WinHex之NTFS学习笔记.docx

NTFS文件系统的引导扇区分析NTFS文件系统的引导扇区是$Boot的第一个扇区,它的结构与FAT文件系统的DBR类似,所以****惯上也称该扇区为DBR扇区,DBR扇区在操作系统的引导过程起着非常重要的作用,如果这个扇区遭到破坏,系统将不能正常启动。NTFS文件系统的DBR扇区与FAT文件系统的结构一样,也包括跳转指令、OEM代号、BPB参数、引导程序和结束标志。跳转指令跳转指令本身占用两个字节,它将程序执行流程跳转到引导程序处。OEM代号这部分占用8个字节,其内容由创建该文件系统的OEM厂商具体安排。BPB(BIOSParamesterBlock,BIOS参数块)BPB是BIOSParamesterBlock的缩写,其含义为BIOS参数块。BPB从DBR的第12(0BH)个字节开始,到偏移53H结束,占用73个字节,记录了有关该文件系统的重要信息,其中各个参数的含义如下表:NTFS文件系统BPB参数的定义字节偏移字段长度(字节)字段名、含义0X003跳转指令0X038OEM代号(也称为文件系统ID)0X0B2每扇区字节数0X0D1每簇扇区数0X0E2保留扇区(NTFS不用)0X103总是00X132NTFS未使用,为00X151介质描述符0X162总为00X182每磁道扇区数0X1A2磁头数0X1C4隐藏扇区数0X204NTFS未使用,为00X244NTFS未使用,为800080000X288扇区总数0X308$MFT的起始簇号0X388$MFTMirr的起始簇号0X401文件记录的大小描述0X413未用0X441索引缓冲大小的描述0X453未用0X488卷序列号0X504校验和下面对各个参数的含义进行分析:(1)0BH~0CH:每扇区字节数每扇区字节数记录每个逻辑扇区的大小,其常见值为512字节,但512并不是固定值,该值可以由程序定义,合法值包括512字节、1024字节、2048字节、4096字节。(2)0DH~0DH:每簇扇区数每簇扇区数记录着文件系统的簇的大小,即由多少个扇区组成一个簇。如果这个分区是在系统安装之前被格式化而来的,一般大于2GB的分区每簇默认占用8个扇区,也就是每簇大小为4KB,这个字节的内容就为十六字节进制值“08H”。如果这个分区是由一个FAT分区转换而来,则每个簇一般占用1个扇区的空间,也就是没簇大小为512字节,这个字节的内容就是“01H”。在NTFS文件系统中所有的簇从0开始进行编号,每个簇都有一个自己的地址编号,并且从分区的第一个扇区就开始编簇。(3)0EH~0FH:DBR保留扇区数NTFS文件系统中DBR没有保留扇区,该值常为“0000”。(4)10H~20H:总是0这3个字节总是“000000”。(5)13H~14H:未用这两个字节不用。(6)15H~15H:介质描述符这个字节为介质描述字节,一般硬盘为“F8H”(7)16H~17H:未用这两个字节不用。(8)18H~19H:每磁道扇区数这是逻辑C/H/S中一个参数,其值一般为63,NTFS已经不用此参数。(9)1AH~1BH:磁头数这是逻辑逻辑C/H/S中一个参数,其值一般为255,NTFS已经不用此参数。(10)1CH~1FH:隐藏扇区数隐藏扇区数是指本分区之前使用的扇区数,该值与分区表中所描述的该分区的起始扇区号一致。对于主磁盘分区来讲,是MBR到该分区DBR值之间的扇区数;对于扩展分区中的逻辑驱动器来讲,是其EBR到该分区DBR之间的扇区数。(11)20H~23H:未用这4字节不用。(12)24H~27H:未用这4字节不用,但总为80008000.(13)28H~2FH:扇区总数扇区总数是指分区的总扇区数。NTFS的BPB中记录的分区大小比分区表中记录的少一个扇区,因为分区最后一个扇区留给DBR备份使用了。(14)30H~37H:$MFT的起始簇号这8字节为$MFT的起始簇号,注意这个位置使用簇号定义的,而不是扇区号,并且该地址不是固定值。(15)38H~3FH:$MFTMirr的起始簇号这8字节为$MFTMirr的起始簇号,这个位置也使用簇号定义,而不是扇区号。$MFTMirr的地址也不是固定的,可以在$MFT之后,也可以在$MFT之前。(16)40H~40H:文件记录的大小描述这一字节描述每个字节记录的簇数。注意该参数为带符号数,当其是负数时,说明每个文件记录的大小要小于每个每簇扇区数,在这种情况下,文件记录的大小用字节数表示,计算方法:2^(-1*每个文件记录的簇数)。(17)41H~43H:未用这3字节不用。(18)44H~44H:索引缓冲的大小描述这一个字节描述每个索引缓冲的簇数。注意该参数也是带符号数,当其是负数时,说明每个索引缓冲的大小要小于每簇扇区数,在这种情况下,索引缓冲区的大小用字节数表示,计算方法为:2^(-1