《第21讲--分析主控文件表结构.pptx》由会员分享,可在线阅读,更多相关《第21讲--分析主控文件表结构.pptx(28页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、项项目目四四:文件系统数据恢复文件系统数据恢复任务任务3 3 NTFSNTFS文件系统结构文件系统结构子任务子任务4.4.3 3.2 2 主控文件表结构分析主控文件表结构分析主讲人主讲人 高灵霞、廖艳高灵霞、廖艳CONTENT目 录课前学情探究主控文件表结构0102总结与拓展教学内容04工单-分析主控文件表MFT结构03教学目标项目四 文件系统数据恢复任务3 NTFS文件系统结构分析子任务4.3.2 主控文件表结构分析素质目标知识目标能力目标1.通过MFT主控文件表结构分析,培养学生良好的职业道德教育2.通过用户文件记录项属性分析,培养学生能立足专业,使学生遵守数据恢复工程师职业操守和注意事项
2、1.学生熟悉MFT结构组成,分析记录头和熟悉列表组成信息2.学生掌握文件属性结构,分析属性头结构信息3.学生掌握常见属性内容,10H和30H属性4.学生了解字符编码(ASCII码、GB码、Unicode码)1.学生能分析MFT文件记录项结构2.学生能搜寻指定的文件记录项3.学生能读取文件属性思政点:自立思政点:自立(立足专业,奋发有为)(立足专业,奋发有为)【育人案例】【育人案例】2021年6月17日淘宝近12亿条用户数据遭泄露,一名住在河南商丘市的本科毕业的大学生逯某自2019年11月起,对淘宝实施了长达八个月的数据爬取并盗走大量用户数据。在阿里巴巴注意到这一问题前,已经有约13亿条用户信息
3、泄露。教学重点与难点 教学重点教学重点1.分析主控文件表结构,属性头结构,区分常驻属性和非常驻属性2.基本文件属性30H属性内容,80H常驻属性内容 教学难点教学难点 属性属性头结头结构和属性内容构和属性内容结结构构课前学情01学情分析信安2004班-项目四 子任务4.3.1 NTFS文件系统结构分析6组优秀课堂活动:1.NTFS分区结构2.NTFS文件系统中两个重要的元文件是?3.元文件:在NTFS分区中,将所有分区管理控制信息都以文件形式组织管理。以下元文件编以下元文件编号?号?$Boot$Boot存放了引存放了引存放了引存放了引导导导导程序程序程序程序块块块块;(0-150-15号扇区)
4、号扇区)号扇区)号扇区)$MFT$MFT存放了文件存放了文件存放了文件存放了文件记录项记录项记录项记录项,这这这这是最主要的一个元文件;是最主要的一个元文件;是最主要的一个元文件;是最主要的一个元文件;$Root$Root存放了根目存放了根目录录索引;索引;$Bitmap$Bitmap存放了存放了NTFSNTFS分区的簇位分区的簇位图图,记录记录簇的分配情况。簇的分配情况。任务引入 工程师小王想学习NTFS是怎么实现对文件的管理的,在组织文件的属性、文件名、日期、簇号分配等方面是如何实现的,因为这是学习NTFS数据恢复的一个必须的过程。任务分析:NTFS将所有的管理控制信息都以文件形式组织,也
5、将围绕文件所有的信息以属性方式组织,比如文件名、日期、传统属性、文件数据等,还有文件的访问控制表、加密等,有的属性只有特定的文件才会具备。读取并分析文件属性,是学习NTFS数据恢复的重要基础技能。MFT表的文件表的文件记录项对应文件属性如何文件属性如何读取呢?取呢?探究主控文件表结构02一、主控文件表结构u主控文件表(MFT)在NTFS文件系统中的地位非常重要,它记载了该分区中所有的文件记录信息,甚至还可以包括文件数据。u在格式化时,系统首先确定了主控文件表的起始位置和大小在格式化时,系统首先确定了主控文件表的起始位置和大小。主控文件表本身也被当做文件管理,就是$MFT$MFT元文件元文件。一
6、、主控文件表结构主控文件表由若干个文件记录项组成,每个文件记录项占1024字节,也就是2个扇区。在NTFS分区中,每个文件都有一个编号,元文件占了头16个文件记录项,编号为0到15,16到23是保留项,用户文件从24号开始。其中,第第0项便是项便是$MFT。一、主控文件表结构MFT区域中的每个记录项都分为记录头和属性列表两个部分,记录头里包含了本记录项的总体情况和信息,属性列表里列出了该文件的所有属性。不同的文件可以有不同的属性,因此,属性列表的大小是可变的,在所有属性的最后是结束标志FFFFFFFFH。一、主控文件表结构文件记录头10H属性结束标志80H属性B0H属性30H属性一、主控文件表
7、结构 文件记录头 P110(表4-4)偏移偏移长度长度含义含义00H4BMFT标志,一定为字符串“FILE”04H2B更新序列号的偏移,通常为30H06H2B更新序列号的大小与数组08H8B日志文件序列号LSN10H2B序列号,用于记录本文件项被使用的次数12H2B硬链接数,即有多少目录指向该文件,只出现在基本文件记录中14H14H2B2B第一个属性的偏移地址第一个属性的偏移地址16H16H2B2B标志,第标志,第0 0位表示是使用位表示是使用/删除,第删除,第1 1位表示目录位表示目录/文件文件(00(00 表示删除文件,表示删除文件,0 x010 x01表示使用文件,表示使用文件,0 x0
8、20 x02表示删除目录,表示删除目录,0 x030 x03表示使用目录)表示使用目录)18H4B记录头和属性的实际使用总长度1CH4B总共分配给文件记录的长度,通常为400H20H20H8B8B索引号,基本文件记录总为索引号,基本文件记录总为0 0,非,非0 0则表示为扩展文件记录则表示为扩展文件记录28H2B下一属性ID2AH2BWindows XP中使用,边界2CH2CH4B4BMFTMFT记录编号(从记录编号(从0 0号起始)号起始)30H-更新序列号和更新序列数组完成完成任任务一一二、NTFS文件属性在一个NTFS卷中文件所有的信息,包括文件数据在内,都被认为是文件的属性,而构成该属
9、性的实际数据则被称为“流”。不同的文件拥有的属性不一样,有的属性也会在同一记录项中多次出现,比如文件名属性。每个属性的头4个字节表示属性类型,接下来的4个字节表示本属性大小,根据这个信息,我们可以遍历文件的属性列表。MFT中的各属性的大小均以8字节为边界。二、NTFS文件属性 属性图示10属性头属性内容30属性头属性内容30属性头属性内容二、NTFS文件属性 属性列表 P112-表4-5属性类型属性类型属性名属性名属性描述属性描述10H$STANDARD_INFOMATION标准信息:文件传统属性,时间属性,硬链接等标准信息:文件传统属性,时间属性,硬链接等20H$ATTRIBUTE_LIST
10、属性列表:描述扩展文件记录项中属性的信息30H$FILE_NAME文件名:用文件名:用UnicodeUnicode字符表示的文件名字符表示的文件名40H$OBJECT_ID对象ID:具有64字节的标识符,提供API调用访问50H$SECURITY_DESCRIPTOR安全描述符:文件的访问控制,现在移到$Secure中了60H$VOLUME_NAME卷名(卷标识):仅存在于$Volume元文件中70H$VOLUME_INFOMATION卷信息:仅存在于$Volume元文件中80H$DATA数据:文件的实际数据内容数据:文件的实际数据内容90H$INDEX_ROOT索引根:文件目录的根节点A0H
11、$INDEX_ALLOCATION索引分配:文件目录表的子节点B0H$BITMAP位图:分配空间的使用情况位图:分配空间的使用情况C0H$REPARSE_POINT重解析点,实现卷、目录和应用程序之间的连接D0H$EA_INFOMATION扩充信息属性E0H$EA扩充信息1000H$LOGGED_UTILITY_STREAMEFS加密属性:存储合法用户列表、密钥等大大多多数数用用户文文件件具具备哪哪些些属属性性三、属性头结构属性组成:属性组成:每个属性由属性头和属性内容组成,属性头给出了该属性的结构信息。属性分类:属性分类:有的属性内容存储在记录项中(如文件名),称为常驻属性。有的属性内容很大
12、,需要在MFT外另外开辟空间存储(如文件数据),则称为非常驻属性。有的属性在属性头之后列出了属性名,而有的则没有,一般存放特殊内容的属性都有属性名。三、属性头结构 常驻属性 (属性头占18H)偏移偏移大小大小含义含义00H4B属性类型04H4B属性大小(包括属性头和属性内容)08H1B是否常驻(是否常驻(0000常驻;常驻;0101非常驻)非常驻)09H09H1B1B属性名长度(0表示无属性名,非0表示属性名的字符个数)0AH2B属性名的起始偏移(如果有的话),通常为18H0CH2B压缩(0001H)、加密(4000H)、稀疏(8000H)标志0EH2B属性ID10H4B属性内容的长度14H2
13、B属性内容的起始偏移(如果没有属性名,则为18H)16H1B索引标志17H1B无意义,通常为018H-该属性的内容,或属性名(如果有属性名的话)完成完成任任务一一四、基本属性介绍 10H属性偏移偏移大小大小含义含义属性头00H8B文件建立时间,用64位来表示日期和时间,用Windows的时间API函数取得08H8B文件最后修改时间10H8BMFT修改时间18H8B文件最后访问时间20H4B传统文件属性。01只读文件,02隐含文件,04系统文件,20H档案文件,40H设备文件,80H常规文件,100H临时文件,200H稀疏文件,400H重解析点文件,800H压缩文件,1000H脱机文件,4000
14、H加密文件24H4B最大版本数,为0则表示没有版本28H4B版本数,如果偏移24H处为0则此处也为02CH4B分类ID(一个双向的类索引)30H4BWindows 2000以后才有,所有者ID,用于访问磁盘配额$Quota中索引关键字34H4BWindows 2000以后才有,安全ID,用于访问安全元文件$Secure中索引关键字38H8BWindows 2000以后才有,配额管理,配额占用情况,为0表示未使用配额40H8BWindows 2000以后才有,更新序列号,是进入元数据文件$UsnJrnl的索引关键字四、基本属性介绍 30H属性30H属性用于存储文件名,它总是常驻属性,可容纳255
15、个Unicode字符的文件名长度。NTFS通过为一个文件创建多个文件名的方式实现了POSIX式的硬链接,每个文件名属性都有它自己的详细资料和父目录。当一个硬链接文件被删除时,就从MFT记录中删掉这个文件名,当最后一个硬链接也删除时,文件就真正的删除了。NTFS针对不同的操作系统提出了三种文件名命名空间,其字符集从小到大依次为:DOS、WIN32、POSIX。POSIX(Unix可移植操作系统接口)四、基本属性介绍 30H属性偏移偏移大小大小含义含义属性头00H00H8B8B父目录的文件参考号(父目录的文件参考号(MFTMFT头的记录编号,偏移头的记录编号,偏移2CH2CH)08H8B文件创建时
16、间10H8B文件修改时间18H8BMFT修改时间20H8B文件最后访问时间28H8B文件分配大小30H8B文件实际大小38H4B标志(传统文件属性)3CH4B$EA(扩充属性)使用的空间,或$REPARSE_POINT(重解析点属性)的类型40H40H1B1B文件名长度(字符数文件名长度(字符数L L)41H41H1B1B文件名命名空间(文件名命名空间(0 0POSIXPOSIX,1=WIN321=WIN32,2=DOS2=DOS,3=WIN32&DOS3=WIN32&DOS)42H42HL2L2UnicodeUnicode编码的文件名编码的文件名完成完成任任务一一文文件件名名属属性性可可以以
17、定定位位文文件件路路径径工单-用户文件属性分析03任务实施 工单任务 项目四 任务 4.3.2 用户文件属性分析自自足足专专业业奋奋发发有有为为总结与拓展04n n总结总结1.MFT中的文件目录项固定占多少字节,文件目录项由什么组成?2.文件记录项的签名是什么,第1个属性的偏移位置,文件的标志有哪些,文件编号的位置?3.文件记录项中的属性分类,如何区分?4.文件属性中30H的内容结构?评价评价1.1.能在规定时间内顺利完成任务得能在规定时间内顺利完成任务得8080分分2.2.对重点和难点理解深入对重点和难点理解深入 加评加评2020分分01.总结02.课后拓展1.线上中国大学MOOC,NTFS文件系统数据恢复2.完善工单任务-用户文件属性分析,提交学习通3.预习非常驻属性结构