Windows - статьи



Общие концепции NTFS


  • Метафайлы NTFS – служебные файлы, используемые NTFS для поддержания своей внутренней структуры.
  • Том (volume) NTFS – раздел, отформатированный под NTFS.
  • Главная загрузочная запись (Master Boot Record) – первый сектор жесткого диска, который содержит загрузочный код (bootstrap code) и таблицу разделов (partition table). Загрузочный код читает таблицу разделов, ищет активный (флаг 0x80) раздел и передает управление на его первый сектор (загрузочный сектор).
  • Загрузочный сектор (boot sector) – первый сектор тома, в котором хранятся параметры ФС. Также в загрузочный сектор входит код, который отвечает за чтение ntldr в память. Такой код несет смысл только если том является системным (т. е. только для диска C). В процессе монтирования тома, ntfs.sys проводит валидацию загрузочного сектора и признает его своим в случае совпадение необходимых параметров.
  • Системный том (system volume) – том, на котором располагается ntldr. Для NT системным томом может быть только первый том – С:. Загрузочный том (boot volume) – том, на котором располагается папка windows (winnt).

    Формат загрузочного сектора NTFS описывается следующей таблицей (как и все остальные описываемые структуры, наилучшим руководством по ним может служить книга Брайана Кэрриэ «Криминалистический анализ файловых систем»).

    Смещение

    Размер в байтах

    Описание

    0x0 3 Команда перехода на загрузочный код.
    0x3 8 Сигнатура ‘NTFS    ’.
    0xB 2 Количество байт на сектор
    0xD 1 Количество секторов в кластере.
    0xE 2 Должно равняться нулю.
    0x10 1 Должно равняться нулю.
    0x11 2 Должно равняться нулю.
    0x13 2 Должно равняться нулю.
    0x15 1 Тип носителя
    0x16 2 Должно равняться нулю.
    0x18 2 Должно равняться нулю.
    0x1A 2 Должно равняться нулю.
    0x1C 4 Не используется.
    0x20 4 Должно равняться нулю.
    0x24 4 Не используется.
    0x28 8 Число секторов в томе.
    0x30 8 Стартовый кластер MFT.
    0x38 8 Стартовый кластер копии MFT.
    0x40 1 Кластеров на запись MFT.
    0x41 3 Не используется.
    0x44 1 Кластеров на индексную запись.
    0x45 3 Не используется.
    0x48 8 Серийный номер тома. Уникален. Создается в процессе форматирования.
    0x50 4 Не используется.
    0x54 426 Загрузочный код.
    0x1FE 2 Маркер конца. Равен 0xAA55.
    <


    Содержание  Назад  Вперед