NTFS0x90属性和0xa0属性和0xb0属性的一一对应关系是index_entry中的index_node中VCN和runlist和bitmap

于 2025-05-25 09:32:08 发布
阅读量670 收藏 4
点赞数 7
分类专栏: nt4源代码分析 文章标签: VCN LCN runlist bitmap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oldlinux/article/details/148201030
版权

第一部分:

0: kd> dt _FILE_RECORD_SEGMENT_HEADER 0xc1241400
Ntfs!_FILE_RECORD_SEGMENT_HEADER
   +0x000 MultiSectorHeader : _MULTI_SECTOR_HEADER
   +0x008 Lsn              : _LARGE_INTEGER 0x80e74aa
   +0x010 SequenceNumber   : 5
   +0x012 ReferenceCount   : 1
   +0x014 FirstAttributeOffset : 0x38
   +0x016 Flags            : 3
   +0x018 FirstFreeByte    : 0x2b8
   +0x01c BytesAvailable   : 0x400
   +0x020 BaseFileRecordSegment : _MFT_SEGMENT_REFERENCE
   +0x028 NextAttributeInstance : 0xa
   +0x02a SegmentNumberHighPart : 0
   +0x02c SegmentNumberLowPart : 5
   +0x030 UpdateArrayForCreateOnly : [1] 0x131
0: kd> dt ATTRIBUTE_RECORD_HEADER 0xc1241400+38
Ntfs!ATTRIBUTE_RECORD_HEADER
   +0x000 TypeCode         : 0x10
   +0x004 RecordLength     : 0x48
   +0x008 FormCode         : 0 ''
   +0x009 NameLength       : 0 ''
   +0x00a NameOffset       : 0x18
   +0x00c Flags            : 0
   +0x00e Instance         : 0
   +0x010 Form             : __unnamed
0: kd> dt ATTRIBUTE_RECORD_HEADER 0xc1241400+38+48
Ntfs!ATTRIBUTE_RECORD_HEADER
   +0x000 TypeCode         : 0x30
   +0x004 RecordLength     : 0x60
   +0x008 FormCode         : 0 ''
   +0x009 NameLength       : 0 ''
   +0x00a NameOffset       : 0x18
   +0x00c Flags            : 0
   +0x00e Instance         : 1
   +0x010 Form             : __unnamed
0: kd> dt ATTRIBUTE_RECORD_HEADER 0xc1241400+38+48+60
Ntfs!ATTRIBUTE_RECORD_HEADER
   +0x000 TypeCode         : 0x40
   +0x004 RecordLength     : 0x28
   +0x008 FormCode         : 0 ''
   +0x009 NameLength       : 0 ''
   +0x00a NameOffset       : 0
   +0x00c Flags            : 0
   +0x00e Instance         : 9
   +0x010 Form             : __unnamed
0: kd> dt ATTRIBUTE_RECORD_HEADER 0xc1241400+38+48+60+28
Ntfs!ATTRIBUTE_RECORD_HEADER
   +0x000 TypeCode         : 0x50
   +0x004 RecordLength     : 0x48
   +0x008 FormCode         : 0x1 ''
   +0x009 NameLength       : 0 ''
   +0x00a NameOffset       : 0x40
   +0x00c Flags            : 0
   +0x00e Instance         : 2
   +0x010 Form             : __unnamed
0: kd> dt ATTRIBUTE_RECORD_HEADER 0xc1241400+38+48+60+28+48
Ntfs!ATTRIBUTE_RECORD_HEADER
   +0x000 TypeCode         : 0x90
   +0x004 RecordLength     : 0xe0
   +0x008 FormCode         : 0 ''
   +0x009 NameLength       : 0x4 ''
   +0x00a NameOffset       : 0x18
   +0x00c Flags            : 0
   +0x00e Instance         : 6
   +0x010 Form             : __unnamed
0: kd> dt ATTRIBUTE_RECORD_HEADER 0xc1241400+38+48+60+28+48+e0
Ntfs!ATTRIBUTE_RECORD_HEADER
   +0x000 TypeCode         : 0xa0
   +0x004 RecordLength     : 0x58
   +0x008 FormCode         : 0x1 ''
   +0x009 NameLength       : 0x4 ''
   +0x00a NameOffset       : 0x40
   +0x00c Flags            : 0
   +0x00e Instance         : 8
   +0x010 Form             : __unnamed
0: kd> dt ATTRIBUTE_RECORD_HEADER 0xc1241400+38+48+60+28+48+e0+58
Ntfs!ATTRIBUTE_RECORD_HEADER
   +0x000 TypeCode         : 0xb0
   +0x004 RecordLength     : 0x28
   +0x008 FormCode         : 0 ''
   +0x009 NameLength       : 0x4 ''
   +0x00a NameOffset       : 0x18
   +0x00c Flags            : 0
   +0x00e Instance         : 7
   +0x010 Form             : __unnamed
0: kd> dt ATTRIBUTE_RECORD_HEADER 0xc1241400+38+48+60+28+48+e0+58+28
Ntfs!ATTRIBUTE_RECORD_HEADER
   +0x000 TypeCode         : 0xffffffff
   +0x004 RecordLength     : 0
   +0x008 FormCode         : 0 ''
   +0x009 NameLength       : 0 ''
   +0x00a NameOffset       : 0
   +0x00c Flags            : 0
   +0x00e Instance         : 0
   +0x010 Form             : __unnamed


第二部分:

0: kd> db  0xc1241400+38+48+60+28+48+e0+58
c1241688  b0 00 00 00 28 00 00 00-00 04 18 00 00 00 07 00  ....(...........
c1241698  08 00 00 00 20 00 00 00-24 00 49 00 33 00 30 00  .... ...$.I.3.0.
c12416a8  03 00 00 00 00 00 00 00-ff ff ff ff 00 00 00 00  ................
c12416b8  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00  ................
c12416c8  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00  ................
c12416d8  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00  ................
c12416e8  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00  ................
c12416f8  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00  ................


c12416a8  03 00 00 00 00

0011 0000 0000 0000    说明第一个vcn和第二个vcn都被使用

第三部分:

0: kd> db 0xc1241400+38+48+60+28+48+e0
c1241630  a0 00 00 00 58 00 00 00-01 04 40 00 00 00 08 00  ....X.....@.....
c1241640  00 00 00 00 00 00 00 00-01 00 00 00 00 00 00 00  ................
c1241650  48 00 00 00 00 00 00 00-00 20 00 00 00 00 00 00  H........ ......
c1241660  00 20 00 00 00 00 00 00-00 20 00 00 00 00 00 00  . ....... ......
c1241670  24 00 49 00 33 00 30 00-31 01 5d 71 51 31 01 8c  $.I.3.0.1.]qQ1..
c1241680  6a b0 00 e1 48 d9 17 ba-b0 00 00 00 28 00 00 00  j...H.......(...
c1241690  00 04 18 00 00 00 07 00-08 00 00 00 20 00 00 00  ............ ...
c12416a0  24 00 49 00 33 00 30 00-03 00 00 00 00 00 00 00  $.I.3.0.........

31 01 5d 71 51    长度为1:0x51715d是LCN号

31 01 8c 6a b0    长度为1:0xbo6a8c是LCN号

第四部分:

0: kd> dt index_root  0xc1241400+38+48+60+28+48+20
Ntfs!INDEX_ROOT
   +0x000 IndexedAttributeType : 0x30
   +0x004 CollationRule    : 1
   +0x008 BytesPerIndexBuffer : 0x1000
   +0x00c BlocksPerIndexBuffer : 0x1 ''
   +0x00d Reserved         : [3]  ""
   +0x010 IndexHeader      : _INDEX_HEADER
0: kd> dx -id 0,0,899a2278 -r1 (*((Ntfs!_INDEX_HEADER *)0xc1241580))
(*((Ntfs!_INDEX_HEADER *)0xc1241580))                 [Type: _INDEX_HEADER]
    [+0x000] FirstIndexEntry  : 0x10 [Type: unsigned long]
    [+0x004] FirstFreeByte    : 0xb0 [Type: unsigned long]
    [+0x008] BytesAvailable   : 0xb0 [Type: unsigned long]
    [+0x00c] Flags            : 0x1 [Type: unsigned char]
    [+0x00d] Reserved         [Type: unsigned char [3]]
0: kd> dt index_entry  0xc1241400+38+48+60+28+48+20+20
Ntfs!INDEX_ENTRY
   +0x000 FileReference    : _MFT_SEGMENT_REFERENCE
   +0x000 DataOffset       : 0xd4a
   +0x002 DataLength       : 0
   +0x004 ReservedForZero  : 0x10000
   +0x008 Length           : 0x88
   +0x00a AttributeLength  : 0x6e
   +0x00c Flags            : 1            //索引节点VCN    00000000 00000000
   +0x00e Reserved         : 0
0: kd> dd 0xc1241400+38+48+60+28+48+20+20+88-8
c1241610  00000000 00000000 00000000 00000000
c1241620  00000018 00000003 00000001 00000000
c1241630  000000a0 00000058 00400401 00080000
c1241640  00000000 00000000 00000001 00000000
c1241650  00000048 00000000 00002000 00000000
c1241660  00002000 00000000 00002000 00000000
c1241670  00490024 00300033 715d0131 8c013151
c1241680  e100b06a ba17d948 000000b0 00000028
0: kd> dt index_entry  0xc1241400+38+48+60+28+48+20+20+88
Ntfs!INDEX_ENTRY
   +0x000 FileReference    : _MFT_SEGMENT_REFERENCE
   +0x000 DataOffset       : 0
   +0x002 DataLength       : 0
   +0x004 ReservedForZero  : 0
   +0x008 Length           : 0x18
   +0x00a AttributeLength  : 0
   +0x00c Flags            : 3            //索引节点VCN    c1241628  00000001 00000000
   +0x00e Reserved         : 0
0: kd> dd  0xc1241400+38+48+60+28+48+20+20+88+18-8
c1241628  00000001 00000000 000000a0 00000058
c1241638  00400401 00080000 00000000 00000000
c1241648  00000001 00000000 00000048 00000000
c1241658  00002000 00000000 00002000 00000000
c1241668  00002000 00000000 00490024 00300033
c1241678  715d0131 8c013151 e100b06a ba17d948
c1241688  000000b0 00000028 00180400 00070000
c1241698  00000008 00000020 00490024 00300033

NTFS文件系统启动扇区代码(简化版)
程序人生
10-17 4552
;====================================================================; ; FlyingDragon OS Boot Sector FOR NTFS File System;; Author: Jack; V0.01 2005-9-1 20:58; ; Build : nasm -f bin NTFS.ASM -oNTFS.BI
mft文件记录属性头包括_硬盘NTFS分区MFT文件记录结构
weixin_39839541的博客
12-30 1095
硬盘NTFS分区MFT文件记录结构MFT文件记录结构分析主文件表MFT的文件记录由记录头属性列表组成,由“FF FF FF FF”结束,一般大小为1K,或一个簇大小,记录头包括以下一些域:偏移 长度(字节) 属性0X00 4 标志,一定是“FILE”0X04 2 更新序列US的偏移0X06 2 更新序列号USN的大小与数组,包括第一个字节0X08 8 日志文件序列号LSN0X10 2 序列号(S...
NTFS - 全局变量
weixin_43763292的博客
03-01 1371
NTFS系统解析-头文件概述: 概述: 保存程序中存放ntfs系统结构体一些全局变量,公共函数 /* * http://ftp.kolibrios.org/users/Asper/docs/NTFS/ntfsdoc.html#id4757298 //NTFS资料 * https://www.dgxue.com/huifu/luoji/windwos-huifu/ntfs/ //NTFS数据恢复 * * LCN号为簇号 从0开始 -- 比如:LCN0就是 b
硬盘文件系统系列专题之二 NTFS
存储随笔
09-10 9220
一、NTFS概述NTFS (New Technology File System),是 WindowsNT 环境的文件系统。新技术文件系统是Windows NT家族(如常见的Windows XP、Win7 、Win8、Win10)等的限制级专用的文件系统(操作系统所在的盘符的文件系统必须格式化为NTFS的文件系统,4096簇环境下)。NTFS取代了老式的FAT文件系统。NTFS可以支持的分区(如果采用动态磁盘则称为卷)大小可以达到2TB。
NTFS.rar_ ntfs_Windows NTFS_ntfs 代码_ntfs 文件系统
09-21
2. VCN(Volume Cluster Number)与LBN(Logical Block Number):VCN是文件在MFT中分配的空间所对应的簇号,LBN则是这些簇在磁盘上的物理位置。这种映射关系使得NTFS能快速定位文件数据。 3. $Bitmap:此系统文件...
vcn.rar___v.cn_site:www.pudn.com_vc++ vnc_vcn_vcn开发
09-20
VCN远程控制源代码】是一个基于VC++ 6.0开发的项目,它涉及到的是虚拟网络计算(Virtual Network Computing, VNC)技术的应用。VNC是一种轻量级的远程桌面协议,允许用户通过网络访问并控制另一台计算机的图形界面...
ntfs.rar_ntfs
09-21
NTFS(New Technology File System)是微软开发的一种文件系统,主要用在Windows操作系统中,用于存储管理数据。本文将深入探讨NTFS的核心概念、结构Linux内核驱动的相关知识。 NTFS概述: NTFS是一种高级、...
vcn.rar_fully5ts_vc 远程_vc 远程控制_远程控制
09-19
在IT行业中,远程控制技术是不可或缺的一部分,尤其对于系统管理员开发者来说,它能实现对远程设备的管理调试。"vcn.rar_fully5ts_vc 远程_vc 远程控制_远程控制"这个资源是一个关于远程控制的开源源代码项目,...
YOLOv8-PyQt5-GUI-pred-insects-mytwu-995识别分类昆虫种类-检测生态研究害虫防治+数据集+训练好的模型.zip
05-27
YOLOv8-PyQt5-GUI-pred-insects-mytwu_995识别分类昆虫种类-检测生态研究害虫防治+数据集+训练好的模型包含pyqt可视化界面,有使用教程 1. 内部包含标注好的目标检测数据集,分别有yolo格式(txt文件)voc格式标签(xml文件), 共995张图像, 已划分好数据集train,val, test,并附有data.yaml文件可直接用于yolov5,v8,v9,v10,v11,v12等算法的训练; 2. yolo目标检测数据集类别名:insects(昆虫),包括 army_worm(行军虫)、legume_blister_beetle(豆类起泡叶甲)、red_spider(红蜘蛛)、rice_gall_midge(水稻瘿蚊)、rice_leaf_roller(水稻卷叶螟)、rice_leafhopper(水稻飞虱)、rice_water_weevil(水稻水象甲)、wheat_phloeothrips(小麦皮层蓟马)、white_backed_plant_hopper(白背飞虱)、yellow_rice_borer(水稻二化螟)等 3. yolo项目用途:识别分类昆虫种类,用于生态研究害虫防治 4. 可视化参考链接:https://blog.csdn.net/weixin_51154380/article/details/126395695?spm=1001.2014.3001.5502
在Matlab_Simulink中使用3D动画的帆船模型仿真.rar
05-27
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业毕业设计。
MATLAB函数曲线图像数据提取与重绘:快速高效的数据可视化解决方案
05-27
内容概要:本文详细介绍了如何利用MATLAB进行函数曲线图像的数据提取、复现重绘及后处理的方法。主要内容涵盖数据准备与导入、数据提取与预处理、图像复现与重绘、图像修改与后处理四个主要阶段。文中强调了程序编写的清晰性注释的详尽性,确保即使是不熟悉MATLAB编程的用户也能快速理解修改代码。此外,本文特别指出该服务不含曲线拟合、公式提取及FFT频谱分析等高级分析功能,但能在10分钟内快速出图,提供实惠的价格服务质量。 适合人群:科研人员、工程师及其他需要进行数据可视化工作的专业人士,尤其是那些希望快速掌握MATLAB绘图技巧的新手。 使用场景及目标:适用于需要将原始图像数据转换为高质量函数曲线图像的各种应用场景,如实验数据分析、工程报告制作等。目标是在短时间内获得精确、美观的图表,同时提高工作效率。 其他说明:本文提供的方法技术可以帮助用户更好地理解应用MATLAB的基础绘图功能,为进一步深入学习打下坚实基础。虽然目前不涉及复杂的数学建模或信号处理技术,但对于大多数日常的数据可视化任务来说已经足够强大。
移动通信复习资料全部答案.docx
05-27
移动通信复习资料全部答案.docx
自动驾驶领域Lanelet2高精地图解析与全局路径规划实战指南
05-27
内容概要:本文详细介绍了Lanelet2高精地图的解析方法及其在全球路径规划中的应用。首先解释了Lanelet2作为当前主流高精度地图格式之一的特点,特别是它对车道、交通规则等元素的数据结构化表示方式。接着展示了如何利用PythonC++代码片段来加载处理Lanelet2格式的地图,包括正确设置投影参数、遍历车道以及处理特定类型的车道(如左转车道)。然后深入探讨了全局路径规划的具体实现步骤,强调了选择合适搜索半径的重要性,并分享了一些实际项目中遇到的问题及解决方案,如坐标系转换错误导致的地图偏移、断头路引发的死循环等问题。最后提醒开发者注意地图制作过程中的常见陷阱,建议使用手动可视化工具进行细致检查。 适用人群:从事自动驾驶相关领域的工程师技术爱好者,尤其是那些需要理解使用Lanelet2高精地图进行开发的人群。 使用场景及目标:帮助读者掌握Lanelet2高精地图的基本概念关键技术点,能够独立完成从地图加载到全局路径规划的一系列任务,避免常见的开发误区。 其他说明:文中提供的实例代码实践经验对于初学者来说非常有价值,有助于快速入门并应用于实际项目中。
第3章客户关系管理软件系统.ppt
05-27
第3章客户关系管理软件系统.ppt
GD32F303CCT6-LED点灯
05-27
使用GD32F303芯片作为主控MCU,通过PB3输出1秒周期的高低电平点亮LED灯
电子商务网站建设试题二及答案.docx
05-27
电子商务网站建设试题二及答案.docx
数组信号参数最大似然估计方差模拟 matlab代码.rar
05-27
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业毕业设计。
行星齿轮系统非线性动力学模型与求解策略研究
最新发布
05-27
内容概要:本文探讨了行星齿轮系统的非线性求解及其与齿轮动力学非线性动力学的关系。首先介绍了齿轮动力学的基础概念,包括基本方程各参数的意义。接着详细解释了行星齿轮系统中存在的非线性因素,特别是时变啮合刚度这一重要特征,并通过Python代码进行了模拟展示。最后,文章展示了如何应用Runge-Kutta方法其他数值解法来解决含有非线性因素的行星齿轮动力学问题,强调了这类研究对于机械系统优化设计的重要意义。 适合人群:从事机械工程领域的研究人员技术人员,尤其是关注行星齿轮系统动态特性的专业人士。 使用场景及目标:适用于需要深入了解行星齿轮非线性行为的研究项目或工程项目,旨在提高对行星齿轮系统复杂动力学特性的认识,从而改进设计提升可靠性。 其他说明:文中提供了具体的Python代码实例用于演示关键概念,有助于读者更直观地理解理论知识并应用于实际工作中。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值