NTFS相信大家都应该知道,毕竟现在操作系统安装的大都是WinXP,通常都采用的是NTFS文件系统。在这里我还是稍做阐述吧。
NTFS,也就是新技术文件系统(NEW TECHNOLOGY FILE SYSTEM)。如何查看自己的操作系统采用的是何种操作系统,方法太多勒。简单一点的,打开‘我的电脑’,右键‘本地磁盘’,见下面的图片吧:。
很明显的能看见此分区是什么文件系统。我这个分区就是NTFS.
好了,下面正式今天的话题——NTFS文件系统结构分析,先谈DBR吧。什么是DBR,我这里还是解释下:Disk Operate System Boot Record(也就是操作系统引导记录);至于说这东西在磁盘上的具体什么位置,我前面的文章(再谈低格(低级格式化)、分区、高格(高级格式化)、快格(快速格式化))已经作了介绍,这里就不重复了。
要分析DBR,首先我们需要打开磁盘,查看DBR中到底有些什么。先看图片吧:
从这图片中我们能看出什么呢。。
1、首先是DBR在磁盘中的位置,我打开的是C盘,也就是我硬盘的第一个分区,所以,左面能看见“物理扇区号”和“逻辑扇区号”分别为‘63’和‘0’,为什么物理扇区号是63?为什么逻辑扇区号又是1?
好象曾经也提到过,这里再写下,这和磁盘的存储结构有关,磁盘最前面是主引导扇区,紧跟其后的是保留扇区。接着就是分区部分,DBR勒,由于前面的MBR和保留扇区占了62个,这里就是第63个扇区;“逻辑号”顾名思义,就是这个分区的第一个扇区。还要说明一点就是物理扇区号是从1开始的,逻辑号是从0开始的。
2、每一个簇有多少字节,这里是4096,也就是4K,或者说是8个扇区。每个扇区有多少字节,左面也有详细的说明——512字节。如果你有多块磁盘的话,能看出这是第几块磁盘的信息等。
3、还有很多,也是最重要的,就是中间的这些东西勒,全是16进制的。至于说每个代表什么意思,还是先看下面的图片说明吧:
这张图片已经很清楚的解释了这个扇区的记录信息。在这里要重点提出说明的就是我特别画出红色圈的部分。在offset 30 处“开始C#$MFT” 中的值为262144。这是簇号,下次的“NTFS文件系统结果分析之MFT”中将再次提到这点。
注:利用工具为WinHex
NTFS,也就是新技术文件系统(NEW TECHNOLOGY FILE SYSTEM)。如何查看自己的操作系统采用的是何种操作系统,方法太多勒。简单一点的,打开‘我的电脑’,右键‘本地磁盘’,见下面的图片吧:。
很明显的能看见此分区是什么文件系统。我这个分区就是NTFS.
好了,下面正式今天的话题——NTFS文件系统结构分析,先谈DBR吧。什么是DBR,我这里还是解释下:Disk Operate System Boot Record(也就是操作系统引导记录);至于说这东西在磁盘上的具体什么位置,我前面的文章(再谈低格(低级格式化)、分区、高格(高级格式化)、快格(快速格式化))已经作了介绍,这里就不重复了。
要分析DBR,首先我们需要打开磁盘,查看DBR中到底有些什么。先看图片吧:
从这图片中我们能看出什么呢。。
1、首先是DBR在磁盘中的位置,我打开的是C盘,也就是我硬盘的第一个分区,所以,左面能看见“物理扇区号”和“逻辑扇区号”分别为‘63’和‘0’,为什么物理扇区号是63?为什么逻辑扇区号又是1?
好象曾经也提到过,这里再写下,这和磁盘的存储结构有关,磁盘最前面是主引导扇区,紧跟其后的是保留扇区。接着就是分区部分,DBR勒,由于前面的MBR和保留扇区占了62个,这里就是第63个扇区;“逻辑号”顾名思义,就是这个分区的第一个扇区。还要说明一点就是物理扇区号是从1开始的,逻辑号是从0开始的。
2、每一个簇有多少字节,这里是4096,也就是4K,或者说是8个扇区。每个扇区有多少字节,左面也有详细的说明——512字节。如果你有多块磁盘的话,能看出这是第几块磁盘的信息等。
3、还有很多,也是最重要的,就是中间的这些东西勒,全是16进制的。至于说每个代表什么意思,还是先看下面的图片说明吧:
这张图片已经很清楚的解释了这个扇区的记录信息。在这里要重点提出说明的就是我特别画出红色圈的部分。在offset 30 处“开始C#$MFT” 中的值为262144。这是簇号,下次的“NTFS文件系统结果分析之MFT”中将再次提到这点。
注:利用工具为WinHex
Ext2与Ext3文件系
