NTFS屬性分析

1、NTFS屬性分析MFT文件記錄結(jié)構(gòu) 主文件表的文件記錄由記錄頭和屬性列表組成，大小為1KB或一個(gè)簇大小。 屬性列表長(zhǎng)度可變，以“FF FF FF FF”結(jié)束。 對(duì)于1KB長(zhǎng)度的MFT記錄，屬性列表的起始偏移為0 x30 文件通過(guò)MFT來(lái)確定存儲(chǔ)位置。MFT是一個(gè)對(duì)應(yīng)的數(shù)據(jù)庫(kù)，由一系列文件記錄組成卷中每個(gè)文件都有一個(gè)文件記錄（大型文件可能有多個(gè)記錄與之對(duì)應(yīng)），其中第一個(gè)文件記錄稱(chēng)為基本文件記錄 MFT文件的MFT分析 MFT頭 10H類(lèi)型屬性（標(biāo)準(zhǔn)屬性信息） 30H類(lèi)型屬性（文件名屬性） 80H類(lèi)型屬性（數(shù)據(jù)屬性） B0H類(lèi)型屬性（位圖屬性） MFT結(jié)束標(biāo)志記錄頭的結(jié)構(gòu)每次記錄修改都導(dǎo)致日志文件

2、序列號(hào)($LogFile Sequence Number)變化序列號(hào)(sn)用于記錄主文件表記錄被重復(fù)使用的次數(shù)硬鏈接數(shù)記錄硬鏈接數(shù)目，只出現(xiàn)在基文件記錄中文件記錄的實(shí)際長(zhǎng)度是文件記錄在磁盤(pán)上實(shí)際占用的字節(jié)空間基文件記錄中的文件索引號(hào)，對(duì)于基本文件記錄，其值為0，如果不為0，則是一個(gè)主文件表的文件索引號(hào)，指向所屬的基本文件記錄中的文件記錄號(hào)，在基本文件記錄中包含有擴(kuò)展文件記錄信息，儲(chǔ)存在“屬性列表”屬性中10屬性相對(duì)本屬性起始地址，從偏移00H開(kāi)始的四個(gè)字節(jié)表示類(lèi)型，即屬性名，這里是10H，在$AttrDef中，10H表示標(biāo)準(zhǔn)信息，所以，這里就是標(biāo)準(zhǔn)信息，前面已經(jīng)介紹，所有的屬性都有頭部和屬性

3、值組成，標(biāo)準(zhǔn)屬性也一樣，有一個(gè)標(biāo)準(zhǔn)的屬性頭，其頭部結(jié)構(gòu)如表從偏移00H開(kāi)始的四個(gè)字節(jié)表示類(lèi)型，即屬性名，這里是10H，在SAttrDef中，10H表示標(biāo)準(zhǔn)信息；從偏移04H開(kāi)始的4個(gè)字節(jié)表示本屬性長(zhǎng)度，包括頭部，這里是60H，即本屬性長(zhǎng)度為96個(gè)字節(jié)，從屬性開(kāi)始的38H算起，38H+60H=98H，所以下一個(gè)屬性的起始偏移為98H。從偏移08H開(kāi)始的一個(gè)字節(jié)是非常駐標(biāo)志，0表示本屬性值常駐，1表示非常駐：從偏移09H開(kāi)始的1字節(jié)表示屬性名長(zhǎng)度，為0表示是$AttrDef中定義的標(biāo)準(zhǔn)屬性；從偏移0AH開(kāi)始的兩個(gè)字節(jié)表示名稱(chēng)相對(duì)于本屬性起始地址的偏移值，由于名稱(chēng)長(zhǎng)度為0，所以這里的值沒(méi)有意義；從偏

4、移0CH開(kāi)始的兩個(gè)字節(jié)是標(biāo)志字節(jié)；從偏移0EH開(kāi)始的兩個(gè)字節(jié)是標(biāo)識(shí)字；從偏移10H開(kāi)始的四個(gè)字節(jié)表示常駐屬性值的長(zhǎng)度，此處為48H，表示屬性部分占用48H，屬性頭為18H；屬性值為48H，共計(jì)18H+48H=60H，是屬性長(zhǎng)度；從偏移14H開(kāi)始的兩個(gè)字節(jié)表示相對(duì)屬性起始地址的屬性的起始偏移地址：從偏移16H開(kāi)始的1個(gè)字節(jié)表示索引標(biāo)志；從偏17H開(kāi)始的字節(jié)為填充字節(jié)；從偏移18H開(kāi)始的L(L為屬性長(zhǎng)度)個(gè)字節(jié)為屬性字節(jié)，所使用的偏移是相對(duì)于屬性?xún)?nèi)容起始偏移的偏移，即相對(duì)于屬性頭起始偏移0 x18處，相對(duì)于整個(gè)文件記錄偏移0 x48處。標(biāo)準(zhǔn)屬性的結(jié)構(gòu)文件屬性含義時(shí)間日期域的意義 在本屬性?xún)?nèi)從偏移1

5、8H開(kāi)始，至偏移37H止，共20H個(gè)字節(jié)，即32個(gè)字節(jié)，分為4組，每組8個(gè)字節(jié)，分別表示創(chuàng)建時(shí)間、修改時(shí)間、最后的一次MFT更新時(shí)間和最后一次的訪問(wèn)時(shí)間，每8個(gè)字節(jié)按從低到高的順序存儲(chǔ)，即高位字節(jié)在后，如創(chuàng)建時(shí)間“E0 E3 E1 A0 66 E9 C3 0I”，應(yīng)該是01C3E966A0E1E3E0H； 換算成I0進(jìn)制所得到的結(jié)果為從1601-1-1開(kāi)始的110000000的秒數(shù)，即千萬(wàn)分之一的秒數(shù)； 如01 C3 E9 66 A0 E1 E3 E0H =127201841491600352D，此數(shù)乘以1/10000000所得結(jié)果即為從1601-1-1開(kāi)始秒數(shù)，這里是12720184149.

6、1600352秒。30屬性（文件名） 標(biāo)準(zhǔn)屬性之后的是文件名屬性，文件名屬性也一定是常駐屬性，用于存儲(chǔ)文件名。如$AttrDef中定義，其大小從68字節(jié)到578字節(jié)不等，與最大文件名為255個(gè)Unicode字符 文件名屬性也由一個(gè)標(biāo)準(zhǔn)的屬性頭和可變長(zhǎng)度的屬性?xún)?nèi)容組成文件名屬性的屬性頭結(jié)構(gòu)文件名屬性?xún)?nèi)容結(jié)構(gòu)文件標(biāo)志含義命名空間將一個(gè)POSIX或Win32文件名轉(zhuǎn)換成一個(gè)DOS友好的文件名，遵循以下步驟： 刪除所有Unicode字符；刪除所有的“.”，保留最后但又不是第一個(gè)字符的“.”；將所有字母轉(zhuǎn)換成大寫(xiě)字母；刪除禁止使用的字符：截?cái)唷?”之前的所有字符，使之只保留6個(gè)字符，然后加上“1”；截?cái)?/p>

7、“.”后3個(gè)字符以后的所有字符：如果這樣得到的文件名已經(jīng)存在，將“1”值遞增，這也意味著，即使產(chǎn)生的DOS文件名是惟一的，也不能斷定產(chǎn)生這個(gè)DOS名的Win32文件名是惟一的。根據(jù)圖可以知道，其文件名為Win32&DOS類(lèi)型，長(zhǎng)為4個(gè)字符，從偏移0 x42開(kāi) 始，所以文件名為“24004D0046005400，因?yàn)槭荱nicode字符，所以占用了8個(gè)字節(jié)， 也就是“$MFT”。 數(shù)據(jù)流80屬性 數(shù)據(jù)流的屬性頭分析 對(duì)照?qǐng)D表可以知道，文件的起始VCN為0，結(jié)束VCN為0X1FF18177，所以文件$MFT共占用8178個(gè)簇，由于簇大小為8個(gè)扇區(qū)，所以，文件$MFT分配大小為8178x8x

8、512=334970880 x1FF2000，與0 x28處的值劉照可以看到，兩個(gè)值相等。屬性值實(shí)際大小為0X1FF1C00=33496064字節(jié)，3496064/220=31.9443359375MB，也就是319MB具體存儲(chǔ)位置分析那么這些屬怕姬到底存儲(chǔ)在什么地方呢?這就是數(shù)據(jù)運(yùn)行了從屬性頭可知，數(shù)據(jù)運(yùn)行的起始偏移為0 x40，從這里開(kāi)始的8個(gè)字節(jié)為“32 F2 1F 00 00 0C 00 00”。這些運(yùn)行含義如下：“32 F2 1F 00 00 0C”中，“3”表示后面5個(gè)字節(jié)中后面的3個(gè)字節(jié)是運(yùn)行的起始簇號(hào)，即運(yùn)行的起始簇號(hào)為“0C0000”，顛倒過(guò)來(lái)是因?yàn)楦呶蛔止?jié)在后，“2”表示前

9、面的2個(gè)字節(jié)表示運(yùn)行的大小，即該運(yùn)行的大小為“1F F2”。所以，文件$MFT的數(shù)據(jù)實(shí)際上存儲(chǔ)在起始簇號(hào)為“0C 00 00”即786432簇的地方，共“1F F2”即8178個(gè)簇。用VCN表示就是：起始的VCN為0，結(jié)束的VCN為8177，共8178個(gè)簇。用LCN表示就是起始LCN=786432，結(jié)束LCN=786432+8177=794609，因?yàn)榇匾蜃?卷因子)是8，所以，實(shí)際的起始扇區(qū)號(hào)786432 x 86291456，$MFT的簇是連續(xù)的，所以只有一個(gè)運(yùn)行。有多個(gè)運(yùn)行的情況分析 圖所示的$Secure文件的數(shù)據(jù)運(yùn)行，內(nèi)容為“21 48 06 24 31 01 F3 AA 02 31

10、 01 0D 0A 05 31 01 F3 38 02 31 01 C3 4B 05 00 A2 6B 81 D0 50 3D El” 按原則依次劃分為21：48 06 24；31：0I F3 AA 02；31：01 0D 0A 05；31：01 F3 38 02；31：01 C3 4B 05，由于到此處下一個(gè)運(yùn)行為00”打頭，所以就結(jié)束了，共5個(gè)運(yùn)行。分析VCN從0到75，只有76個(gè)簇，所以文件本身并不大，但比較分散，不是連續(xù)存儲(chǔ)首先，第一個(gè)運(yùn)行為2l 48 06 24，所以，起始的LCN=2406H=9222，長(zhǎng)度為48H=72個(gè)簇，即結(jié)束LCN=9222+71=9293；第二個(gè)運(yùn)行是31

11、：01 F3 AA 02，同理，后3位“02AAF3表示的是下一段LCN的起始值，但這里不足直接用“02 AA F3”來(lái)表示，而是用與前一個(gè)運(yùn)行的相對(duì)值來(lái)表示的，所以，這一個(gè)LCN的起始是02 AA F3H + 2406H =2CEF9H=184057，長(zhǎng)度為1個(gè)簇；第三個(gè)運(yùn)行為31：01 0D 0A 05，所以，起始LCN=2CEF9H+050A0DH=7D906H=514310，長(zhǎng)度仍然只有一個(gè)簇；下一個(gè)運(yùn)行31：0I F3 38 02表示起始LCN=7D906H+0238F3H=0A11F9H=659961；再下一個(gè)運(yùn)行31：01 C3 4B 05表示起始LCN=0A11F9H+054BC3H0F5DBCH=1007036。位圖NTFS卷中文件的刪除 在NTFS卷中刪除一個(gè)文件時(shí)，系統(tǒng)至少在三個(gè)地方做了改變: 一是該文