number,也称文件索引号)的唯一标识。

文件引用号由两部分组成:一是文件号,二是文件顺序号。

文件号为48位,对应于该文件在MFT中的位置。

文件顺序号随着每次文件记录的重用而增加,这是为NTFS进行内部一致性检查而设计的。

NTFS使用逻辑簇号(Logical Cluster Number,LCN)和虚拟簇号(Virtual Cluster Number,VCN)来进行簇的定位。

LCN是对整个卷中所有的簇从头到尾所进行的简单编号。

卷因子乘以LCN,NTFS就能够得到卷上的物理字节偏移量,从而得到物理磁盘地址。

VCN则是对属于特定文件的簇从头到尾进行编号,以便于引用文件中的数据。

VCN可以映射成LCN,而不必要求在物理上连续。

NTFS的目录只是一个简单的文件名和文件引用号的索引,如果目录的属性列表小于一个记录的长度,那么该目录的所有信息都存储在主文件表的记录中,对于大于记录的目录则使用B+树进行管理。

主文件表中的基本文件记录中有一个指针指向一个存储非常驻索引缓冲--包括该目录下所有下一级子目录和文件的外部簇,而B+树结构便于大型目录中文件和子目录的快速查找。

在NTFS中,所有存储在卷上的数据都包含在文件中,包括用来定位和获取文件的数据结构,引导程序和记录这个卷的记录(NTFS元数据)的位图,这体现了NTFS的原则:磁盘上的任何事物都为文件。

NTFS文件系统详细分析

NTFS⽂件系统详细分析第⼀部分什么是NTFS⽂件系统想要了解NTFS,我们⾸先应该认识⼀下FAT。

FAT(File Allocation Table)是“⽂件分配表”的意思。

对我们来说,它的意义在于对硬盘分区的管理。

FAT16、FAT32、NTFS是⽬前最常见的三种⽂件系统。

FAT16:我们以前⽤的DOS、Windows 95都使⽤FAT16⽂件系统,现在常⽤的Windows 98/2000/XP等系统均⽀持FAT16⽂件系统。

它最⼤可以管理⼤到2GB的分区,但每个分区最多只能有65525个簇(簇是磁盘空间的配置单位)。

随着硬盘或分区容量的增⼤,每个簇所占的空间将越来越⼤,从⽽导致硬盘空间的浪费。

FAT32:随着⼤容量硬盘的出现,从Windows 98开始,FAT32开始流⾏。

它是FAT16的增强版本,可以⽀持⼤到2TB(2048GB)的分区。

FAT32使⽤的簇⽐FAT16⼩,从⽽有效地节约了硬盘空间。

NTFS:微软Windows NT内核的系列操作系统⽀持的、⼀个特别为⽹络和磁盘配额、⽂件加密等管理安全特性设计的磁盘格式。

随着以NT为内核的Windows 2000/XP的普及,很多个⼈⽤户开始⽤到了NTFS。

NTFS也是以簇为单位来存储数据⽂件,但NTFS中簇的⼤⼩并不依赖于磁盘或分区的⼤⼩。

簇尺⼨的缩⼩不但降低了磁盘空间的浪费,还减少了产⽣磁盘碎⽚的可能。

NTFS⽀持⽂件加密管理功能,可为⽤户提供更⾼层次的安全保证。

在NTFS⽂件系统中,⽂件存取是按簇进⾏分配,⼀个簇必需是物理扇区的整数倍,⽽且总是2的整数次⽅。

NTFS⽂件系统并不去关⼼什么是扇区,也不会去关⼼扇区到底有多⼤(如是不是512字节),⽽簇⼤⼩在使⽤格式化程序时则会由格式化程序根据卷⼤⼩⾃动的进⾏分配。

⽂件通过主⽂件表(MFT)来确定其在磁盘上的存储位置。

主⽂件表是⼀个对应的数据库,由⼀系列的⽂件记录组成--卷中每⼀个⽂件都有⼀个⽂件记录(对于⼤型⽂件还可能有多个记录与之相对应)。

NTFS文件系统结构总览数据恢复迷

NTFS文件系统结构总览数据恢复迷当用户将硬盘的一个分区格式化为NTFS分区时,就建立了一个NTFS文件系统结构。

NTFS文件系统与FAT文件系统一样,也是用簇为基本单位对磁盘空间和文件存储进行管理的。

一个文件总是占有若干个簇,即使在最后一个簇没有完全放满的情况下,也是占用了整个簇的空间,这也是造成磁盘空间浪费的主要原因。

文件系统通过簇来管理磁盘,并不需要知道磁盘扇区的大小,这样就使NTFS保持了与磁盘扇区大小的独立性,从而使不同大小的磁盘选择合适的簇。

NTFS分区也被称为NTFS卷,卷上簇的大小,又称为卷因子,其大小是用户在创建NTFS卷时确定的。

和FAT文件系统一样,卷因子的大小和文件系统的性能有着非常直接的关系。

当一个簇占用的空间太小时,会出现太多的磁盘碎片,这样在空间和文件访问时间上会造成浪费;而相反的当一个簇占用的空间太大时,直接造成了磁盘空间的浪费。

因此,最大限度地优化系统对文件的访问速度和最大限度地减少磁盘空间的浪费是确定簇的大小的主要因素。

簇的大小一定是扇区大小的整数倍,通常是2n(n为整数)。

表4-28是NTFS文件系统中不同卷大小和簇的一般关系。

当然这并不是完全一定的,只是系统格式化磁盘时的默认情况,这个默认的簇的值一般被认为是最能优化系统的值。

表4-28 NTFS卷大小和簇大小关系表卷大小(MB)每簇的扇区默认的簇大小≤512 1 512个字节513~1024 2 1024个字节(1KB)1025~2048 4 2048个字节(2KB)≥20498 4KB当一个分区由FAT卷转变成为一个NTFS卷时,卷因子的大小总是占用一个扇区。

NTFS文件系统使用了逻辑簇号(Logical Cluster Number,LCN)和虚拟簇号(Virtual Cluster Number,VCN)对卷进行管理。

其中LCN是对卷的第一个簇到最后一个簇进行编号,只要知道LCN号和簇的大小以及NTFS卷在物理磁盘中的起始扇区(绝对扇区)就可以对簇进行定位,而这些信息在NTFS卷的引导扇区中可以找到(BPB参数),在系统底层也是用这种方法对文件的簇进行定位的。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
文件的属性较多时, 用于存放文件的各种属性, 以方便访问 存放文件 O 目录名, 一个文件 O 目录可有多个文件名属性 对象标识符, 支持面向对象用, 可通过该标识符直接访问文件 兼容用, 从 &’_$" 起 , 该 值 被 *)/HG-/ 元 文 件 代 替 , 便于共享 存放卷名或卷标识, 该 属 性 仅 在 文 件 *‘I7G4/ 元 文 件 中 使 用 包含卷的状态等信息, 该 属 性 仅 在 文 件 *‘I7G4/ 元 文 件 中 使 用 存放文件的具体内容, 一个文件可有多个数据属性 可实现一个索引, 如目录等 <; 树 的 根 结 点 , 用 于 存 放 <; 树 的 所 有 子 结 点 每一位表示一个实体( 如 ‘:& , 文件记录使用标志) 的当前状态
O O 总为 " <=’> S/-IM#N ;
一般为 "" O O &’() 未使用, ?@A. &ITF/8 ; 硬盘为 "Q(% O O 介质描述符, <=’> 2/865L.;
?@A. S/-I1 ; O O 总为 " O O 每道扇区数,对硬盘来说一般为 ?@A. )/H,I-FC/-’-5HJ ; "Q#( ?@A. U/58F; O O 硬盘的磁头数 .?@A. U68/V)/H,I-F; O O 指该分区前的隐含扇区数,一般为
2(’ 表中具有固 定 地 址 的 文 件 , 其 它 文 件 和 目 录 的 文 件 记 录 可以存放在 2(’ 表中的任意地方, 2(’ 的结构如表 ! 所示。
9
&’() 中的关键数据结构
为编程方便, 关键数据结构主要以 :;; 数据结构的形式给
出,其中 <=’> 代表 1 个字节, ?@A. 代表 ! 个字节, .?@A. 代表 9 个字节, B?@A. 代表 % 个字节的数据长度。对于无法 以表的形式给出。 用 :;;数据结构形式给出的数据结构,
的主要依据, 它 包 含 了 卷 中 所 有 文 件 的 信 息 。 2(’ 的 前 13 个 , 用于存放系统的 文件属于系 统 文 件 , 也称为元文件( 4/,5067/ ) 元数据( 。 这 13 个 文 件 是 &’() 文 件 系 统 中 唯 一 在 4/,585,5 )
O O 该分区总的扇区数 B?@A. ’I,57)/H,I-F; B?@A. 2(’),5-,:7GF,/- ; O O W2(’ 表的起始簇号 X:& O O 2(’ 备份表的起始簇号X:& B?@A. 2(’26--I-),5-,:7GF,/-; O O 每个 2(’ 记录的簇数 .?@A. :7GF,/-FC/-2(’A/HI-8 ; .?@A. :7GF,/-FC/-LV8/Q<7IHJ ; O O 每个索引块的簇数 B?@A. )/-657&G4Y/- ; O O 该卷的序列号 .?@A. :Z/HJ)G4; O O 校验和 [:&’()<C< ;
录, 这些文件记录称为扩展文件记录, 文件记录的基本结构参
2(’ 的元文件记录及作用
" 1 ! # 9 _ 3
) 2(’ ) 2(’26-) XId(67/ ) ‘I7G4/ ) +,,-./0 )$ ) <6,45E
有较好容错性和安全性的文件系统, 它的设计目标是面向对数 据安全性等要求比较高的商务和企业级应用。 由于微软没有公 开 ’()* 的 结 构 , 因 此 如 果 想 编 写 不 借 助 于 84/90,5’( : !; : 往往难以进行。笔者 <= 而直接操作 ’()* 文件系统的程序时, 在参考有关资料的基础上, 利用磁盘工具对 ’()* 的 文 件 系 统 作了一些分析, 并编写了相应程序对所给结构作了验证。’()* 文件系统一直在发展和完善中, 84/90,5’( 系列各个版本使用 的 ’()* 文件系统的结构稍有差异。文章描述的有关 ’()* 的 结构是基于 84/90,5!; 所使用的。
!"#$ 文件系统的主要数据结构
梁金千 张 跃 ( 清华大学自动化系, 北京 &"""%K )
LM7D41: 1NO"&P7D415$654/2.ED$+9E$-/
摘 要 文章分析了 ’()* 文件系统的主要数据结构。从编写直接操作 ’()* 文 件 系 统 程 序 所 需 的 知 识 出 发 , 给 出 了 并对数据结构中的主要成员给出了详细的说明。 ’()* 文件系统中主要的数据结构, 关键词
’()* 文 件 系 统 的 这 种 组 织 结 构 和 人 们 熟 知 的 )?( 文 件
系统分系统区和数据区, 且文件仅作为文本或二进制的集合来 存储有着很大的区别, 这样做的优点是: ( 便于文件系统对数据的定位和处理, 由于普通文件是 &) 以属性 : 属性值的方式进行组织的,因此文件系统不仅容易定 位文件中的数据, 而且容易访问文件的各种属性。 ( 可通过文件的安全描述符来对重要的系统文件进行保 !) 护, 这样在正常情况下, 文件系统不会破坏重要的系统文件。 当 然, 如果绕过文件系统的支持( 不 调 用 文 件 系 统 提 供 的 ?=@ 函 数) , 通过直接操作磁盘来访问磁盘上的文件, 则系统是无法对 此进行保护的。 ( 如果磁盘的一部分发生损坏, 文件系统可对磁盘的坏 #) 扇区进行重定位, 从而使文件系统不对磁盘的某些区域具有特 殊的依赖性, 从而更健壮, 反之, 则要对磁盘的某些区域形成特 殊的依赖。 如 )?( 文件系统对 )?( 表就具有很强的依赖性, 该 区域一旦有一部分磁盘扇区遭到损坏, 则系统将无法访问该部 分 )?( 表对应的数据区, 即使该区域的磁盘是完 好 无 损 的 , 严 重情况下, 会导致整个文件系统毁坏。 ( 容易扩展卷的空间, 由于所有的数据均以文件形式存 K) 在,而文件形式的存贮很容易实现在磁盘上的非连续性存放, 因此对一些系统数据, 如卷的分配状态等在系统格式化分配完 成后很容易进行扩展。这和 )?( 等文件系统一旦格式化后, 系 统数据空间难以改变有着很大的区别。
9$!
2(’ 表中文件记录的数据结构
9$1
&’() 的 <C< 表的数据结构
&’() 的 <C< 表 和 (+’ 文 件 系 统 的 <C< 表 相 似 , 它 是 根据该表提供的有关数据, 可以 &’() 文件系统安装卷的依据,
定位卷中关键 区 域 ( 的位置。下面给出的数据结构 2(’ 表 等 ) 即引导扇区的第 9 个字节起 在引导扇区的偏移量是 # 个字节, 为该结构。
和磁盘容量及格式 )/H,I-FC/-:7GF,/- ; O O 每簇扇区数, 化时的具体设置有关 一般为 " ?@A. A/F/-R/8)/H,I-F; O O 保留扇区数,
"Q1" "Q!" "Q#" "Q9" "Q_" "Q3" "Qa" "Q%" "Qb" "Q+" "Q<"
*)’+&.+A.]L&(@A2+’L@& 包 含 文 件 的 创 建 O 修 改 O 最 近 访 问 时 间 及 兼 容 .@) 的 文 件 属 性 *+’’AL<T’>]XL)’ *(LX>]&+2> *@<^>:’]L. *)>:TAL’=].>):ALC’@A *‘@XT2>]&+2> *‘@XT2>]L&(@A2+’L@& *.+’+ *L&.>c]A@@’ *L&.>c]+XX@:+’L@& *<L’2+C
中, 系统定义的常用属性见表 1 。
表1
类型 属性名称
K
必 须 为 P&’()P , 不 属 于 <C< O O 系统标识, <=’> @>2L.M%N ; 表, 为编程方便纳入
&’() 卷上常用属性
属性内容描述
?@A. <D,/FC/-)/H,I- ; O O每扇区字节数,大多数磁盘为 "Q!"" <=’>
一个磁道的扇区数: "Q#( 一般为 "" O O &’() 未使用, .?@A. &ITF/81 ; 一般为 "Q""%"""%" .?@A. &ITF/8! ; O O &’() 未使用,
#
主控文件表 2(’ 的结构
它 是 &’() 用 于 管 理 磁 盘 2(’ 是 &’() 文 件 系 统 的 核 心 ,
作者简介: 梁金千( 男, 博士生, 主要研究方向: 计算机数据和网络安全。张跃( , 男, 副教授, 博士后, 主要研究方向: 模糊控制和嵌入 &XQ%M ) &XQ"M ) 式系统 ’()* 文件系统的主要数据结构。
&&Q !""#$% 计算机工程与应用
&’() 文 件 系 统 的 属 性 定 义 存 放 的 是 属 性 文 件 *+,,-./0
’()*
文件系统
文件记录
数据结构 文献标识码 ? 中图分类号 (=###
文章编号 &""!M%##&M( !""# ) "%M"&&QM"#