格式化的底层分析 格式化其实就是给分区创建一个文件系统。首先看一个有数据的NTFS分区,然后将其格式化,并分析格式化后原来数据的改变。 图4-497是一个NTFS分区“J”中的数据,分区内有一个文件夹…
文件删除前的底层分析 首先再从文件系统底层了解一下NTFS文件系统中文件各部分结构的管理。 现在以NTFS分区中的两个文件“huaban.jpg”和“sjhf.txt”为例,讲解文件的各部分结构,文件…
NTFS文件系统能够支持EFS加密文件系统(Encrypted File System)。EFS提供的文件加密技术可将加密的NTFS文件存储到磁盘上,并且特别考虑了其他操作系统上的现有工具引起的安全性…
在学习了NTFS的索引结构之后,下面用一个例子实际体会一下NTFS的B+树结构,用手工遍历NTFS的B+树的方法定位一个文件。 对B+树的数据结构不了解的读者请先学习1.4节。 在NTFS分区G的根目…
NTFS的一些新功能建立在一种叫作“综合索引”的基本功能之上。综合索引中包含了具有某一特征类型的多个分类项,并使用一种高效的存储机制以便于快速查找。在Windows 2000以前的NTFS版本中仅支持…
元文件$UsnJrnl是变更日志文件,作用是记录文件发生的改变,文件一旦改变,其变化会记录在元文件$UsnJrnl中一个被命名为$J的数据属性中。$J数据属性具备稀疏属性,由变更日志项组成。$UsnJ…
$Reparse是重解析点文件,Windows 2003、Windows XP等系统可以将卷装载在目录中进行重新解析。$Reparse一般包含3个属性,如图4-465所示。 图4-465 $Repar…
$Quota文件最初出现在Window NT中,但没有被使用,到了Windows 2000及其后续版本$Quota文件用于跟踪磁盘配额,以用户和卷来进行计算。该文件一般包含4个属性,如图4-464所示…
卷中的每个文件都有一个唯一的ID号,$ObjId存放着该卷上使用的所有$Object_ID属性的一个索引。$ObjId一般有4个属性,如图4-463所示。 图4-463 $ObjId的文件记录 (1)…

关注我们的公众号

微信公众号