Ремонт компьютеров, ноутбуков
Вызвать мастера
Звонок, визит, диагностика - бесплатно!

Анализ структуры данных файловой системы NTFS

На момент написания книги компания Microsoft прекратила продажу систем Windows 98 и ME, а место фактического стандарта среди новых систем потребительского уровня сейчас отводится Windows ХР. Система FAT продолжает существовать в мобильных устройствах и портативных носителях информации, но, скорее всего, во всех расследованиях, относящихся к Windows, вам придется иметь дело именно с NTFS. Эта система гораздо сложнее FAT, поскольку она обладает гораздо большими возможностями и отлично масштабируется. Из-за сложности NTFS для ее рассмотрения нам потребуются три главы. Эта глава посвящена основным концепциям NTFS и их аналогам среди пяти категорий нашей модели.

Ntfs: анализ

Файловая система NTFS представляет собой выдающееся достижение структуризации: каждый элемент системы представляет собой файл - даже служебная информация. Именно он размещается в MFT зоне и представляет собой централизованный каталог всех остальных файлов диска, и себя самого. MFT поделен на записи фиксированного размера обычно 1 Кбайт , и каждая запись соответствует какому либо файлу. Первые 16 файлов носят служебный характер и недоступны операционной системе - они называются метафайлами, причем самый первый метафайл - сам MFT.

Эти первые 16 элементов MFT - единственная часть диска, имеющая фиксированное положение. Интересно, что вторая копия первых трех записей, для надежности хранится ровно посередине диска. Остальной MFT-файл может располагаться, как и любой другой файл, в произвольных местах диска - восстановить его положение можно с помощью его самого, "зацепившись" за самую основу - за первый элемент MFT.

Дескриптор MFT можно определить как набор атрибутов, включая атрибут - имя файла, атрибут - дескриптор защиты и атрибут — данные. Однако на самом деле эти имена атрибутов соответствуют числовым кодам типа, которые NTFS использует для упорядочения атрибутов внутри дескриптора.

Каждым атрибут хранится и файле как отдельный поток байтов. NTFS не выполняет чтения и записи файлов — она читает и записывает потоки, соответствующие атрибутам.

Операции чтения и записи обычно работают над безымянным атрибутом данных файла. Однако можно указать другой атрибут данных при помощи синтаксиса именованных потоков данных.

Метафайлы и их назначение:. Нужен в основном потому, что в NTFS имена файлов записываются в Unicode , что составляет 65 тысяч различных символов, искать большие и малые эквиваленты которых очень нетривиально.

В процессе работы NTFS записывает информацию в еще один важный файл метаданных — журнал транзакций log file. Журнал транзакций применяется для восстановления тома NTFS после сбоя системы. Эта запись содержит индекс файлов и каталогов, хранящихся в корне структуры каталогов NTFS. После того как файл открыт, NTFS запоминает его файловую ссылку, чтобы при последующих операциях ввода-вывода обращаться к записи MFT этого файла напрямую.

Атрибут данных этого файла содержит битовую карту, каждый бит которой представляет один кластер тома и указывает, свободен ли данный кластер или занят некоторым файлом.

Другой важный системный файл — загрузочный файл boot file , в котором хранится код начального загрузчика Windows NT. Однако при форматировании утилита Format определяет эту область как файл, создавая для нее файловую запись. Загрузочный файл, как и файлы метаданных NTFS , имеет отдельную защиту при помощи дескрипторов защиты, которые применяются к любым объектам Windows NT.

Размер дескриптора записи в MFT для тома — минимум 1 Кбайт и максимум 4 Кбайт — определяется во время его форматирования. Имена используются в основном с атрибутами данных для идентификации второго или третьего потока данных в файле. Значение атрибута — это поток байтов, составляющих его. Для маленького файла все его атрибуты и их значения например, данные файла умещаются в файловой записи. В случае резидентного атрибута заголовок содержит также смещение значения атрибута относительно заголовка и длину этого значения для атрибута-имени файла.

Только те из стандартных атрибутов, размер которых может возрастать, бывают нерезидентными. Для файла такие атрибуты — это дескриптор защиты, данные, список атрибутов и расширенные атрибуты HPFS. Атрибуты стандартной информации и имени файла всегда резидентные.

Пример фрагмент, процедура определяющая номера кластеров расположения нерезидентрого файла на диске на основе анализа цепочки данных файлового дескриптора. Функция печатает список кластеров:. Текстовые и графические материалы, а также программные решения, размещенные на сайте, являются интеллектуальной собственностью авторов и не могут быть скопированы или использованы другим образом без письменного разрешения правообладателей.

RU в любом документе или программе!!! Помните мы работаем для Вас!!! Незаконное использование наказуемо в соответствии с УК РФ. Добавить исходник Вопрос-ответ. Зарегистрироваться Логин: Пароль:. Форма входа Выход. Вопрос Файловая система NTFS : структура системных файлов, их назначение. Файловый дескриптор, анализ его структуры для резидентного и нерезидентного файла.

Добавил: DMT Дата создания: 30 декабря , Дата обновления: 10 января , Просмотров: последний сегодня, Комментариев: 2 Вопрос MFT и его структура Файловая система NTFS представляет собой выдающееся достижение структуризации: каждый элемент системы представляет собой файл - даже служебная информация.

QuadPart ;. CnCount; CnCount--, Lcn. NextVcn ;. CloseHandle hFile ;. Пользователь: wetmurlyka Сообщений: 6 Статус: Незримый Зарегистрирован: 8 января , Был: 27 февраля , Показатель смещения начала этой цепоч-ки относительно начала атрибута данных хранится в двухбайтовом поле, имеющем сме-шение 20 байт относительно начала атрибута данных. В описываемом случае этот показа-тель равен пунктирный прямоугольник на рис.

На рис. Размер и расположение каждою экстен-та описывается в блоке VCN. Формат блока стоит показать на конкретном примере. Пер-вое поле, имеющее длину один байт, хранит количество кластеров, выделенных экстенту файла. Длина второго экстента составляет кластера.

Резидентные файлы Файлы небольшого размера размещаются непосредственно в записи MFT, описывающей этот файл, для сокращения времени доступа. Приведем небольшой пример. Как видно из рис. Байт со смещением 8 относительно начала атрибута данных — это признак резидентного размещения файла. Если его значение равно 1, запись MFT хранит только список кластеров, выделенных файлу, а если 0 — файл находится внутри самой записи MFT.

Как правило, записи содержат только файлы небольших размеров.

Что такое NTFS. Файловая система NTFS была разработанная компанией Microsoft с чистого листа для использования в новой. Запись каких-либо данных в эту область невозможна. Файловая система NTFS представляет собой выдающееся достижение структуризации: Внутренняя структура каталога представляет собой бинарное дерево. Если вас интересует эта тема — вы найдете множество книг по сетевой архитектуре.

Для того чтобы упорядочить данные на физических носителях, обязательным условием является наличие файловой системы. Этот способ размещения данных определяет, каким образом будет предоставлен доступ операционной системы к файлам. Таблица размещения файлов FAT — это файловая система, в основе которой лежит электронная таблица данных. По сути, это однотипные таблицы размещения информации с одной лишь разницей: использование ти или х разрядных адресаций кластеров. В современных системах FAT16 уже не используется, ввиду ее ограниченных возможностей по размеру тома логического диска.

Перейти к основному контенту. Статья содержит следующие разделы.

В предыдущей статье мы описали алгоритм работы программ по восстановлению данных, работающих на дисках, использующих файловую систему FAT. Сегодня мы расскажем о том, как работает восстановление удалённых файлов с дисками, отформатированными в файловой системе NTFS.

Сравнение файловых систем

Во второй главе, посвященной NTFS, мы приступим к обсуждению методов и различных аспектов анализа на базе модели с пятью категориями, представленной в главе 8. NTFS сильно отличается от других файловых систем, поэтому перед тем, как излагать этот материал, я представил важнейшие концепции NTFS в отдельной главе. Если вы недостаточно хорошо разбираетесь в NTFS pi пропустили главу 11, я рекомендую вернуться к ней. В главе 13 описываются структуры данных NTFS. Большая часть книги организована таким образом, чтобы главы с анализом файловых систем и описаниями структур данных можно было читать параллельно. С NTFS это сделать сложнее, потому что в этой системе все служебные данные ассоциируются с файлами, и было бы трудно показать файлы метаданных в категории данных файловой системы перед рассмотрением атрибутов в категории метаданных.

Статьи и публикации

Начнем с общих фактов. Раздел NTFS, теоретически, может быть почти какого угодно размера. Предел, конечно, есть, но я даже не буду указывать его, так как его с запасом хватит на последующие сто лет развития вычислительной техники — при любых темпах роста. Как обстоит с этим дело на практике? Почти так же. Максимальный размер раздела NTFS в данный момент ограничен лишь размерами жестких дисков. NT4, правда, будет испытывать проблемы при попытке установки на раздел, если хоть какая-нибудь его часть отступает более чем на 8 Гб от физического начала диска, но эта проблема касается лишь загрузочного раздела. Лирическое отступление. Метод инсталляции NT4. Если вы укажете программе установки, что желаете отформатировать диск в NTFS, максимальный размер, который она вам предложит, будет всего 4 Гб.

Файловая система NTFS представляет собой выдающееся достижение структуризации: каждый элемент системы представляет собой файл - даже служебная информация. Именно он размещается в MFT зоне и представляет собой централизованный каталог всех остальных файлов диска, и себя самого.

Основная версия причины перехода Катлера в Microsoft — закрытие проекта разработки нового RISC-процессора и соответствующей ОС, в котором он работал вместе со своей командой инженеров. В результате, не без участия Билла Гейтса, Дэйв со своей командой оказался в Microsoft. Кстати, Гейтс был очень заинтересован в создании новой ОС, потому что у Microsoft на тот момент была только Windows, пригодная для домашних пользователей, а выхода на рынок серверов не было. В случае сбоя диска, NTFS должна привести себя в рабочее, целостное состояние.

Файловая система NTFS

Не так давно при разработке фильтра файловых систем возникла проблема, которая приводила к подвисанию всей системы. Казалось бы, фильтр выполнял очень простые действия и сам был очень примитивным. Чтобы выяснить причину, пришлось спуститься до отладки и реверс-инжиниринга драйвера NTFS. Анализ выявил очень интересный эффект. Если скомпилировать и выполнить очень простую программу, изображённую на рисунке ниже, то доступ к соответствующему тому подвиснет. При этом не нужно иметь каких-либо прав. Если же том был не системным, то повиснет только доступ к этому тому, но если выполнить перезагрузку, то система повиснет на ней. Прежде чем описать суть проблемы, стоит рассмотреть базовые принципы построения файловых систем. Когда некий процесс открывает файл, кроме полученного HANDLE на него, в пространстве ядра также формируются структуры, как самим ядром, так и файловой системой, которые, по сути, представляют файл тома в памяти. Ниже на рисунке изображены эти структуры. Эта структура формируется ядром перед посылкой запроса файловой системе. Файловая система, в свою очередь, инициализирует поля этой структуры. Если файл открыт несколько раз, то также будет сформировано ровно столько CCB структур, сколько раз был открыт соответствующий файл, и все эти структуры будут ссылаться на единственную FCB структуру. Поскольку доступ к файлу может выполняться одновременно разными или одним и тем же процессом, то эти параллельные операции должны быть сериализованы. При этом допустимо, что некоторые операции будут выполняться одновременно например, чтение , однако существуют ситуации, когда доступ должен выполняться монопольно например, запись.

Анализ структуры данных файловой системы NTFS

Данная таблица сравнивает основные и технические особенности для списка файловых систем. Смотрите отдельные статьи о каждой файловой системе для получения дополнительной информации. OFS [I 1]. Материал из Википедии — свободной энциклопедии. Текущая версия страницы пока не проверялась опытными участниками и может значительно отличаться от версии , проверенной 9 февраля ; проверки требуют 8 правок. Этот раздел слишком короткий.

Обзор файловых систем FAT, HPFS и NTFS

NTFS и FAT(16/32) файловые системы

Похожие публикации
Яндекс.Метрика