NTFS屬性分析

1、NTFS屬性分析MFT文件記錄結(jié)構(gòu) 主文件表的文件記錄由記錄頭和屬性列表組成，大小為1KB或一個簇大小。 屬性列表長度可變，以“FF FF FF FF”結(jié)束。 對于1KB長度的MFT記錄，屬性列表的起始偏移為0 x30 文件通過MFT來確定存儲位置。MFT是一個對應(yīng)的數(shù)據(jù)庫，由一系列文件記錄組成卷中每個文件都有一個文件記錄（大型文件可能有多個記錄與之對應(yīng)），其中第一個文件記錄稱為基本文件記錄 MFT文件的MFT分析 MFT頭 10H類型屬性（標準屬性信息） 30H類型屬性（文件名屬性） 80H類型屬性（數(shù)據(jù)屬性） B0H類型屬性（位圖屬性） MFT結(jié)束標志記錄頭的結(jié)構(gòu)每次記錄修改都導(dǎo)致日志文件

2、序列號($LogFile Sequence Number)變化序列號(sn)用于記錄主文件表記錄被重復(fù)使用的次數(shù)硬鏈接數(shù)記錄硬鏈接數(shù)目，只出現(xiàn)在基文件記錄中文件記錄的實際長度是文件記錄在磁盤上實際占用的字節(jié)空間基文件記錄中的文件索引號，對于基本文件記錄，其值為0，如果不為0，則是一個主文件表的文件索引號，指向所屬的基本文件記錄中的文件記錄號，在基本文件記錄中包含有擴展文件記錄信息，儲存在“屬性列表”屬性中10屬性相對本屬性起始地址，從偏移00H開始的四個字節(jié)表示類型，即屬性名，這里是10H，在$AttrDef中，10H表示標準信息，所以，這里就是標準信息，前面已經(jīng)介紹，所有的屬性都有頭部和屬性

3、值組成，標準屬性也一樣，有一個標準的屬性頭，其頭部結(jié)構(gòu)如表從偏移00H開始的四個字節(jié)表示類型，即屬性名，這里是10H，在SAttrDef中，10H表示標準信息；從偏移04H開始的4個字節(jié)表示本屬性長度，包括頭部，這里是60H，即本屬性長度為96個字節(jié)，從屬性開始的38H算起，38H+60H=98H，所以下一個屬性的起始偏移為98H。從偏移08H開始的一個字節(jié)是非常駐標志，0表示本屬性值常駐，1表示非常駐：從偏移09H開始的1字節(jié)表示屬性名長度，為0表示是$AttrDef中定義的標準屬性；從偏移0AH開始的兩個字節(jié)表示名稱相對于本屬性起始地址的偏移值，由于名稱長度為0，所以這里的值沒有意義；從偏

4、移0CH開始的兩個字節(jié)是標志字節(jié)；從偏移0EH開始的兩個字節(jié)是標識字；從偏移10H開始的四個字節(jié)表示常駐屬性值的長度，此處為48H，表示屬性部分占用48H，屬性頭為18H；屬性值為48H，共計18H+48H=60H，是屬性長度；從偏移14H開始的兩個字節(jié)表示相對屬性起始地址的屬性的起始偏移地址：從偏移16H開始的1個字節(jié)表示索引標志；從偏17H開始的字節(jié)為填充字節(jié)；從偏移18H開始的L(L為屬性長度)個字節(jié)為屬性字節(jié)，所使用的偏移是相對于屬性內(nèi)容起始偏移的偏移，即相對于屬性頭起始偏移0 x18處，相對于整個文件記錄偏移0 x48處。標準屬性的結(jié)構(gòu)文件屬性含義時間日期域的意義 在本屬性內(nèi)從偏移1

5、8H開始，至偏移37H止，共20H個字節(jié)，即32個字節(jié)，分為4組，每組8個字節(jié)，分別表示創(chuàng)建時間、修改時間、最后的一次MFT更新時間和最后一次的訪問時間，每8個字節(jié)按從低到高的順序存儲，即高位字節(jié)在后，如創(chuàng)建時間“E0 E3 E1 A0 66 E9 C3 0I”，應(yīng)該是01C3E966A0E1E3E0H； 換算成I0進制所得到的結(jié)果為從1601-1-1開始的110000000的秒數(shù)，即千萬分之一的秒數(shù)； 如01 C3 E9 66 A0 E1 E3 E0H =127201841491600352D，此數(shù)乘以1/10000000所得結(jié)果即為從1601-1-1開始秒數(shù)，這里是12720184149.

6、1600352秒。30屬性（文件名） 標準屬性之后的是文件名屬性，文件名屬性也一定是常駐屬性，用于存儲文件名。如$AttrDef中定義，其大小從68字節(jié)到578字節(jié)不等，與最大文件名為255個Unicode字符 文件名屬性也由一個標準的屬性頭和可變長度的屬性內(nèi)容組成文件名屬性的屬性頭結(jié)構(gòu)文件名屬性內(nèi)容結(jié)構(gòu)文件標志含義命名空間將一個POSIX或Win32文件名轉(zhuǎn)換成一個DOS友好的文件名，遵循以下步驟： 刪除所有Unicode字符；刪除所有的“.”，保留最后但又不是第一個字符的“.”；將所有字母轉(zhuǎn)換成大寫字母；刪除禁止使用的字符：截斷“.”之前的所有字符，使之只保留6個字符，然后加上“1”；截斷

7、“.”后3個字符以后的所有字符：如果這樣得到的文件名已經(jīng)存在，將“1”值遞增，這也意味著，即使產(chǎn)生的DOS文件名是惟一的，也不能斷定產(chǎn)生這個DOS名的Win32文件名是惟一的。根據(jù)圖可以知道，其文件名為Win32&DOS類型，長為4個字符，從偏移0 x42開 始，所以文件名為“24004D0046005400，因為是Unicode字符，所以占用了8個字節(jié)， 也就是“$MFT”。 數(shù)據(jù)流80屬性 數(shù)據(jù)流的屬性頭分析 對照圖表可以知道，文件的起始VCN為0，結(jié)束VCN為0X1FF18177，所以文件$MFT共占用8178個簇，由于簇大小為8個扇區(qū)，所以，文件$MFT分配大小為8178x8x

8、512=334970880 x1FF2000，與0 x28處的值劉照可以看到，兩個值相等。屬性值實際大小為0X1FF1C00=33496064字節(jié)，3496064/220=31.9443359375MB，也就是319MB具體存儲位置分析那么這些屬怕姬到底存儲在什么地方呢?這就是數(shù)據(jù)運行了從屬性頭可知，數(shù)據(jù)運行的起始偏移為0 x40，從這里開始的8個字節(jié)為“32 F2 1F 00 00 0C 00 00”。這些運行含義如下：“32 F2 1F 00 00 0C”中，“3”表示后面5個字節(jié)中后面的3個字節(jié)是運行的起始簇號，即運行的起始簇號為“0C0000”，顛倒過來是因為高位字節(jié)在后，“2”表示前

9、面的2個字節(jié)表示運行的大小，即該運行的大小為“1F F2”。所以，文件$MFT的數(shù)據(jù)實際上存儲在起始簇號為“0C 00 00”即786432簇的地方，共“1F F2”即8178個簇。用VCN表示就是：起始的VCN為0，結(jié)束的VCN為8177，共8178個簇。用LCN表示就是起始LCN=786432，結(jié)束LCN=786432+8177=794609，因為簇因子(卷因子)是8，所以，實際的起始扇區(qū)號786432 x 86291456，$MFT的簇是連續(xù)的，所以只有一個運行。有多個運行的情況分析 圖所示的$Secure文件的數(shù)據(jù)運行，內(nèi)容為“21 48 06 24 31 01 F3 AA 02 31

10、 01 0D 0A 05 31 01 F3 38 02 31 01 C3 4B 05 00 A2 6B 81 D0 50 3D El” 按原則依次劃分為21：48 06 24；31：0I F3 AA 02；31：01 0D 0A 05；31：01 F3 38 02；31：01 C3 4B 05，由于到此處下一個運行為00”打頭，所以就結(jié)束了，共5個運行。分析VCN從0到75，只有76個簇，所以文件本身并不大，但比較分散，不是連續(xù)存儲首先，第一個運行為2l 48 06 24，所以，起始的LCN=2406H=9222，長度為48H=72個簇，即結(jié)束LCN=9222+71=9293；第二個運行是31

11、：01 F3 AA 02，同理，后3位“02AAF3表示的是下一段LCN的起始值，但這里不足直接用“02 AA F3”來表示，而是用與前一個運行的相對值來表示的，所以，這一個LCN的起始是02 AA F3H + 2406H =2CEF9H=184057，長度為1個簇；第三個運行為31：01 0D 0A 05，所以，起始LCN=2CEF9H+050A0DH=7D906H=514310，長度仍然只有一個簇；下一個運行31：0I F3 38 02表示起始LCN=7D906H+0238F3H=0A11F9H=659961；再下一個運行31：01 C3 4B 05表示起始LCN=0A11F9H+054BC3H0F5DBCH=1007036。位圖NTFS卷中文件的刪除 在NTFS卷中刪除一個文件時，系統(tǒng)至少在三個地方做了改變: 一是該文