元文件$MFTMirr分析 | 数据恢复迷

元文件中最重要的是$MFT文件。在前文的学习中已经以$MFT文件为例对它的结构做过详细分析,这里就不重复了。下面从$MFT文件的镜像$MFTMirr文件开始分析。

$MFTMirr是系统以恢复为目的而创建的文件,它将$MFT文件中的几个记录做了备份。具体备份多少个文件记录取决于NTFS卷中每个簇的大小,至少需要做前4个文件记录的备份。当卷中簇远小于或等于4倍的文件记录大小(即小于或等于4KB)时,$MFTMirr就做前4个文件记录的备份。在Windows2003、Windows XP系统中默认的格式化簇的大小就是4KB,所以卷中的$MFTMirr大多只做了前4个文件记录的备份。如果簇的大小大于4KB时,那么$MFTMirr的数据流大小就等于一个簇,在一个簇中能备份多少个文件记录就会备份多少个,但一定是按文件记录的顺序进行备份的。例如,当簇大小为8KB时,那么$MFTMirr的数据流大小也就是8KB,从而可以包含前8个文件记录的备份。

$MFTMirr的文件记录号为01H,一般由以下3种属性组成,如图4-431所示。

图4-431 $MFTMirr的文件记录

10H属性

10H属性定义了$MFTMirr的创建时间、最后修改时间、该文件记录修改时间、文件最后访问时间及标志等信息。具体参数见其模板,如图4-432所示。

图4-432 $MFTMirr文件10H属性的参数模板

30H属性

30H属性定义了$MFTMirr的父目录的文件参考号、系统分配给整个磁盘的MFTMirr的大小、实际使用的大小;再次定义了文件的标志为06H,表示其为隐藏、系统文件;定义了该文件名属性的文件名的长度为8个字、命名空间为3,即Win32 & DOS;在属性的最后定义了该文件的文件名为Unicode字符串“$MFTMirr”。具体参数如图4-433所示。

图4-433 $MFTMirr文件30H属性的参数模板

80H属性

80H属性定义了$MFTMirr数据流的起始VCN(本例中为0)、结束VCN(本例中为1)、起始LCN号(本例中为10H),以及所占的簇数(本例中为01H)等信息,如图4-434所示。

图4-434 $MFTMirr文件80H属性的参数模板

在80H属性之后跟着4个字节的“FF FF FF FF”,这是属性的结束标志,到此为止该文件记录中的属性就结束了。

(0)

相关推荐

  • 数据恢复笔记

    Winhex数据恢复(NTFS文件系统) MFT属性中的属性头数据结构 MFT的簇流运行数据结构 手工提取文件数据 手工提取片段文件数据 常驻80h属性 DBR的数据结构 NTFS文件系统的元文件 主 ...

  • NTFS的EFS加密分析 | 数据恢复迷

    NTFS文件系统能够支持EFS加密文件系统(Encrypted File System).EFS提供的文件加密技术可将加密的NTFS文件存储到磁盘上,并且特别考虑了其他操作系统上的现有工具引起的安全性 ...

  • 元文件$UsnJrnl分析 | 数据恢复迷

    元文件$UsnJrnl是变更日志文件,作用是记录文件发生的改变,文件一旦改变,其变化会记录在元文件$UsnJrnl中一个被命名为$J的数据属性中.$J数据属性具备稀疏属性,由变更日志项组成.$UsnJ ...

  • 元文件$Reparse分析 | 数据恢复迷

    $Reparse是重解析点文件,Windows 2003.Windows XP等系统可以将卷装载在目录中进行重新解析.$Reparse一般包含3个属性,如图4-465所示. 图4-465 $Repar ...

  • 元文件$Quota分析 | 数据恢复迷

    $Quota文件最初出现在Window NT中,但没有被使用,到了Windows 2000及其后续版本$Quota文件用于跟踪磁盘配额,以用户和卷来进行计算.该文件一般包含4个属性,如图4-464所示 ...

  • 元文件$ObjId分析 | 数据恢复迷

    卷中的每个文件都有一个唯一的ID号,$ObjId存放着该卷上使用的所有$Object_ID属性的一个索引.$ObjId一般有4个属性,如图4-463所示. 图4-463 $ObjId的文件记录 (1) ...

  • 元文件$Extend分析 | 数据恢复迷

    $Extend文件是一个包含$ObjId.$Quota.$Reparse和$UsnJrnl四个元文件的目录. $Extend文件一般包含3个属性,如图4-462所示. 图4-462 $Extend的文 ...

  • 元文件$UpCase分析 | 数据恢复迷

    $UpCase是一个完整的大写字母组成的128KB大小的文件.Unicode字母表中的每一个字符,在这个文件中都有一个对应的条目,用于比较和对文件名进行排序. $UpCase一般有3个属性,如图4-4 ...

  • 元文件$Secure分析 | 数据恢复迷

    在最初的NTFS版本中,每个文件都有一个$SECURITY_DESCRIPTOR(安全描述符)属性,即50H属性.由于大多数文件的安全描述符都是一样的,因此,检查每一个文件的访问权限将会导致效率低下. ...

  • 元文件$BadClus分析 | 数据恢复迷

    $BadClus元文件用于记录卷上的所有坏簇,它是一个稀疏文件,只有指向坏簇的数据流,应用程序不可访问该文件.$BadClus一般由4个属性构成,如图4-459所示. 图4-459 $BadClus的 ...