ntfs_ntfs-3g - CSDN
  • 解读NTFS

    2011-09-23 18:39:50
    NTFS是一个比FAT复杂的多的文件系统,我们一起努力来把它完整的解读出来。  NTFS 的引导扇区也是完成引导和定义分区参数,和FAT分区不同,FAT分区的BOOT记录正常,就显示分区没有错误,即使文件不正确,而NTFS分区...
    NTFS是一个比FAT复杂的多的文件系统,我们一起努力来把它完整的解读出来。
            NTFS 的引导扇区也是完成引导和定义分区参数,和FAT分区不同,FAT分区的BOOT记录正常,就显示分区没有错误,即使文件不正确,而NTFS分区的 BOOT不是分区的充分条件,它要求必须MFT中的系统记录如$MFT等正常该分区才能正常访问。其BPB参数如下表所示。
            字节偏移 长度 常用值 意义
            0x0B 字 0x0002 每扇区字节数
            0x0D 字节 0x08 每簇扇区数
            0x0E 字 0x0000 保留扇区
            0x10 3字节 0x000000 总为0
            0x13 字 0x0000 NTFS未使用,为0
            0x15 字节 0xF8 介质描述
            0x16 字 0x0000 总为0
            0x18 字 0x3F00 每磁盘扇区数
            0x1A 字 0xFF00 磁头数
            0x1C 双字 0x3F000000 隐含扇区
            0x20 双字 0x00000000 NTFS未使用,为0
            0x28 8字节 0x4AF57F0000000000 扇区总数
            0x30 8字节 0x0400000000000000 $MFT的逻辑簇号
            0x38 8字节 0x54FF070000000000 $MFTMirr的逻辑簇号
            0x40 双字 0xF6000000 每MFT记录簇数
            0x44 双字 0x01000000 每索引簇数
            0x48 8字节 0x14A51B74C91B741C 卷标
            0x50 双字 0x00000000 检验和
            MFT中的文件记录大小一般是固定的,不管簇的大小是多少,均为1KB。文件记录在MFT文件记录数组中物理上是连续的,且从 0开始编号,所以,NTFS是预定义文件系统。MFT仅供系统本身组织、架构文件系统使用,这在NTFS中称为元数据(metadata,是存储在卷上支 持文件系统格式管理的数据。它不能被应用程序访问,只能为系统提供服务)。其中最基本的前16个记录是操作系统使用的非常重要的元数据文件。这些元数据文 件的名字都以“$”开始,所以是隐藏文件,在Windows 2000/XP中不能使用dir命令(甚至加上/ah参数)像普通文件一样列出。在WINHEX中带有NFI.EXE,用此工具可以显示这些记录与文件的 对应关系,下一次再详细解释。
            这些元数据文件是系统驱动程序管理卷所必需的,Windows 2000/XP给每个分区赋予一个盘符并不表示该分区包含有Windows 2000/XP可以识别的文件系统格式。如果主文件表损坏,那么该分区在Windows 2000/XP下是无法读取的。为了使该分区能够在Windows 2000/XP下能被识别,就必须首先建立Windows 2000/XP可以识别的文件系统格式即主文件表,这个过程可通过高级格式化该分区来完成。Windows以簇号来定位文件在磁盘上的存储位置,在FAT 格式的文件系统中,有关簇号的指针包含在FAT表中,在NTFS中,有关簇号的指针则包含在$MFT及$MFTMirr文件中。
            NTFS使用逻辑簇号(Logical Cluster Number,LCN)和虚拟簇号(Virtual Cluster Number,VCN)来对簇进行定位。LCN是对整个卷中所有的簇从头到尾所进行的简单编号。用卷因子乘以LCN,NTFS就能够得到卷上的物理字节偏 移量,从而得到物理磁盘地址。VCN则是对属于特定文件的簇从头到尾进行编号,以便于引用文件中的数据。VCN可以映射成LCN,而不必要求在物理上连 续。
            在NTFS卷上,跟随在BPB后的数据字段形成一个扩展BPB。这些字段中的数据使得 Ntldr能够在启动过程中找到主文件表MFT(Master File Tabl )。在NTFS卷上,MFT并不象在FAT 16卷和FAT 32卷上一样,被放在一个预定义的扇区中。由于这个原因,如果在MTF的正常位置中有坏扇区的话,就可以把MFT移到别的位置。但是,如果该数据被破坏, 就找不到MFT的位置,Windows 2000假设该卷没有被格式化。
            因此,如果一个ntfs的卷提示未格式化,可能并未破坏MFT,依据BPB的各字段的意思是可以重建BPB的。
            NTFS的缺省簇的大小
            卷大小                                      每簇的扇区         缺省的簇大小 
            小于等于512MB                                      1                   512字节 
            513MB~1024MB(1GB)                          2                 1024字节(1KB) 
            1025MB~2048MB(2GB)                        4                 2048字节(2KB)
            大于等于2049MB                                    8                                    4KB
            从上面可以看出,也就是说不管驱动器多大 NTFS 簇的大小不会超过 4KB
            NTFS文档:文档属性定义
            每个文档属性都由以下部分组成:
            一个由该属性的实际值组成的被称为“流”的重要的字节序列,元数据可访问该流。
            文件中的每个文件属性都可能会有一个名字:在这种情况下,在命令行方式下可以通过语法“文件名:属性名”来访问该流(这也是文 件名中不能使用“:”的原因)。Windows NT® 使用以下在元数据文件$AttrDef中预定义的文件属性列表(一般会有一个未命名流,为缺省流,未命名流只能有一个,而命名流可以有多个,NTFS支持 多流文件):
            10 $STANDARD_INFORMATION (标准信息)
            20 $ATTRIBUTE_LIST (属性列表)
            30 $FILE_NAME (文件名)
            40 $VOLUME_VERSION (卷版本)
            50 $SECURITY_DEscriptOR (安全描述符)
            60 $VOLUME_NAME (卷名)
            70 $VOLUME_INFORMATION (卷信息)
            80 $DATA (数据)
            90 $INDEX_ROOT (索引根)
            A0 $INDEX_ALLOCATION (索引分配)
            B0 $BITMAP (位图)

            C0 $SYMBOLIC_LINK(符号链接)
            D0 $EA_INFORMATION (?信息)
            E0 $EA
            属性流结构
            每个文件属性都分为两部分:尽管这两部分属性在文件记录的属性列表中以倒序方式进行记录,但是为了更好的理解它,让我们按下面的顺序进行介绍: 

            内容部分:
            它的结构总是以属性名开始(N字节长),在属性名之后定义该属性是否为常驻属性。当文件属性的数据流就存储在其属性名后时,它 就是常驻属性,这样,对于那些流较小且不会增长的文件属性就可以提供更佳的访问次数。如果一个文件属性是非常驻的,那么其流就存储在一个或多个扩展或称为 运行中。运行是一个在逻辑簇号上连续的区域。为访问这些运行,NTFS紧跟在文件属性名后存储有一个称为运行列表的表。
            头部:
            从头部开始的偏移长度描述:
            0 4 Type (类型)
            4 4 Length (长度)
            8 1 Non-resident flag (非常驻标志)
            9 1 N=Name length (文件名长度)
            A 2 Offset to the content part (相对内容部分的偏移值)
            C 2 Compressed flag (压缩标志)
            E 2 Identificator (标识)
            文件名长度:
            00 表示文件属性没有命名。 
            压缩标志:在NTFS中,数据压缩是在文件属性级别上实现的,这就意味着,如果出现意外,你也不会释放出很多的数据。这样,尽管只是对文件进行压缩,但压缩文件同时就意味着其属性数据也一样被压缩。从现在开始, 其头部的安排依赖文件的常驻属性:
            对一个常驻属性来说,从头部开始的偏移描述如下:
            10 4 Length of the stream (流长度)
            14 2 Offset to the stream (流偏移)
            16 2 Indexed flag (索引标志)
            索引标志:
            文件属性通过一个索引入口进行索引。
            对于一个非常驻的文件属性,从头部开始的偏移描述如下:
            10 8 Starting VCN (起始VCN)
            18 8 Last VCN (结束VCN)
            20 2 Offset to the runlist (运行列表偏移)
            22 2? Number of compression engine ? (压缩引擎号)
            28 8 Allocated size of the stream (为流分配的单元大小)
            30 8 Real size of the stream (实际的流大小)
            38 8 Initialized data size of the stream (流已初始化大小)
            VCN :Virtual Cluster Number(虚拟簇号)的缩略词。VCN是一个与非常驻属性相关联的概念。VCN从文件属性流的第一个运行的第一个簇(VCN 0)到最后一个运行的最后一个簇进行编号。 当某个运行列表非常大,文件属性不能放在一个文件记录中时,描述文件的文件属性就会存储在几个文件记录中,运行列表也分成几个小片。起始VCN域和结束 VCN域都用于定位其文件记录指示—即运行列表—运行所指定的VCN 。
            注:如果属性可以放在一个文件记录内,则结束VCN域(这种情况下没有使用)可能是“00 00 00 00 00 00 00 00”。
            压缩引擎的数量:
            为达到最好的压缩比率,NTFS可以根据不同类型的数据使用不同的压缩引擎。当前的压缩引擎使用值04。
            为流分配的单元大小:
                    它几倍于卷上用来存储文件属性流所描述的分配空间。
                    如果流没有压缩,它就是数倍于簇空间大小的实际大小,相反,则比较小。
            流的实际大小:
                    文件属性流在压缩前的大小。 
            流的初始化大小: 
                    这是文件属性流的压缩后的大小(总是低于分配大小)。如果此流未被压缩,就是它的实际大小 。
            注意: 
                    常驻文件属性从不被压缩(也没有压缩引擎号域),因为它的流太小。
            信息是足够的:名字长+内容部分的偏移值 =到流的偏移值(常驻属性)或者到运行列表的偏移值(非常驻悔改)。
     
    NTFS文件系统结构分析
            在NTFS文件系统中,文件存取是按簇进行分配,一个簇必需是物理扇区的整数倍,而且总是2的整数次方。NTFS文件系统并不 去关心什么是扇区,也不会去关心扇区到底有多大(如是不是512字节),而簇大小在使用格式化程序时则会由格式化程序根据卷大小自动的进行分配。
            文件通过主文件表(MFT)来确定其在磁盘上的存储位置。主文件表是一个对应的数据库,由一系列的文件记录组成--卷中每一个文件都有一个文件记录(对于大型文件还可能有多个记录与之相对应)。主文件表本身也有它自己的文件记录。
            NTFS卷上的每个文件都有一个64位(bit)称为文件引用号(File Reference Number,也称文件索引号)的唯一标识。文件引用号由两部分组成:一是文件号,二是文件顺序号。文件号为48位,对应于该文件在MFT中的位置。文件 顺序号随着每次文件记录的重用而增加,这是为NTFS进行内部一致性检查而设计的。
            NTFS使用逻辑簇号(Logical Cluster Number,LCN)和虚拟簇号(Virtual Cluster Number,VCN)来进行簇的定位。LCN是对整个卷中所有的簇从头到尾所进行的简单编号。卷因子乘以LCN,NTFS就能够得到卷上的物理字节偏移 量,从而得到物理磁盘地址。VCN则是对属于特定文件的簇从头到尾进行编号,以便于引用文件中的数据。VCN可以映射成LCN,而不必要求在物理上连续。
            NTFS的目录只是一个简单的文件名和文件引用号的索引,如果目录的属性列表小于一个记录的长度,那么该目录的所有信息都存储在主文件表的记录中,对于大于记录的目录则使用B+树进行管理。

            主文件表中的基本文件记录中有一个指针指向一个存储非常驻索引缓冲--包括该目录下所有下一级子目录和文件的外部簇,而B+树结构便于大型目录中文件和子目录的快速查找。
            在NTFS中,所有存储在卷上的数据都包含在文件中,包括用来定位和获取文件的数据结构,引导程序和记录这个卷的记录(NTFS元数据)的位图,这体现了 NTFS的原则:磁盘上的任何事物都为文件。在文件中存储一切使得文件系统很容易定位和维护数据,而在NTFS中,卷中所有存放的数据均在一个叫做MFT 的文件记录数组中,称为主文件表(Master File Table),MFT是由高级格式化产生的。而MFT则由文件记录(File Record)数组构成。File Record的大小一般是固定的,不管簇的大小是多少,均为1KB,这个概念相当于Linux中的inode(i节点)。File Record在MFT文件记录数组中物理上是连续的,且从0开始编号。MFT仅供系统本身组织、架构文件系统使用,这在NTFS中称为元数据 (metadata)。其中最基本的前16个记录是操作系统使用的非常重要的元数据文件。这些NTFS主文件表的重要的元数据文件都是以$(美元符号)开 始的名字,所以是隐藏文件,在Windows 2000中不能使用dir命令(甚至加上/ah参数)像普通文件一样列出这些元数据文件。实际上File System Driver(ntfs.sys)维护了一个系统变量NTFS Protect System Files用于隐藏这些元数据。但是微软公司也提供了一个OEM TOOL,叫做NFI.EXE,用此工具可以转储NTFS主文件表的重要的元数据文件(元数据:是存储在卷上支持文件系统格式管理的数据。它不能被应用程 序来访问,它只能为系统提供服务),使用NFI显示结果如下:
    C:/>nfi C: |MORE

            而这些元数据文件文件是系统驱动程序装配卷所必需的,WINDOWS 2000给每个分区赋予一个盘符并不表示该分区包含有WINDOWS 2000可以识别的文件系统格式,如果一旦主文件表损坏,那么该分区在WINDOWS 2000下是无法读取的。为了使该分区能够在WINDOWS 2000下能被识别,也就是必须首先建立WINDOWS 2000可以识别的文件系统格式即主文件表,这可通过高级格式化该分区来完成。众所周知,Windows以簇号来定位文件在磁盘存储的位置,在FAT格式 的文件系统中有关簇号的指针是包含在FAT表中的,而在NTFS中有关簇号的指针是包含在$MFT及$MFTMirr文件中的。
     
    NTFS元文件

     
    伴随着以上这些新增功能的是更多的用于存放与功能相关的数据的元文件。最后,在下面的表中罗列出NTFS5中所有的元文件:

     
            每个MFT记录都对应着不同的文件,如果一个文件有很多属性或是分散成很多碎片,就很可能需要多个文件记录。这时,存放其文件记录位置的第一个记录就叫做“基文件记录”(base file record)。
            MFT中的第1个记录就是MFT自身。由于MFT文件本身的重要性,为了确保文件系统结构的可靠性,系统专门为它准备了一个镜像文件($MftMirr),也就是MFT中的第2个记录。
            第3个记录是日志文件($LogFile)。该文件是NTFS为实现可恢复性和安全性而设计 的。当系统运行时,NTFS就会在日志文件中记录所有影响NTFS卷结构的操作,包括文件的创建和改变目录结构的命令,例如复制,从而在系统失败时能够恢 复NTFS卷。
            第4个记录是卷文件($Volume),它包含了卷名、被格式化的卷的NTFS版本和一个标明该磁盘是否损坏的标志位(NTFS系统以此决定是否需要调用Chkdsk程序来进行修复)。
            第5个记录是属性定义表($AttrDef,attribute definition table),其中存放了卷所支持的所有文件属性,并指出它们是否可以被索引和恢复等。
            第6个记录是根目录(/),其中保存了存放于该卷根目录下所有文件和目录的索引。在访问了一个文件后,NTFS就保留该文件的MFT引用,第二次就能够直接进行对该文件的访问。
            第7个记录是位图文件($Bitmap)。NTFS卷的分配状态都存放在位图文件中,其中每 一位(bit)代表卷中的一簇,标识该簇是空闲的还是已被分配了的,由于该文件可以很容易的被扩大,所以NTFS的卷可以很方便的动态的扩大,而FAT格 式的文件系统由于涉及到FAT表的变化,所以不能随意的对分区大小进行调整。
            第8个记录是引导文件($Boot),它是另一个重要的系统文件,存放着Windows 2000/XP的引导程序代码。该文件必须位于特定的磁盘位置才能够正确地引导系统。该文件是在Format程序运行时创建的,这正体现了NTFS把磁盘 上的所有事物都看成是文件的原则。这也意味着虽然该文件享受NTFS系统的各种安全保护,但还是可以通过普通的文件I/O操作来修改。
            第9个记录是坏簇文件($BadClus),它记录了磁盘上该卷中所有的损坏的簇号,防止系统对其进行分配使用。
            第10个记录是安全文件($Secure),它存储了整个卷的安全描述符数据库。NTFS文件和目录都有各自的安全描述符,为了节省空间,NTFS将具有相同描述符的文件和目录存放在一个公共文件中。
            第11个记录为大写文件($UpCase,upper case file),该文件包含一个大小写字符转换表。
            第12个记录是扩展元数据目录($Extended metadata directory)。
            第13个记录是重解析点文件($Extend/$Reparse)。
            第14个记录是变更日志文件($Extend/$UsnJrnl)。
            第15个记录是配额管理文件($Extend/$Quota)。
            第16个记录是对象ID文件($Extend/$ObjId)。
            第17~23记录是是系统保留记录,用于将来扩展。
            MFT的前16个元数据文件是如此重要,为了防止数据的丢失,NTFS系统在该卷文件存储部分的正中央对它们进行了备份,参见下图。

     
            NTFS把磁盘分成了两大部分,其中大约12%分配给了MFT,以满足其不断增长的文件数 量。为了保持MFT元文件的连续性,MFT对这12%的空间享有独占权。余下的88%的空间被分配用来存储文件。而剩余磁盘空间则包含了所有的物理剩余空 间--MFT剩余空间也包含在里面。MFT空间的使用机制可以这样来描述:当文件耗尽了存储空间时,Windows操作系统会简单地减少MFT空间,并把 它分配给文件存储。当有剩余空间时,这些空间又会重新被划分给MFT。虽然系统尽力保持MFT空间的专用性,但是有时不得不做出牺牲。尽管MFT碎片有时 是无法忍受的,却无法阻止它的发生。
            那么NTFS到底是怎么通过MFT来访问卷的呢?首先,当NTFS访问某个卷时,它必须“装 载”该卷:NTFS会查看引导文件(在图中的$Boot元数据文件定义的文件),找到MFT的物理磁盘地址。然后它就从文件记录的数据属性中获得VCN到 LCN的映射信息,并存储在内存中。这个映射信息定位了MFT的运行(run或extent)在磁盘上的位置。接着,NTFS再打开几个元数据文件的 MFT记录,并打开这些文件。如有必要NTFS开始执行它的文件系统恢复操作。在NTFS打开了剩余的元数据文件后,用户就可以开始访问该卷了。
     
    文件和目录记录
            NTFS将文件作为属性/属性值的集合来处理,这一点与其他文件系统不一样。文件数据就是未命名属性的值,其他文件属性包括文件名、文件拥有者、文件时间标记等。下图显示了一个用于小文件的MFT记录。
     
            每个属性由单个的流(stream)组成,即简单的字符队列。严格地说,NTFS并不对文件 进行操作,而只是对属性流进行读写。NTFS提供对属性流的各种操作:创建、删除、读取(字节范围)以及写入(字节范围)。读写操作一般是针对文件的未命 名属性的,对于已命名的属性则可以通过已命名的数据流句法来进行操作。
            一个文件通常占用一个文件记录。然而,当一个文件具有很多项属性值或很零碎的时候,就可能需 要占用一个以上的文件记录。这种情况下,第一个文件记录是其基本的文件记录,存储有该文件需要的其它文件记录的位置。小文件和文件夹(典型的如1500字 节或更少)将全部存储在文件的MFT记录里。

           文件夹记录包括索引信息,小文件夹记录完全存储在MFT结构内,然而大的文件夹则被组织成B+树结构,用一个指针指向一个外部簇,该簇用来存储那些MFT内存储不了的文件夹的属性。
           NTFS卷上文件的常用属性在下表中列出(并不是所有文件都有所有这些属性)。

     
    常驻属性与非常驻属性
           当一个文件很小时,其所有属性和属性值可存放在MFT的文件记录中。当属性值能直接存放在 MFT中时,该属性就称为常驻属性(resident attribute)。有些属性总是常驻的,这样NTFS才可以确定其他非常驻属性。例如,标准信息属性和根索引就总是常驻属性。
           每个属性都是以一个标准头开始的,在头中包含该属性的信息和NTFS通常用来管理属性的信息。该头总是常驻的,并记录着属性值是否常驻、对于常驻属性,头中还包含着属性值的偏侈量和属性值的长度。
           如果属性值能直接存放在MFT中,那么NTFS对它的访问时间就将大大缩短。NTFS只需访问磁盘一次,就可立即获得数据;而不必像FAT文件系统那样,先在FAT表中查找文件,再读出连续分配的单元,最后找到文件的数据。
           小文件或小目录的所有属性,均可以在MFT中常驻。小文件的未命名属性可以包括所有文件数据。建立一个小文件如下图所示:
     
    该文件的内容



    文件属性
     
            如通过NFI查看文件“新建 文本文档.txt”的文件记录号为36,显示内容如下:
            File 36
            /新建 文本文档.txt
            $STANDARD_INFORMATION (resident)
            $FILE_NAME (resident)
            $FILE_NAME (resident)
            $DATA (resident)
            从显示内容可以看出文件的全部属性都是常驻属性,包括DATA属性,没有非常驻属性,所以,用WINHEX打开MFT,查看该文件记录,有如下图的内容
     
            小文件的文件记录
            小目录的索引根属性可以包括其中所有文件和子目录的索引。参见下图
     
            小目录的MFT记录
            大文件或大目录的所有属性,就不可能都常驻在MFT中。如果一个属性(如文件数据属性)太大而不能存放在只有1KB的MFT文件记录中,那么NTFS将从 MFT之外分配区域。这些区域通常称为一个运行(run)或一个盘区(extent),它们可用来存储属性值,如文件数据。如果以后属性值又增加,那么 NTFS将会再分配一个运行,以便用来存储额外的数据。值存储在运行中而不是在MFT文件记录中的属性称为非常驻属性(nonresident attribute)。NTFS决定了一个属性是常驻还是非常驻的;而属性值的位置对访问它的进程而言是透明的。
            当一个属性为非常驻时,如大文件的数据,它的头部包含了NTFS需要在磁盘上定位该属性值的有关信息。下图显示了一个存储在两个运行中的非常驻属性。 
            存储在两个运行中的非常驻属性
            在标准属性中,只有可以增长的属性才是非常驻的。对文件来说,可增长的属性有数据、属性列表等。标准信息和文件名属性总是常驻的。
            一个大目录也可能包括非常驻属性(或属性部分),参见下图。在该例中,MFT文件记录没有足够空间来存储大目录的文件索引。其中,一部分索引存放在索引根 属性中,而另一部分则存放在叫作“索引缓冲区”(index buffer)的非常驻运行中。这里,索引根、索引分配以及位图属性都是简化表示的,这些属性将在后面详细介绍。对目录而言,索引根的头及部分值应是常驻 的。 

            大目录的MFT记录
            当一个文件(或目录)的属性不能放在一个MFT文件记录中,而需要分开分配时,NTFS通过VCN-LCN之间的映射关系来记录运行(run)或盘区情 况。LCN用来为整个卷中的簇按顺序从0到n进行编号,而VCN则用来对特定文件所用的簇按逻辑顺序从0到m进行编号。下图显示了一个非常驻数据属性的运 行所使用的VCN与LCN编号。
     
    非常驻数据属性的VCN
            当该文件含有超过2个运行时,则第三个运行从VCN8开始,数据属性头部含有前两个运行VCN的映射,这便于NTFS对磁盘文件分配的查询。为了便于NTFS快速查找,具有多个运行文件的常驻数据属性头中包含了VCN-LCN的映射关系,参见下图

    非常驻数据属性的VCN-LCN映射
            虽然数据属性常常因太大而存储在运行中,但是其他属性也可能因MFT文件记录没有足够空间而需要存储在运行中。另外,如果一个文件有太多的属性而不能存放 在MFT记录中,那么第二个MFT文件记录就可用来容纳这些额外的属性(或非常驻属性的头)。在这种情况下,一个叫作“属性列表”(attribute list)的属性就加进来。属性列表包括文件属性的名称和类型代码以及属性所在MFT的文件引用。属性列表通常用于太大或太零散的文件,这种文件因 VCN-LCN映射关系太大而需要多个MFT文件记录。具有超过200个运行的文件通常需要属性列表。
            MFT文件记录结构分析
            主文件表MFT的文件记录由记录头和属性列表组成,由“FF FF FF FF”结束,一般大小为1K,或一个簇大小(这样一般就更大),记录头包括以下一些域:
            偏移     长度(字节)       属性
            0X00         4                       标志,一定是“FILE”
            0X04         2                       更新序列US的偏移
            0X06         2                       更新序列号USN的大小与数组,包括第一个字节
            0X08         8                       日志文件序列号LSN
            0X10         2                       序列号(SN)
            0X12         2                       硬连接数
            0X14         2                       第一个属性的偏移地址
            0X16         2                       标志,1表示记录正在使用,2表示该记录为目录
            0X18         4                       记录头和属性的总长度,即文件记录的实际长度,
            0X1C         4                       总共分配给记录的长度
            0X20         8                       基本文件记录中的文件索引号
            0X28         2                       下一属性ID
            0X2A         2                       XP中使用,边界
            0X2C         4                       XP中使用,本文件记录号
            每次记录被修改都将导致日志文件序列号$LogFile Sequence Number(LSN)发生变化。
            序列号Sequence Number(SN)用于记录主文件表记录被重复使用的次数。
            硬连接数Hard Link Count记录硬连接的数目,只出现在基本文件记录中。
            文件记录的实际长度是文件记录在磁盘上实际占用的字节空间。
            基本文件记录中的文件索引号,对于基本文件记录,其值为0,如果不为0,则是一个主文件表的文件索引号,指向所属的基本文件记录中的文件记录号,在基本文件记录中包含有扩展文件记录的信息,存储在“属性列表ATTRIBUTE_LIST”属性中。
            属性列表是可变长度区,以“FF FF FF FF”结束,对于1K长度的MFT记录,属性列表的起始偏移为0x30。
            索引记录结构分析
            第一个索引记录都是由一个标准的索引头和一些包含索引键和索引数据的块组成的。索引记录的大小在引导记录 $Boot中定义,一般总是4KB。
            标准索引头的结构如下:
            偏移     大小        说明
            0X00   4              总是“INDX”
            0X04   2              更新序号偏移
            0X06   2              更新序列号USN的大小与排列,包括第一个字节
            0X08   8             日志文件序列号LSN
            0X10   8             该索引缓冲在索引分配中的索引VCN
            0X18   4             索引入口的偏移(相对于0X18)
            0X1C   4            索引入口的大小(相对于0X18)
            0X20   4             索引入口的分配大小(相对于0X18)
            0X24   1             非页级节点为1(有子索引)
            0X25   3             总是0
            0X28   2             更新序列号
            0X2A   2S-2       更新序列排列
            常用索引列表
            名称                        索引               说明
            $I30                        文件名            目录使用
            $SDH                     安全描述        $SECURE
            $SII                         安全IDS         $SECURE
            $O                          对象IDS          $OBJID
            $O                          所有者IDS      $QUOTA
            $Q                          配额                 $QUOTA
            $R                          重解析点         $REPARSE
            再具体的就不再分析了,请自己查找操作系统的资料。
    展开全文
  • NTFS文件系统

    2019-02-01 15:03:41
    NTFS文件系统的特性 MBR和NTFS NTFS安全权限 NTF权限的特性 NTFS权限的复制和移动 权限应用案例 磁盘配额 文件压缩 Bitlocker 文件系统介绍  文件系统是操作系统用于明确存储设备(常见的是磁盘,也有基于...

    目录

    文件系统介绍

    NTFS文件系统的特性

    MBR和NTFS

    NTFS安全权限

    NTF权限的特性

    NTFS权限的复制和移动

    权限应用案例

    磁盘配额

    文件压缩

    Bitlocker


    文件系统介绍

           文件系统是操作系统用于明确存储设备(常见的是磁盘,也有基于NAND Flash的固态硬盘)或分区上的文件的方法和数据结构;即在存储设备上组织文件的方法。操作系统中负责管理和存储文件信息的软件机构称为文件管理系统,简称文件系统。当我们在安装完一个操作系统之后,文件系统也会随着安装进去。在Window中常见的文件系统有FAT、FAT32、NTFS以及可扩展文件系统ReFS,用到最多的是NTFS文件系统


    NTFS文件系统的特性

         当我们需要往磁盘中写入数据时,要先给磁盘进行格式化处理;而磁盘格式化的过程就是将磁盘中的空间划分成一个一个的簇;在NTFS文件系统中,单个簇的大小为4096,即4Kb;而在写入文件的时候,单个簇在写入不满的情况下不能重复写入;例如:往一个4Kb的簇中写入3Kb的文件,而剩余的1Kb空间将不能再使用。所以相对来说一个簇的空间越大,磁盘写入浪费就越严重;NTFS文件系统除了节约空间还具有磁盘压缩、安全性高、EFS加密、磁盘配额、卷影副本、单个文件最大可支持64GB等特点

     

    NTFS格式应用举例:

    1、AD数据库必须存储在NTFS文件系统中 (ntds.dit)

    2、部署WDS的时候,需要NTFS的文件系统 (安装镜像,单个WIM文件)

    3、SQL Server 2008R2 iso镜像有的移动硬盘无法复制进去,有的移动硬盘就可以复制

    原因:FAT32文件系统单个文件最大4GB,而NTFS最大64GB


    MBR和NTFS


    NTFS安全权限

    在NTFS文件系统中提供了更加安全的访问控制,即文件夹的ACL(访问控制列表)。通过对分区、文件/文件夹设置特定的权限来限制用户的访问:选择文件夹 -  右键属性-安全-高级

    注:ACL对用户进行访问控制的时候,记录的是用户的SID号而不是记录的用户名

     

    Windows中四类对象具有NTFS权限:

    在NTFS文件系统中除了平常的读、写、完全控制等权限外,还有一种特殊权限。文件的特殊权限是用来在对文件权限细化之后所做的操作

    例如:读权限包括读取属性、读取扩展属性、读取权限等等


    NTF权限的特性

    继承性:如果一个文件夹里有多个文件,在父文件夹上增加某个用户的权限,该文件夹中的所有文件将会继承该权限(默认开启)

    权限累加:用户具有读的权限,用户所在组具有写的权限;那么用户就具有读写权限(默认开启)

    拒绝优先:用户具有读的权限,用户所在组拒绝读的权限;那么用户就没有读的权限 (拒绝排在允许的前面)


    NTFS权限的复制和移动

    在企业中当我们对某一个文件夹或者分区做好了权限设置之后,如果需要对其进行迁移这不仅是简单的对文件夹或者分区复制、移动,而且要涉及到NTFS权限的复制和移动。需要注意以下四点:

    1、在同一分区内移动:保持原先权限

    2、在同一分区内复制:继承目标分区或文件夹权限

    3、在不同分区内移动:继承目标分区或文件夹权限

    4、在不同分区内复制:继承目标分区或文件夹权限

    应用:文件服务器的权限迁移一定要注意,避免权限丢失问题!


    权限应用案例

    1、域中新建三个OU,在OU中分别新建用户和组;将用户加入到组中

    2、新建公共文件夹及组织架构目录

    3、从公共文件夹开始,统一删除everyone权限,并且禁用继承;然后再将相对应的用户加入到文件夹访问列表中

    注:需要用绝对的网络路径来访问,而如果用域名的方式访问可能出现访问不了的情况


     

    磁盘配额

    磁盘配额是计算机中指定磁盘的储存限制,就是管理员可以为用户所能使用的磁盘空间进行配额限制,每一用户只能使用最大配额范围内的磁盘空间。磁盘配额可以结合文件服务器资源管理器使用,做在共享文件夹上


    文件压缩

    在NTFS文件系统中自带了文件压缩的功能


    Bitlocker

    Windows BitLocker驱动器加密通过加密Windows操作系统卷上存储的所有数据,可以保护计算机中数据的安全。并确保计算机即使在无人参与、丢失或被盗的情况下也不会被查看或者篡改

     

    BitLocker系统支持:

    注:在windows 7中BitLocker技术使用的最大的问题就是加密时间非常长,在后续的系统版本中做出了一些改变

     

    控制面板-BitLocker驱动器加密

    注:BitLocker:用来加密本地的硬盘;BitLocker to go:用来加密移动存储

            在给虚拟磁盘使用BitLocker加密的时候,重启之后需要手动附加虚拟磁盘

            如果想要开机自动加载虚拟磁盘,可以通过在开机脚本中写入批处理脚本

     

    BitLocker应用:通过将U盘加密成开机密钥,每次电脑插入U盘解密成功才可以开机


    原创文章,转载请注明出处

     

     

     

     

     

     

     

     

    展开全文
  • NTFS权限介绍

    2019-12-20 23:34:14
    在我们重做系统或者格式化硬盘时,都会进行类型的选择,格式有三种,分别是fat32、ntfs、exfat(fat64),先简单的了解下他们的区别及使用场景。 FAT32:很多u盘格式就是fat32,兼容性好,读写快,缺点是不能设置...

    类型区别及介绍

    在我们重做系统或者格式化硬盘时,都会进行类型的选择,格式有三种,分别是fat32、ntfs、exfat(fat64),先简单的了解下他们的区别及使用场景。

    FAT32:很多u盘格式就是fat32,兼容性好,读写快,缺点是不能设置权限,安全等级较低,且支持单文件传输最大4g,现在基本属于落后产品。

    NTFS:ntfs使用是最广泛的一种,安全性较高,可设置访问权限,单文件传输最大支持256T,不论是u盘还是刷系统分区,都建议使用ntfs类型。

    exFAT:即fat64,是fat32的升级版,主要为了解决fat32存储单文件最大4g的问题,fat64最大支持256g,支持win和mac,适用于移动硬盘。

    Ntfs(new technology file system)即文件系统,在windows下,其文件或目录权限都是利用ntfs的功能来实现访问规则的。如果系统c盘是fat32分区,那么默认这台服务器上的所有用户都具有修改权限,任何人都可删除和修改c盘中的文件。

    我们可以在此电脑右键-管理-磁盘管理中查看系统类型,也可以在盘符右键属性查看其类型,若为fat32,则建议使用convert命令进行转换(现在基本很少见电脑使用fat32了,这里简单了解下)。

    使用convert转换类型不会对文件造成任何影响。输入convert /?查看参数信息,如下图。

     

    其中有一个/FS:NTFS参数,即转换ntfs时使用,例如转换c盘输入命令convert c:/FS:NTFS即可。

     

    NTFS磁盘配额介绍

    Ntfs和fat32比多了一些功能,例如安全、磁盘配额等,如下图。

     

    磁盘配额:例如服务器上有多个用户,而任何用户都可以随意占用服务器硬盘空间,则硬盘空间很快就会耗尽,碰到恶意占用的,反而影响系统的正常运行和其他用户的使用。而用来限制和管理用户磁盘空间的就是磁盘配额的工作。且每个用户对磁盘空间的利用都不会影响到其他用户的配额。

    磁盘配额默认是关闭的,在需要设置的盘符上右键属性,切换到配额栏进行启动并配置相应的大小即可,如下图。

     

    这里注意的是,此设置后,只有后添加的新用户才会应用,如果想为已有的用户添加配额管理,则需要点配额项,找到配额下面的新建配额,如下图。

     

    在新建配额框中点高级,去搜索已有的用户,然后选中确认即可,如下图。

     

    确认后会弹出分配框,按需分配大小即可,如下图。

     

     

    NTFS权限介绍

    NTFS很重要的一个功能就是对磁盘或文件进行访问控制,其权限可分为完全控制、修改、读取、运行、写入、特殊权限等等。同时权限有四种特性,分别是继承性、累加性、优先性、交叉性。

    权限这里不多说,大家一看就明白,这里简单记下权限的四种特性。

    继承性:指下级文件夹权限在未设置前是继承上一级文件的权限。

    累加性:工作组权限由组中各用户权限累加决定。

    优先性:优先性可分两个,一个是文件的访问权限优先于文件夹的权限,即文件权限可以越过文件夹的权限,不顾上一级文件夹的设置。二是拒绝权限优先于其他权限,即拒绝权限高于其他权限,一旦设置了拒绝权限,则其他权限就无法生效。

    交叉性:交叉性指访问权限和共享权限的交叉性,当同一个文件夹未某一个用户设置了共享权限同时也设置了其访问权限,而权限又不一致时,取舍原则就是他们两个权限的交集。


                                                                               公众号推荐:aFa攻防实验室

                              分享关于信息搜集、Web安全、内网安全、代码审计、红蓝对抗、Java、Python等方面的东西。

                                                                                 

    展开全文
  • NTFS中,所有存储在卷上的数据都包含在文件中,包括用来定位和获取文件的数据结构,引导程序和记录这个卷的记录(NTFS元数据)的位图,这体现了NTFS的原则:磁盘上的任何事物都为文件。在文件中存储一切使得文件...

    在NTFS中,所有存储在卷上的数据都包含在文件中,包括用来定位和获取文件的数据结构,引导程序和记录这个卷的记录(NTFS元数据)的位图,这体现了NTFS的原则:磁盘上的任何事物都为文件。在文件中存储一切使得文件系统很容易定位和维护数据,而在NTFS中,卷中所有存放的数据均在一个叫做MFT的文件记录数组中,称为主文件表(Master File Table),MFT是由高级格式化产生的。而MFT则由文件记录(File Record)数组构成。File Record的大小一般是固定的,不管簇的大小是多少,均为1KB,这个概念相当于Linux中的inode(i节点)。File Record在MFT文件记录数组中物理上是连续的,且从0开始编号。MFT仅供系统本身组织、架构文件系统使用,这在NTFS中称为元数据(metadata)。其中最基本的前16个记录是操作系统使用的非常重要的元数据文件。这些NTFS主文件表的重要的元数据文件都是以$(美元符号)开始的名字,所以是隐藏文件,在Windows 2000中不能使用dir命令(甚至加上/ah参数)像普通文件一样列出这些元数据文件。实际上File System Driver(ntfs.sys)维护了一个系统变量NTFS Protect System Files用于隐藏这些元数据。但是微软公司也提供了一个OEM TOOL,叫做NFI.EXE,用此工具可以转储NTFS主文件表的重要的元数据文件(元数据:是存储在卷上支持文件系统格式管理的数据。它不能被应用程序来访问,它只能为系统提供服务)

    我们第一步就是先找到MFT的位置,通过分区表,我们得到本分区的引导扇区所在的扇区号,就拿C盘分区来实践,通过上一节,我们得到C盘的引导扇区的扇区号是63,首先进到扇区号为63的扇区
    这里写图片描述
    然后根据下表对照
    这里写图片描述

    00 02 每个扇区512(200H)字节
    08 每个簇占8扇区
    00 00
    00 00 00
    00 00
    F8 硬盘
    00 00
    3F 00 每磁头63扇区
    FF 00 每柱面255磁头
    3F 00 00 00 隐含扇区63
    00 00 00 00
    80 00 80 00
    C0 FF BF 03 00 00 00 00 扇区总数62914496
    00 00 0C 00 00 00 00 00 MFT开始簇号786432
    10 00 00 00 00 00 00 00 MFTmirr开始簇号 16
    F6 00 00 00 每个MFT占的簇数 246
    01 00 00 00 每个索引占的簇数 1
    B9 63 23 FC AA 23 FC B6 卷标

    文件记录由两部分构成,一部分是文件记录头,另一部分是属性列表,最后结尾是四个“FF”。然后我们根据上面BPB中的偏移簇号偏移盘偏移地址找到系统MFT所在地址(789632 * 8 +63 = 6291519),查看文件记录格式如下是一个完整的文件记录:
    这里写图片描述

    在同一系统中,文件记录头的长度和具体偏移位置的数据含义是不变的,而属性列表是可变的,其不同的属性有着不同的含义。后文将对属性进行具体分析,先来看看文件记录头的信息。
    这里写图片描述

    在NTFS文件系统中所有与文件相关的数据结构均被认为是属性,包括文件的内容。文件记录是一个与文件相对应的文件属性数据库,它记录了文件的所有属性。每个文件记录中都有多个属性,他们相对独立,有各自的类型和名称。每个属性都由两部分组成,既属性头和属性体。属性头的前四个字节为属性的类型。从文件记录头可以看到第一个属性流的偏移地址,(C0007E00+0038=C0007E38)如下是以10H属性为例的属性结构
    这里写图片描述

    另外属性还有常驻与非常驻之分。当一个文件很小时,其所有属性体都可以存放在文件记录中,该属性就称为常驻属性。如果某个文件很大,1KB的文件记录无法记录所有属性时,则文件系统会在元文件之外的区域也称数据流存放该文件的其他文件记录属性,这些存放在非MFT元文件内的记录就称为非常驻属性。

    分析属性的属性头

    每个属性都有一个属性头,这个属性头包含了一些该属性的重要信息,如属性类型,属性大小,名字(并非都有)及是否为常驻属性等。

    常驻属性的属性头分析表:
    这里写图片描述

    如下是非常驻属性的属性头分析表:
    这里写图片描述

    前面说过了,属性的种类有很多,因此各属性体的含义也不同。下表是NTFS文件系统中的所有属性体的简介
    这里写图片描述
    这里写图片描述

    接下来来看几个重要的属性:

    分析10H属性:

    10H类型属性它包含文件的一些基本信息,如文件的传统属性,文件的创建时间和最后修改时间和日期,文件的硬链接数等等。如下:是一个10H类型的属性。
    这里写图片描述

    其中偏移0×20处的文件属性解释如下:
    这里写图片描述

    分析20H属性

    20H类型属性既属性列表,当一个文件需要好几个文件记录时,才会用到20H属性。20H属性记录了一个文件的下一个文件记录的位置。如下:是20H属性的解释。
    这里写图片描述

    分析30H属性

    30H类型属,该属性用于存储文件名 ,它总是常驻属性。最少68字节,最大578字节,可容纳最大Unicode字符的文件名长度。
    这里写图片描述

    分析80H属性

    80H属性是文件数据属性,该属性容纳着文件的内容,文件的大小一般指的就是未命名数据流的大小。该属性没有最大最小限制,最小情况是该属性为常驻属性。常驻属性就不做多的解释了,上面我标记的是一个非常驻的80H属性。

    这里写图片描述

    其中,Run List是最难理解,也是最重要的。当属性不能存放完数据,系统就会在NTFS数据区域开辟一个空间存放,这个区域是以簇为单位的。Run List就是记录这个数据区域的起始簇号和大小,一个Run List例子上所示。这个示例中,Run List的值为“32 CC 26 00 00 0C”,因为后面是00H,所以知道已经是结尾。如何解析这个Run List呢? 第一个字节是压缩字节,高位和低位相加,3 + 2 = 5,表示这个Data Run信息占用五个字节,其中高位表示起始簇号占用多少个字节,低位表示大小占用的字节数。在这里,起始簇号占用3个字节,值为0C 00 00,大小占用2个字节,值为26 CC。解析后,得到这个数据流起始簇号为C0000,大小为9932簇。
    这里写图片描述

    分析90H属性

    90H属性是索引根属性,该属性是实现NTFS的B+树索引的根节点,它总是常驻属性。该属性的结构如下图:

    这里写图片描述

    索引根的结构如表:
    这里写图片描述

    索引头的结构如表:

    索引项结构如表:
    这里写图片描述

    分析A0H属性
    A0属性是索引分配属性,也是一个索引的基本结构,存储着组成索引的B+树目录索引子节点的定位信息。它总是常驻属性。如下:是一个A0H属性的实例。
    这里写图片描述

    根据上图A0H属性的“Run List”可以找到索引区域,偏移到索引区域所在的簇,如下图:
    起始簇:18265

    簇大小:3

    起始扇区号 = 该分区的其实扇区 + 簇号 * 每个簇的扇区数 也就是

    64 + 18265 * 8 = 146124
    这里写图片描述

    对了,上面的偏移0×28还要加上0×18 = 0×40.

    标准索引头的解释如下:
    这里写图片描述

    索引项的解释如下:
    这里写图片描述

    在下面的表中罗列出NTFS5中所有的元文件:
    这里写图片描述

    每个MFT记录都对应着不同的文件,如果一个文件有很多属性或是分散成很多碎片,就很可能需要多个文件记录。这时,存放其文件记录位置的第一个记录就叫做“基文件记录”(base file record)。

    MFT中的第1个记录就是MFT自身。由于MFT文件本身的重要性,为了确保文件系统结构的可靠性,系统专门为它准备了一个镜像文件($MftMirr),也就是MFT中的第2个记录。

    第3个记录是日志文件($LogFile)。该文件是NTFS为实现可恢复性和安全性而设计的。当系统运行时,NTFS就会在日志文件中记录所有影响NTFS卷结构的操作,包括文件的创建和改变目录结构的命令,例如复制,从而在系统失败时能够恢复NTFS卷。

    第4个记录是卷文件($Volume),它包含了卷名、被格式化的卷的NTFS版本和一个标明该磁盘是否损坏的标志位(NTFS系统以此决定是否需要调用Chkdsk程序来进行修复)。

    第5个记录是属性定义表($AttrDef,attribute definition table),其中存放了卷所支持的所有文件属性,并指出它们是否可以被索引和恢复等。

    第6个记录是根目录(\),其中保存了存放于该卷根目录下所有文件和目录的索引。在访问了一个文件后,NTFS就保留该文件的MFT引用,第二次就能够直接进行对该文件的访问。

    第7个记录是位图文件($Bitmap)。NTFS卷的分配状态都存放在位图文件中,其中每一位(bit)代表卷中的一簇,标识该簇是空闲的还是已被分配了的,由于该文件可以很容易的被扩大,所以NTFS的卷可以很方便的动态的扩大,而FAT格式的文件系统由于涉及到FAT表的变化,所以不能随意的对分区大小进行调整。

    第8个记录是引导文件($Boot),它是另一个重要的系统文件,存放着Windows 2000/XP的引导程序代码。该文件必须位于特定的磁盘位置才能够正确地引导系统。该文件是在Format程序运行时创建的,这正体现了NTFS把磁盘上的所有事物都看成是文件的原则。这也意味着虽然该文件享受NTFS系统的各种安全保护,但还是可以通过普通的文件I/O操作来修改。

    第9个记录是坏簇文件($BadClus),它记录了磁盘上该卷中所有的损坏的簇号,防止系统对其进行分配使用。

    第10个记录是安全文件($Secure),它存储了整个卷的安全描述符数据库。NTFS文件和目录都有各自的安全描述符,为了节省空间,NTFS将具有相同描述符的文件和目录存放在一个公共文件中。

    第11个记录为大写文件($UpCase,upper case file),该文件包含一个大小写字符转换表。

    第12个记录是扩展元数据目录($Extended metadata directory)。

    第13个记录是重解析点文件($Extend\$Reparse)。

    第14个记录是变更日志文件($Extend\$UsnJrnl)。

    第15个记录是配额管理文件($Extend\$Quota)。

    第16个记录是对象ID文件($Extend\$ObjId)。

    第17~23记录是是系统保留记录,用于将来扩展。

    MFT的前16个元数据文件是如此重要,为了防止数据的丢失,NTFS系统在该卷文件存储部分的正中央对它们进行了备份,参见下图。

    展开全文
  • 前言:最近由于项目需要,研究了一下NTFS文件系统,NTFS文件系统是windows使用的文件系统,包括NT,2000,xp系列。无奈万恶资本主义的windows将自家的东西全部藏在阴暗的角落,NTFS理所当然地也不开源,尽管没有源代码...
  • NTFS文件系统详细分析

    2012-09-12 01:38:50
    第一部分 什么是NTFS文件系统  想要了解NTFS,我们首先应该认识一下FAT。FAT(File Allocation Table)是“文件分配表”的意思。对我们来说,它的意义在于对硬盘分区的管理。FAT16、FAT32、NTFS是目前最常见的三...
  • NTFS

    2018-04-02 15:06:28
    常见的操作系统使用的文件系统整理 文件系统是操作系统用于明确磁盘或分区上的文件的方法和数据结构;即在磁盘上组织文件的方法。也指用于存储文件的磁盘或分区,或文件系统种类。操作系统中负责管理和存储文件...
  • NTFS文件系统详解

    2016-03-20 21:51:30
    NTFS (New Technology File System),是 WindowsNT 环境的文件系统。新技术文件系统是Windows NT家族(如,Windows 2000、Windows XP、Windows Vista、Windows 7和 windows 8.1)等的限制级专用的文件系统(操作系统...
  • NTFS权限详解

    2019-08-14 10:08:10
    NTFS权限是作为一个Windows管理员必备的知识,许多经验丰富的管理员都能够很熟悉地对文件、文件夹、注册表项等进行安全性的权限设置,包括完全控制、修改、只读等。而谈论NTFS权限这个话题也算是老生常谈了,但是...
  • 1:“or “a”=“a 2: ‘)or(‘a’=‘a 3:or 1=1– 4:‘or 1=1– 5:a’or’ 1=1– 6:"or 1=1– 7:‘or’a’=‘a 8:“or”="a’=‘a 9:‘or’’=’ 10:‘or’=‘or’ 11:1 or ‘1’=‘1’=1 ...
  • NTFS权限的种类

    2018-09-10 08:31:30
    一、标准NTFS文件权限的种类 读取(Read):他可以读取文件内容、查看文件属性与权限等。文件属性指的是只读、隐藏等。 写入(Write):它可以修改文件内容,在文件后面添加数据或者修改文件属性等。 读取和执行...
  • 使用 Mac 电脑的朋友可能都遇过,在使用 NTFS 文件格式的移动硬盘或U盘时,默认只能以「只读」模式打开,也就是说你只能读取复制文件而不能移动、修改、重命名或删除里面的东西。 这确实很不便,于是不少人花钱购买...
  • 由于Linux系统默认是不支持NTFS文件系统的,因此,我们基本不能在Linux系统中挂载NTFS文件系统类型的硬盘或移动硬盘。为此,最主要的问题是如何使Linux系统支持NTFS文件系统。一般情况下,在Linux系统中,我们并不...
  • 群晖系统挂载NTFS硬盘

    2016-03-15 15:01:58
    但是,这9块硬盘中,除了我专门为这个NAS新够的两块红盘,是用于安装DSM系统之外,其余的7块硬盘都是我存着高清电影的,硬盘是NTFS系统的。NTFS系统挂进来,DSM是不能够识别的:   HDD列表中能够显示有硬盘,但是...
  • 开启Mac os系统原生的NTFS读写功能 早期的Mac OS是可以通过修改mount_ntfs指令实现的。但是10.5以后的版本都不可以编译了,打开是乱码。只能说微软霸道。后来只能用破解版的Paragon NTFS for MAC,但是更新Mac os...
  • 发现其实最早在OSX 10.5的时候,OSX其实原生就支持直接写入NTFS的盘的,后来由于微软的限制,mac关闭了这个功能,所以接下来我们要通过命令行打开这个ntfs读写功能。 一、查看磁盘的Volume Name 打开 terminal ...
  • Linux下想访问NTFS分区,现在普遍的方法是利用ntfs-3g或者内核模块来实现。 一、安装ntfs-3g模块 1. 使用yum的安装方法: 请确定你已经安装了rpmforge软件库的源。请参考:RHEL/CentOS 5.5使用第三方软件库 然后...
  • 本文介绍使用第三方的NTFS驱动实现磁盘可写入挂载,使用的是LInux的NTFS驱动ntfs-3g,性能和稳定性就不用多说了。当然,每次使用前都需要输入命令行很麻烦,你也可以写个脚本开机挂载磁盘NTFS,自动检测插入的U盘并...
  • NTFS文件系统扇区存储探秘》主要内容包括:介绍NTFS文件系统优越的性能特征;介绍作者为了探索NTFS文件系统的存储特点编写的21个WIN32工具程序;使用作者编写的WIN32工具程序,探秘NTFS文件系统的扇区存储规律。 ...
  • MAC 原生 NTFS 挂载脚本

    2020-07-29 14:18:31
    特别对于想用 10.12 系统的朋友来说,读写 NTFS 格式的U盘 or 移动盘目前基本找不到破解版的ntfs程序了, 这款 ntfs.sh 脚本我花了好几天去写出来的,里面有说明,很简单,看说明会打开终端的使用基本无压力 ...
1 2 3 4 5 ... 20
收藏数 77,975
精华内容 31,190
关键字:

ntfs