数据恢复软件设计与实现(七)

6  NTFS文件系统介绍

NTFS文件系统是随着Windows NT操作系统诞生的，名字都有相似之处。NTFS有很多的特点：安全性、可恢复性、文件压缩、磁盘配额、B-树文件管理。这些特点是文件系统具有极高的安全性和稳定性，在使用中不易产生碎片。

微软未公布NTFS细节及实现，只有一些开源文档揭秘，这些资料目前看来是正确的，但其正确性有待验证，所以深入的研究是不得而知的，这对解析NTFS文件系统都有一定的困难，参考了很多资料也解析不了完整的NTFS。国内出版的书只是很浅显地介绍了文件系统的几个基本概念，比如结构、属性、元文件，这些资料遍地都是，泛滥得一塌糊涂。其实NTFS的核心是B-树（很多资料错误地写成B+树），B-树实现文件的动态管理，文件/目录的创建、修改、删除等操作都会引起B-树的变化，极其复杂。研究了很久终不得要领，只简单地理解大概的B-树。以下首先介绍NTFS文件系统的结构，然后具体介绍B-树。

6.1 NTFS结构

虽然NTFS和FAT32有很大区别，但是它们的结构是有共通之处的。NTFS大概的结构如下图6-1所示。$Boot包含了引导扇区。$MFT是主文件表，是NTFS结构的核心。最后的一个扇区是$Boot引导扇区的备份，其实它不是不分区内的结构，是属于分区外的一个扇区备份，它的大小不算入分区大小，从FAT32文件系统转换成NTFS是没有后面的$Boot扇区备份的。理解NTFS文件系统结构的最关键的概念：一切东西都是文件。所以其他的元文件都是文件，不作为特殊的结构列出。和FAT32一样，数据也是以簇为单位来存储。



6.2 NTFS引导扇区
NTFS的引导扇区是元文件$Boot中的一部分。它的结构和FAT32的类似，习惯上称为DBR，大概结构如图6-2所示。其中BPB的参数含义如下表6-1。



表6-1 NTFS文件系统BPB参数含义

偏移	长度（字节）	含义	偏移	长度（字节）	含义
0x0B	2	每扇区字节数	0x0D	1	每簇扇区数
0x0E	2	保留扇区	0x10	3	总是0
0x13	2	未使用	0x15	1	介质描述符
0x16	2	未用	0x18	2	每磁道扇区数
0x1A	2	磁头数	0x1C	4	隐藏扇区
0x20	4	未使用	0x24	4	总为80008000
0x28	8	扇区总数	0x30	8	$MFT起始簇号
0x38	8	$MFTMirr起始簇号	0x40	1	文件记录大小描述
0x41	3	未使用	0x44	1	索引缓冲大小
0x45	3	未用	0x48	8	卷序列号
0x50	4	校验和

 

6.3 NTFS文件记录

在NTFS文件系统中，磁盘上所有数据都是以文件的形式存在的，即使是文件系统的管理信息也是以一组文件的形式存储。每个文件都有一个文件记录，这些记录就是存放在主文件表中，即MFT。MFT是NTFS最重要部分，因为它记录着所有文件的信息。MFT在建立文件系统的时候就创建好了，它的位置是不定的，所以在引导扇区中有指向MFT的记录，这样系统就可以找得到MFT，也就能找到文件了。MFT由很多个文件记录组成，每个记录对应着不同的文件，每个记录大小由BPB参数确定，目前微软操作系统中，每个记录大小都是1KB。每个MFT记录有一定的结构：文件记录头和多个属性，如图6-3所示，文件记录头的具体含义如表6-2。



图6-3 NTFS文件记录结构

表6-2 NTFS文件记录头含义

偏移	长度	含义
0x00	4	MFT标志，“FILE”
0x04	2	更新序列号（USN）的偏移
0x06	2	更新序列号的大小和数组
0x08	8	日志文件序列号
0x10	2	序列号
0x12	2	硬链接数
0x14	2	第一个属性的偏移地址
0x16	2	标志，00H表示文件被删除，01H表示文件正在使用，02H表示目录被删除，03H表示目录正在使用
0x18	4	文件记录的实际长度
0x1C	4	文件记录的分配长度
0x20	8	基本文件记录中的文件索引号
0x28	2	下一个属性ID
0x2A	2	边界
0x2C	4	文件记录参考号
0x30	2	更新序列号
0x32	4	更新数组

其中，文件记录头最重要的是MFT标志，这个标志标识是一个文件记录，没有这个记录不行，后面的数据恢复也使用到这个标志。

6.4 NTFS属性

NTFS属性有多种，不同的属性也有一定的结构。属性一般分为常驻属性和非常驻属性。常驻就是属性的所有数据都存在文件记录内；非常驻属性的一部分数据存储在另外开辟的区域内，存储在文件记录外的数据叫数据流（Data Run）。属性由属性头和属性体构成，其中常驻属性和非常驻属性的属性头和属性体又不一样，属性分为有属性名和没有属性名的，所以综合起来有四种不同的属性结构：常驻没有属性名、常驻有属性名、非常驻没有属性名和非常驻有属性名。忽略属性名，列出常驻和非常驻属性结构，如表6-3、表6-4。

表6-3 常驻属性

偏移	长度	含义
0x00	4	属性类型
0x04	4	属性长度
0x08	1	是否为常驻属性(00表示常驻，01表示非常驻)
0x09	1	属性名长度
0x0A	2	属性名的开始偏移
0x0C	2	压缩、加密、稀疏标志
0x0E	2	属性ID
0x10	4	属性体的长度（L）
0x14	2	属性体的开始偏移
0x16	1	索引标志
0x17	1	无意义
0x18	L	属性体

 

表6-4 非常驻属性

偏移	长度	含义
0x00	4	属性类型
0x04	4	属性长度
0x08	1	是否为常驻属性(00表示常驻，01表示非常驻)
0x09	1	属性名长度
0x0A	2	属性名的开始偏移
0x0C	2	压缩、加密、稀疏标志
0x0E	2	属性ID
0x10	8	属性体的起始虚拟簇号（VCN）
0x18	8	属性体的结束虚拟簇号
0x20	2	Run List偏移地址
0x22	2	压缩单位大小
0x24	4	无意义
0x28	8	属性体的分配大小
0x30	8	属性体的实际大小
0x38	8	属性体的初始大小
0x40		属性体的Run List信息

其中，Run List是最难理解，也是最重要的。当属性不能存放完数据，系统就会在NTFS数据区域开辟一个空间存放，这个区域是以簇为单位的。Run List就是记录这个数据区域的起始簇号和大小，一个Run List例子如图6-4所示。这个示例中，Run List的值为“31 40 00 00 04”，因为后面是00H，所以知道已经是结尾。如何解析这个Run List呢？如图6-5所示， 第一个字节是压缩字节，高位和低位相加，3+1=4，表示这个Data Run信息占用四个字节，其中高位表示起始簇号占用多少个字节，低位表示大小占用的字节数。在这里，起始簇号占用3个字节，值为40000H，大小占用1个字节，值为40H。解析后，得到这个数据流起始簇号为262144，大小为64簇。



图6-4 Run List例子



图6-5 Run List结构及含义

系统定义的属性有15个，如表6-5所示。

表6-5 NTFS文件系统属性

编号	名称	作用
10H	$STANDARD_INFORMATION	标准属性，包含文件的基本信息
20H	$ATTRIBUTE_LIST	属性列表
30H	$FILE_NAME	文件名
40H	$OBJECT_ID	对象ID
50H	$SECURITY_DESCRIPTOR	安全描述符
60H	$VOLUME_NAME	简单包含卷名称
70H	$VOLUME_INFORMATION	说明卷的版本和状态
80H	$DATA	数据属性
90H	$INDEX_ROOT	索引根属性
A0H	$INDEX_ALLOCATION	索引分配属性
B0H	$BITMAP	位图属性
C0H	$REPARSE_POINT	重解析点属性
D0H	$EA_INFORMATINO	扩展属性信息属性
E0H	$EA	扩展属性
100H	$LOGGED_UTILITY_STREAM	EFS加密属性

在这些属性中，重要的有10H、30H、80H、90H、A0H和B0H。

10H是包含文件的一些基本信息，如文件的传统属性、文件创建时间和最后修改时间、有多少目录指向该文件等。

30H用来存储文件名，它是常驻属性。

80H就是存储文件的内容，它没有最大最小限制，如果文件内容实在太小，就存在MFT记录中，不过一般都是存储在MFT外的。

90H是根索引属性，实现NTFS的B-索引树的根节点，它是常驻属性，在根目录项比较少的情况下会使用，如果文件项多，则使用到了A0H属性。

A0H是索引分配属性，它是一个索引的基本结构，存储着组成索引的B-树目录所有子节点的定位信息，它是常驻，并且没有最大最小限制。该属性实现B-树的大目录，在后面详细讲解。

B0H是位图属性，它由一系列的位构成的虚拟簇(VCN)使用情况表，没有最大最小。在两个地方使用到该属性：索引和$MFT，索引中，每一位代表索引分配中的一个VCN；在$MFT中，每一位代表一个文件记录使用情况。其中每一位中的0代表未使用，1代表正在使用。

在所有合法属性之后，以“FFFFFFFF”表示结束。

值得一提的是，有时候一个MFT记录中会出现两个一样的属性，这是很正常的。但是特殊的情况是一个结束标志之后还有某个属性，如A0H属性，然后后面还有一个结束标志，这种情况下就以第一个结束标志为准，后面的信息都不要了，只是前面的修改留下来而已，系统并不会清除。

6.5 NTFS元文件
元文件就是一些文件系统的记录，记录卷的基本信息，它在创建文件系统的时候建立，这些元文件和一般的文件记录都是一样的。文件系统已经规定好元文件，每个元文件都有固定顺序，元文件的文件名的第一个字符都是“$”，表示该文件是隐藏的，用户无法访问和修改，元文件如表6-6所示。

表6-6 NTFS文件系统元文件

序号	元文件	功能
0	$MFT	主文件表，是每个文件的索引
1	$MFTMirr	主文件表的镜像（部分）
2	$LogFile	事务型日志文件
3	$Volume	卷文件，记录卷标等信息
4	$AttrDef	属性定义列表文件
5	$Root	根目录文件，管理根目录
6	$Bitmap	位图文件，记录簇使用情况
7	$Boot	引导文件
8	$BadClus	坏簇列表文件
9	$Quota	早期版本使用的磁盘配额信息
10	$Secure	安全文件
11	$Upcase	大小写字符转换表文件
12	$Extend metadata directory	扩展元数据目录
13	$Extend\$Reparse	重解析点文件
14	$Extend\$UsnJrnl	加密日志问文件
15	$Extend\$Quota	配额管理文件
16	$Extend\$ObjId	对象ID文件

其中，主要的元文件有$MFT、$Root、$Bitmap。

$MFT文件就是所有的文件记录，占用整个磁盘大小的12%。

$Root是根目录，和FAT32一样，文件系统都需要一个入口，这个元文件就是入口，说白了，查找B-就是从这里开始的。
$Bitmap元文件来用管理卷上簇的使用情况。它的数据流由一系列位构成，每一位代表一个VCN。低位代表了前面的簇，高位代表后面的簇。该属性的数据流大小由卷大小决定的，并且在一开始就创建好数据流，并且标志好哪些簇已经使用，哪些簇没使用。

还有哦，继续加油~