WinHex之NTFS学习笔记

1、1、 NTFS文件系统的引导扇区分析NTFS文件系统的引导扇区是$Boot的第一个扇区，它的结构与FAT文件系统的DBR类似，所以习惯上也称该扇区为DBR扇区，DBR扇区在操作系统的引导过程起着非常重要的作用，如果这个扇区遭到破坏，系统将不能正常启动。NTFS文件系统的DBR扇区与FAT文件系统的结构一样，也包括跳转指令、OEM代号、BPB参数、引导程序和结束标志。（1） 跳转指令跳转指令本身占用两个字节，它将程序执行流程跳转到引导程序处。（2） OEM代号这部分占用8个字节，其内容由创建该文件系统的OEM厂商具体安排。（3） BPB（BIOS Paramester Block，BIOS参数块

2、）BPB是BIOS Paramester Block的缩写，其含义为BIOS参数块。BPB从DBR的第12（0BH）个字节开始，到偏移53H结束，占用73个字节，记录了有关该文件系统的重要信息，其中各个参数的含义如下表：NTFS文件系统BPB参数的定义字节偏移字段长度（字节）字段名、含义0X003跳转指令0X038OEM代号（也称为文件系统ID）0X0B2每扇区字节数0X0D1每簇扇区数0X0E2保留扇区（NTFS不用）0X103总是00X132NTFS未使用，为00X151介质描述符0X162总为00X182每磁道扇区数0X1A2磁头数0X1C4隐藏扇区数0X204NTFS未使用，为00X2

3、44NTFS未使用，为800080000X288扇区总数0X308$MFT的起始簇号0X388$MFTMirr的起始簇号0X401文件记录的大小描述0X413未用0X441索引缓冲大小的描述0X453未用0X488卷序列号0X504校验和下面对各个参数的含义进行分析：（1）0BH0CH：每扇区字节数每扇区字节数记录每个逻辑扇区的大小，其常见值为512字节，但512并不是固定值，该值可以由程序定义，合法值包括512字节、1024字节、2048字节、4096字节。（2）0DH0DH：每簇扇区数每簇扇区数记录着文件系统的簇的大小，即由多少个扇区组成一个簇。如果这个分区是在系统安装之前被格式化而来的，

4、一般大于2GB的分区每簇默认占用8个扇区，也就是每簇大小为4KB，这个字节的内容就为十六字节进制值“08H”。如果这个分区是由一个FAT分区转换而来，则每个簇一般占用1个扇区的空间，也就是没簇大小为512字节，这个字节的内容就是“01H”。在NTFS文件系统中所有的簇从0开始进行编号，每个簇都有一个自己的地址编号，并且从分区的第一个扇区就开始编簇。（3）0EH0FH：DBR保留扇区数NTFS文件系统中DBR没有保留扇区，该值常为“0000”。（4）10H20H：总是0这3个字节总是“00 00 00”。（5）13H14H：未用这两个字节不用。（6）15H15H：介质描述符这个字节为介质描述字节

5、，一般硬盘为“F8H”（7）16H17H：未用这两个字节不用。（8）18H19H：每磁道扇区数这是逻辑C/H/S中一个参数，其值一般为63，NTFS已经不用此参数。（9）1AH1BH：磁头数这是逻辑逻辑C/H/S中一个参数，其值一般为255，NTFS已经不用此参数。（10）1CH1FH：隐藏扇区数隐藏扇区数是指本分区之前使用的扇区数，该值与分区表中所描述的该分区的起始扇区号一致。对于主磁盘分区来讲，是MBR到该分区DBR值之间的扇区数；对于扩展分区中的逻辑驱动器来讲，是其EBR到该分区DBR之间的扇区数。（11）20H23H：未用这4字节不用。（12）24H27H：未用这4字节不用，但总为80

6、008000.（13）28H2FH：扇区总数扇区总数是指分区的总扇区数。NTFS的BPB中记录的分区大小比分区表中记录的少一个扇区，因为分区最后一个扇区留给DBR备份使用了。（14）30H37H：$MFT的起始簇号这8字节为$MFT的起始簇号，注意这个位置使用簇号定义的，而不是扇区号，并且该地址不是固定值。（15）38H3FH：$MFTMirr的起始簇号这8字节为$MFTMirr的起始簇号，这个位置也使用簇号定义，而不是扇区号。$MFTMirr的地址也不是固定的，可以在$MFT之后，也可以在$MFT之前。（16）40H40H：文件记录的大小描述这一字节描述每个字节记录的簇数。注意该参数为带符号

7、数，当其是负数时，说明每个文件记录的大小要小于每个每簇扇区数，在这种情况下，文件记录的大小用字节数表示，计算方法：2(-1*每个文件记录的簇数)。（17）41H43H：未用这3字节不用。（18）44H44H：索引缓冲的大小描述这一个字节描述每个索引缓冲的簇数。注意该参数也是带符号数，当其是负数时，说明每个索引缓冲的大小要小于每簇扇区数，在这种情况下，索引缓冲区的大小用字节数表示，计算方法为：2(-1*每个索引缓冲的簇数)。（19）45H47H：未用这三个字节不用。（20）48H4FH：卷序列号这8个字节为分区的逻辑序列号，也就是在命令行下输入DIR命令后显示的显示的一排数据，这个序列号是把硬盘格式化时随机产生的。（21）50