NTFS 元文件 序 号 元 文 件 功 能 0 $MFT 主文件表本身 1 $MFTMIRR 主文件表的部分镜像 2 $LOGFILE 日志文件 3 $VOLUME 卷文件 4 $ATTRDEF 属性定义列表 5 $ROOT 根目录 6 $BITMAP 位图文件 7 $BOOT 引导文件 8 $BADCLUS 坏簇文件 9 $SECURE 安全文件 10 $UPCASE 大写文件 11 $EXTEND METADATA DIRECTORY 扩展元数据目录 12 $EXTEND\$REPARSE 重解析点文件 13 $EXTEND\$USNJRNL 变更日志文件 14 $EXTEND\$QUOTA 配额管理文件 15 $EXTEND\$OBJID 对象 ID文件 16~23 保留 23+ 用户文件和目录 文件记录可能的属性 类型 操作系统 名称 0X10 标准信息 0X20 属性列表 0X30 文件名 0X40 NT 卷版本 0X40 2K 对象 ID 0X50 安全描述符 0X60 卷名 0X70 卷信息 0X80 数据 0X90 索引根 0XA0 索引分配 0XB0 位图 0XC0 NT 符号连接 0XC0 2K 重解析点 0XD0 扩展信息 0XE0 扩展 0XF0 NT 特权设置 0X100 2K 日志流 MFT文件记录头部结构布局 偏移 长度 描述 0X0 4 固定值,一定是“FILE” 0X4 2 更新序列号的偏移 0X6 2 更新序列号与更新数组以字为单位大小(S) 0X8 8 日志文件序列号(每次记录被修改,都将导致该序列号加1) 0X10 2 序列号(用于记录本文件记录被重复使用的次数,每次文件删除时加 1,跳过 0值,如果为 0,则保持为 0) 0X12 2 硬连接数,只出现在基本文件记录中,目录所含项数要使用到它 0X14 2 第一个属性流的偏移地址 0X16 2 标志字节,1表示记录使用中,2表示该记录为目录 0X18 4 文件记录实际大小(填充到 8字节,即以 8字节为边界) 0X1C 4 文件记录分配大小(填充到 8字节,即以 8字节为边界) 0X20 8 所对应的基本文件记录的文件参考号(扩展文件记录中使用,基本文件记录中为 0,在基本文件记录的属性列表 0X20属性存储中扩展文件记录的相关信息) 0X28 2 下一个自由 ID号,当增加新的属性时,将该值分配给新属性,然后该值增加,如果 MFT记录重新使用,则将它置0,第一个实例总是0 0X2A 2 边界,WINDOWS XP中使用,也就是本记录使用的两个扇区的最后两个字节的值 0X2C 4 WINDOWS XP中使用,本 MFT记录号 2 更新序列号 2S-2 更新序列数组 标准属性的属性头结构 偏移 大小 值 描述 0X00 4 0X10 属性类型(10,标准属性) 0X04 4 0X60 总...
