NTFS文件系统数据恢复----解析MFT表+NTFS文件系统中MFT项中主要字节的标注(**)

sdxy 2019-10-30

展开全文

MFT（主文件表(Master File Table)）

锁定

MFT，即主文件表（Master File Table）的简称，它是NTFS文件系统的核心。MFT由一个个MFT项（也称为文件记录）组成，每个MFT项占用1024字节的空间。每个MFT项的前部几十个字节有着固定的头结构，用来描述本MFT项的相关信息。后面的字节存放着“属性”。每个文件和目录的信息都包含在MFT中，每个文件和目录至少有一个MFT项。除了引导扇区外，访问其他任何一个文件前都需要先访问MFT，在MFT中找到该文件的MFT项，根据MFT项中记录的信息找到文件内容并对其进行访问。NTFS(New Technology File System)，是一种新型文件系统。

软件名称：Master File Table

软件平台：Windows NT

英文缩写：MFT

地位：NTFS文件系统的核心

MFT简介

(1)NTFS是Windows NT引入的新型文件系统，它具有许多新特性。NTFS中，卷中所有存放的数据均在一个叫$MFT的文件中，叫主文件表(Master File Table)。而$MFT则由文件记录(File Record)数组构成。File Record的大小一般是固定的，通常情况下均为1KB，这个概念相当于Linux中的inode。File Record在$MFT文件中物理上是连续的，且从0开始编号。$MFT仅供File System本身组织、架构文件系统使用，这在NTFS中称为元数据(Metadata)。

在NTFS文件系统里面，磁盘上的所有东西都以文件的形式出现。即使是元数据也是以一组文件的形式存储的。

主文件表（ MFT ）是这个卷上每一个文件的索引。 MFT 为每一个文件保存着一组称为“属性”的记录，每个属性存储了不同类型的信息。为主文件表（MFT）保留适当的空间。MFT在NTFS卷中扮演着重要的角色，对其性能的影响很大，系统空间分配、读写磁盘时会频繁地访问MFT，因此 MFT对NTFS的卷的性能有着至关重要的影响。NTFS文件系统的开发者在MFT附近预留着一个特定区域，用来减少MFT中的碎片，缺省状态下，这一区域占整个卷大小的12.5%，尽管这个区域能使得MFT中的碎片最少，但它并非总是合适的。

MFT操作说明

要对MFT的空间进行管理，可以在HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \FileSystem中增加一个类型为REG_DWORD的NtfsMftZoneReservation，它的缺省值是1，其范围是1-4（1表示 MFT占整个卷的12.5%，2表示25%，3表示37.5%，4表示50%）。

NTFS 中包含一个称为主文件表 (MFT) 的文件。MFT 是一个映射磁盘中储存的所有对象的索引文件。在 MFT 中，NTFS 磁盘上的每个文件(包括 MFT 自身)至少有一映射项。MFT 中的各项包含如下数据：大小、时间及时间戳、安全属性和数据位置。

一但 MFT 产生碎片，磁盘碎片整理程序无法对其进行碎片整理。但是，由于可以持续使用 MFT 来存取磁盘上所有的其它文件，因此它也会逐渐形成碎片，从而导致磁盘存取时间加长，降低磁盘性能。NTFS 通过保留 1/8 的磁盘空间留作 MFT 专用而将此影响降至最低。磁盘的此区域(称为 MFT 区域)尽可能在 MFT 增加时保持其连续性。

————————————————

原文链接：https://blog.csdn.net/qq_41786318/article/details/79791263

NTFS文件系统-MFT的属性头

2016-07-07 12:51:02 海天数据恢复阅读数 4461

本文链接：https://blog.csdn.net/a307871404/article/details/51850356

前面说过MFT是有一个个属性组成，那么每个属性的具体结构又是如何呢？MFT属性的类型很多，但它们都有个共同的特点，那就是每个属性都有属性头和属性体。属性头又分为常驻属性和非常驻属性。常驻属性和非常驻数据最大的区别是常驻属性的只是在MFT内部记录，非常驻数据由于MFT记录不下(一个MFT项只有1024)所以需要在其它数据区记录。不管是常驻属性还是非常驻属性，它的属性头的前面16个字节是一样的。

MFT属性结构图

从上图可以看出MFT头很小，只有几行代码，剩下都是MFT的属性。图中10属性和30属性都是常驻属性，而80属性是非常驻属性，因为80属性是记录文件内容的属性，一般不是几个字节就能记录的。下面我们来看下非常驻属性的属性头具体结构

偏移字节（16进制）	描述
00-03	属性类型
04-07	属性长度
08	常驻属性标志00:常驻；01表示非常驻
09	属性名长度(为0表示没有属性名)
0A-0B	属性名偏移(相对于属性头)
0C-0D	标志
0E-0F	属性ID标志
10-13	属性体大小
14-15	属性头的大小
16	索引
17	保留

非常驻属性头的数据结构

偏移字节（16进制）	描述
00-03	属性类型
04-07	属性长度
08	常驻属性标志00:常驻；01表示非常驻
09	属性名长度(为0表示没有属性名)
0A-0B	属性名偏移(相对于属性头)
0C-0D	标志
0E-0F	属性ID标志
10-17	簇流的起始虚拟簇号(总是从0开始)
18-1F	簇流的结束虚拟簇号
20-21	簇流列表相对本属性头起始处偏移
22-23	压缩单位大小
24-27	保留
28-2F	为属性内容分配的空间大小字节数
30-37	属性内容实际占用的大小字节数
38-3F	属性内容初始大小字节数

非常驻属性头的最后3个参数都表示属性内容的大小，这里可以写成一样大的。

NTFS文件系统MFT的属性列表

原文链接：http://blog.51cto.com/shujvhuifu/1801556

MFT是由一个个属性体组成，每个属性体都有一个对应的属性名。如0x10类型的属性表示标准属性，这个属性记录着文件的基本信息。

NTFS文件系统的MFT属性列表

MFT属性类型值(16进制)	MFT属性名	描述
10	$STANDARD_IFORMATION	标准属性，包含文件的基本属性，只读创建时间、最后访问时间等属性。
20	$ATTRIBUTE_LIST	属性列表
30	$FILE_NAME	文件名属性(UNICODE编码)
40	$OBJECT_ID	对象ID属性，文件或目录的16字节唯一标志
50	$SECURITY_DESCRIPTOR	安全描述符属性,文件的访问控制安全属性
60	$VOLUME_NAME	卷名属性
70	$VOLUME_INFORMATION	卷信息属性
80	$DATA	文件的数据属性
90	$INDEX_ROOT	索引根属性
A0	$INDEX_ALLOCATION	是90属性的扩展版（90属性只能在MFT内记录文件列表，A0属性将文件列表记录到数据区可以记录更多的文件）
B0	$BITMAP	位图属性
C0	$REPARSE_POINT	重解析点属性
D0	$EA_INFORMATION	扩展属性信息
E0	$EA	扩展属性
100	$LOGGED_UTILITY_STREAM	EFS加密属性

红色标记：表示非常重要必须要记住

绿色标记：表示比较重要最好记住

没标记的了解下即可

转载于:https://blog.51cto.com/shujvhuifu/1801556

NTFS文件系统数据恢复----解析MFT表

2015-05-11 21:50:12 weinierbian 阅读数 10406

分类专栏：数据恢复

http://blog.csdn.net/jha334201553/article/details/9089119

开始先说下DBR, DBR是继MBR 之后最先访问的地方,MBR利用int 13h 读取MBR并将之加载到物理地址0x7c00的地方. 然后将段地址:代码地址入栈后retf跳过去运行.

MBR利用BIOS中断int 13h读取数据加载到内存指定位置..传统的int 13h调用最多只能识别1024个磁头:

前面MBR讲解MBR的时候,有结构如下

/*+0x01*/ uchar StartHead; // 分区起始磁头号 (1磁头 = 63 扇区，取值 0~255 之间)

/*+0x02*/ uint16 StartSector:10; // 启始柱面号 10位 (1柱面 = 255 磁头，取值 0~1023 之间)

/*+0x02*/ uint16 StartCylinder:6; // 启始扇区号 6位 (取值 1 到 63 之间)

此结构可容纳最大值为FF FF FF (现在这个值基本都写成FE FF FF, 而废弃不用), 即最大能寻址的就是255柱面, 1023磁头, 63扇区,计算扇区个数为:

1023*255*63+255*63+63 = 16450623

再按每扇区 512 字节算, 那么它容量为 8 GB ≈ 512*16450623 B = 7.84 GB

传统的int 13h中断就受限于8G的限制, Microsoft等多家公司制定了int 13h扩展标准,让int 13h读写磁盘中断可以突破8G限制. 现在的计算机BIOS都是按扩展int 13h标准编写的代码.(具体详细内容可参考"扩展 int 13h规范").

按MBR分区表里面的 SectionPrecedingPartition 逻辑扇区偏移(注意,这个逻辑扇区偏移是从0开始算的,读取出来值为63,而物理扇区是从1开始计算的，逻辑扇区转换物理扇区的时候必须+1才是正确的) 可以找到DBR的位置.可以看看winhex的显示

以下就偷懒不从MBR寻址分区的DBR了,而是直接打开盘符读取 (这样打开的第一个扇区就是DBR)，这样做有个缺点，就是你用这个handle值将不能进行内存映射，只能一次多读取几个扇区来加快分析磁盘的速度（当前用的是一次读取20M数据然后分析）。

HANDLE handle = CreateFile ( TEXT("\\\\.\\C:") ,

GENERIC_READ,

FILE_SHARE_READ|FILE_SHARE_WRITE,

NULL,

OPEN_EXISTING,

FILE_ATTRIBUTE_NORMAL,

NULL);

DBR结构定义为(对照winhex模板信息查看):

////////////////////////////////////////////////////////////////////////////

// NTFS 的DBR 数据结构

////////////////////////////////////////////////////////////////////////////

typedef struct _BIOS_PARAMETER_BLOCK {

/*+0x0B*/ uint16 BytesPerSector; //字节/扇区一般为0x0200 即512

/*+0x0D*/ uchar SectorsPerCluster; //扇区/簇

/*+0x0E*/ uint16 ReservedSectors; //保留扇区

/*+0x0F*/ uchar Fats; //

/*+0x11*/ uint16 RootEntries; //

/*+0x13*/ uint16 Sectors; //

/*+0x15*/ uchar Media; //媒介描述

/*+0x16*/ uint16 SectorsPerFat; //

/*+0x18*/ uint16 SectorsPerTrack; //扇区/磁轨

/*+0x1A*/ uint16 Heads; //头

/*+0x1C*/ uint32 HiddenSectors; //隐藏扇区

/*+0x20*/ uint32 LargeSectors; //checked when volume is mounted

}BIOS_PARAMETER_BLOCK, *pBIOS_PARAMETER_BLOCK;

typedef struct _NTFS_Boot_Sector{

/*+0x00*/ uchar JmpCode[3]; //跳转指令

/*+0x03*/char OemID[8]; //文件系统ID

/*+0x0B*/ BIOS_PARAMETER_BLOCK PackedBpb; //BPB

/*+0x24*/ uchar Unused[4]; //未使用,总是为

/*+0x28*/ uint64 NumberSectors; //扇区总数

/*+0x30*/ lcn MftStartLcn; //开始C# $MFT (簇) 乘以 BIOS_PARAMETER_BLOCK.SectorsPerCluster 值得到扇区号

/*+0x38*/ lcn Mft2StartLcn; //开始C# $MFTMirr (簇)

/*+0x40*/ uchar ClustersPerFileRecordSegment;//文件记录大小指示器

/*+0x41*/ uchar Reserved0[3]; //未使用

/*+0x44*/ uchar DefaultClustersPerIndexAllocationBuffer; //簇/索引块

/*+0x45*/ uchar Reserved1[3]; //未使用

/*+0x48*/ uint64 SerialNumber; //64位序列号

/*+0x50*/ uint32 Checksum; //校验和

/*+0x54*/ uchar BootStrap[426]; //启动代码

/*+0x1FE*/ uint16 RecordEndSign; //0xAA55 结束标记

}NTFS_Boot_Sector, *pNTFS_Boot_Sector;

在读取DBR的时候，一些数据以后经常会用到，那么需要根据DBR里面的信息保存以后会用到的信息，下面定义一个常用的保存信息结构：

//保存 NTFS 的基本信息

typedef struct _NTFS_INFO

uint32 BytesPerSector; //每扇区的字节数

uint32 SectorsPerCluster; //每簇的扇区数

uint32 BytesPerCluster; //每簇的字节数

uint64 SectorCount; //扇区总数

uint64 MftStart; //MFT表开始簇

uint64 MftMirrStart; //MFT备份表开始簇

uint32 BytesPerFileRecord; //每个文件记录的字节数一般为512*2

uint16 VolumeLabelLength; // 卷名长度，卷名从MFT第4个项0x60属性得到（与0x30属性相似）

wchar VolumeLabel[MAXIMUM_VOLUME_LABEL_LENGTH]; //卷名

uint16 vcnlen;

uchar vcn[VCN_LENTH];

} NTFS_INFO, *PNTFS_INFO;

其中 MAXIMUM_VOLUE_LABEL_LENGTH定义为

#define MAXIMUM_VOLUME_LABEL_LENGTH (32*sizeof(wchar))

NTFS_Boot_Sector .MftStartLcn*NTFS_Boot_Sector. PackedBpb .SectorsPerCluster得到MFT所在扇区号,这里为 786432*8 = 6291456扇区(字节偏移为 6291456*512= 3221225472 （十六进制0xC0000000）)。然后MFT表里面的内容是根据簇号来读取数据的,那么可以定义一个根据簇号,读取数据的函数,如下形式:

typedef struct _Partition_Stand_Post

{

HANDLE handle;//分区句柄

uint64 CluNnum; //簇号

uint32 BytesPerCluster; //每簇字节

uint64 CluCount; //簇数量

PNTFS_INFO NtfsInfo; //指向NTFS_INFO 结构

}Partition_Stand_Post, *pPartition_Stand_Post;

//按簇读取数据,

//传入一个Partition_Stand_Post结构体指针,并指定buf,读取大小

//结果返回读取的数据指针

PBYTE ReadClues(pPartition_Stand_Post post, PBYTE buf, DWORD lenth)

{

DWORD dwbytes = 0;

LARGE_INTEGER li = {0};

li.QuadPart = post->CluNnum*post->BytesPerCluster;

SetFilePointer(post->handle, li.LowPart, &li.HighPart, FILE_BEGIN);

ReadFile(post->handle, buf, lenth, &dwbytes, NULL);

if (lenth == dwbytes)

{

return buf;

}

return NULL;

}

下面先说MFT表的结构:

首先,看到的是头部,标记为"FILE", 结构体如下定义:

//文件记录头

typedef struct _FILE_RECORD_HEADER

{

/*+0x00*/ uint32 Type; //固定值'FILE'

/*+0x04*/ uint16 UsaOffset; //更新序列号偏移, 与操作系统有关

/*+0x06*/ uint16 UsaCount; //固定列表大小Size in words of Update Sequence Number & Array (S)

/*+0x08*/ uint64 Lsn; //日志文件序列号(LSN)

} FILE_RECORD_HEADER, *PFILE_RECORD_HEADER;

//文件记录体

typedef struct _FILE_RECORD{

/*+0x00*/ FILE_RECORD_HEADER Ntfs;//MFT表头

/*+0x10*/ uint16 SequenceNumber; //序列号(用于记录文件被反复使用的次数)

/*+0x12*/ uint16 LinkCount; //硬连接数

/*+0x14*/ uint16 AttributeOffset;//第一个属性偏移

/*+0x16*/ uint16 Flags; //falgs, 00表示删除文件,01表示正常文件,02表示删除目录,03表示正常目录

/*+0x18*/ uint32 BytesInUse; //文件记录实时大小(字节) 当前MFT表项长度,到FFFFFF的长度+4

/*+0x1C*/ uint32 BytesAllocated; //文件记录分配大小(字节)

/*+0x20*/ uint64 BaseFileRecord; //= 0 基础文件记录 File reference to the base FILE record

/*+0x28*/ uint16 NextAttributeNumber; //下一个自由ID号

/*+0x2A*/ uint16 Pading; //边界

/*+0x2C*/ uint32 MFTRecordNumber;//windows xp中使用,本MFT记录号

/*+0x30*/ uint32 MFTUseFlags; //MFT的使用标记

}FILE_RECORD, *pFILE_RECORD;

这里主要关注的就是文件头大小(0x38)可以找到第一个属性地址,紧跟在后面的是文件类型,00表示被删除的文件,01表示正常文件,02表示删除目录,03表示正常目录.再后面就是这个MFT记录的数据大小(很奇怪,为什么数据大小是从头到0xFFFFFFFF的大小+4,这个值为什么不是直接从头到0xFFFFFFFF的大小呢?).

根据FILE头部数据找到下面的一个个属性,接下来分析的就是一个个属性了.

属性由属性头跟属性体组成,属性头的结构定义如下:

//属性头

typedef struct

{

/*+0x00*/ ATTRIBUTE_TYPE AttributeType; //属性类型

/*+0x04*/ uint16 RecordLength; //总长度(Header+body长度)

/**0x06*/ uint16 unknow0;

/*+0x08*/ uchar Nonresident; //非常驻标志

/*+0x09*/ uchar NameLength; //操作属性名长度

//0X0001为压缩标记

//0X4000为加密标记

//0X8000为系数文件标志

/*+0x0A*/ uint16 NameOffset; //属性名偏移(从属性起始位置的偏移)

//NameLength 如果不为零,则用这个值去寻址数据偏移

/*+0x0C*/ uint16 Flags; //ATTRIBUTE_xxx flags.

/*+0x0E*/ uint16 AttributeNumber; //The file-record-unique attribute instance number for this attribute.

} ATTRIBUTE, *PATTRIBUTE;

//属性头

typedef struct _RESIDENT_ATTRIBUTE

{

/*+0x00*/ ATTRIBUTE Attribute; //属性

/*+0x10*/ uint32 ValueLength; //Data部分长度

/*+0x14*/ uint16 ValueOffset; //Data内容起始偏移

/*+0x16*/ uchar Flags; //索引标志

/*+0x17*/ uchar Padding0; //填充

} RESIDENT_ATTRIBUTE, *PRESIDENT_ATTRIBUTE;

其中ATTRIBUTE_TYPE是一个枚举类型,里面定义了可能出现的所有类型。查看这个结构主要是看AttributeType（上图中，染上绿色的为属性类型，跟在后面的的红色框框内数据为属性头+属性体的大小（这个值必须是大于0x10，小于512的，程序中必须判断），由这个值可以得到下一个属性的地址），这个类型是什么，然后再跟去类型定义的Data部分去解析下面的属性体。遍历属性的时候可以根据属性类型来判断是否已经到达结尾，如果属性类型为0xFFFFFFFF则表示已经到达末尾（注意遍历的时候还是要结合FILE头部指定的大小来遍历，这样程序健壮性好很多，还有如果属性头后面跟着的大小值小于0x10也要结束遍历，因为这时候这个MFT项已经不可靠了，再继续下去程序出错可能性比较大（0x00值可能出现死循环））。

属性类型定义，及各个类型属性的结构（缺少无关紧要的结构，其他结构可参考nt4里面的源码并对照winhex分析）：

//属性类型定义

typedef enum _ATTRIBUTE_TYPE

{

AttributeStandardInformation = 0x10,

AttributeAttributeList = 0x20,

AttributeFileName = 0x30,

AttributeObjectId = 0x40,

AttributeSecurityDescriptor = 0x50,

AttributeVolumeName = 0x60,

AttributeVolumeInformation = 0x70,

AttributeData = 0x80,

AttributeIndexRoot = 0x90,

AttributeIndexAllocation = 0xA0,

AttributeBitmap = 0xB0,

AttributeReparsePoint = 0xC0,

AttributeEAInformation = 0xD0,

AttributeEA = 0xE0,

AttributePropertySet = 0xF0,

AttributeLoggedUtilityStream = 0x100

} ATTRIBUTE_TYPE, *PATTRIBUTE_TYPE;

//基础信息ATTRIBUTE.AttributeType == 0x10

typedef struct _STANDARD_INFORMATION

{

uint64 CreationTime; //创建时间

uint64 ChangeTime; //修改时间

uint64 LastWriteTime; //最后写入时间

uint64 LastAccessTime; //最后访问时间

uint32 FileAttribute; //文件属性

uint32 AlignmentOrReserved[3]; //

#if 0

uint32 QuotaId;

uint32 SecurityId;

uint64 QuotaCharge;

USN Usn;

#endif

} STANDARD_INFORMATION, *PSTANDARD_INFORMATION;

//属性列表ATTRIBUTE.AttributeType == 0x20

typedef struct _ATTRIBUTE_LIST

{

ATTRIBUTE_TYPE AttributeType;

uint16 Length;

uchar NameLength;

uchar NameOffset;

uint64 StartVcn; //LowVcn

uint64 FileReferenceNumber;

uint16 AttributeNumber;

uint16 AlignmentOrReserved[3];

} ATTRIBUTE_LIST, *PATTRIBUTE_LIST;

//文件属性ATTRIBUTE.AttributeType == 0x30

typedef struct

{

/*+0x00*/ uint64 DirectoryFile:48; //父目录记录号(前个字节)

/*+0x06*/ uint64 ReferenceNumber:16;//+序列号(与目录相关)

/*+0x08*/ uint64 CreationTime; //文件创建时间

/*+0x10*/ uint64 ChangeTime; //文件修改时间

/*+0x18*/ uint64 LastWriteTime; //MFT更新的时间

/*+0x20*/ uint64 LastAccessTime; //最后一次访问时间

/*+0x28*/ uint64 AllocatedSize; //文件分配大小

/*+0x30*/ uint64 DataSize; //文件实际大小

/*+0x38*/ uint32 FileAttributes; //标志,如目录\压缩\隐藏等

/*+0x3C*/ uint32 AlignmentOrReserved; //用于EAS和重解析

/*+0x40*/ uchar NameLength; //以字符计的文件名长度,没字节占用字节数由下一字节命名空间确定

//文件名命名空间, 0 POSIX大小写敏感,1 win32空间,2 DOS空间, 3 win32&DOS空间

/*+0x41*/ uchar NameType;

/*+0x42*/ wchar Name[1]; //以Unicode方式标识的文件名

} FILENAME_ATTRIBUTE, *PFILENAME_ATTRIBUTE;

//数据流属性 ATTRIBUTE.AttributeType == 0x80

typedef struct _NONRESIDENT_ATTRIBUTE

{

/*+0x00*/ ATTRIBUTE Attribute;

/*+0x10*/ uint64 StartVcn; //LowVcn 起始VCN 起始簇号

/*+0x18*/ uint64 LastVcn; //HighVcn 结束VCN 结束簇号

/*+0x20*/ uint16 RunArrayOffset; //数据运行的偏移

/*+0x22*/ uint16 CompressionUnit; //压缩引擎

/*+0x24*/ uint32 Padding0; //填充

/*+0x28*/ uint32 IndexedFlag; //为属性值分配大小(按分配的簇的字节数计算)

/*+0x30*/ uint64 AllocatedSize; //属性值实际大小

/*+0x38*/ uint64 DataSize; //属性值压缩大小

/*+0x40*/ uint64 InitializedSize; //实际数据大小

/*+0x48*/ uint64 CompressedSize; //压缩后大小

} NONRESIDENT_ATTRIBUTE, *PNONRESIDENT_ATTRIBUTE;

以下特别要说明就是数据恢复中要使用的一些结构

;0x30 AttributeFileName属性 (如果文件名很长,那么有多个0x30属性,一个记录短文件名,一个记录长文件名),记录了很多文件信息，可能使用到的有文件创建时间、文件修改时间、最后写入时间、文件最后一次访问时间。这里面的几个值相当于用GetFileTime 或者GetFileInformationByHandle得到的几个FILETIME值，可以调用FileTimeToSystemTime转换时间。其中DataSize为实际文件使用的大小，在0x80属性中寻找簇恢复数据的时候会用到这个值。最后就是wchar的文件名，此名在cmd中显示需用WideCharToMultiByte转换后用printf显示，如果用wprintf显示中文会出现乱码问题。数据恢复的时候如果需要目录结构可由此属性中的DirectoryFile值得到，此值为父目录的记录号（相对于$MFT元所在扇区的偏移，即：$MFT + DirectoryFile*2）例如：

上图，父目录号为0x0000000002A4，从DBR中得到$MFT起始簇为786432(上面图一簇为8扇区),则父目录的MFT表项扇区为: 786432*8+0x0000000002A4*2 = 6292808,再查看6292808扇区:

所以这个文件为 X:\windows\notepad.exe(其中X表示为根目录,具体看前面CreateFile参数值是什么了).

0x80 AttributeData属性( 注意:如果是目录的话, 此结构属性是0xA0 )

如果有多个0x80属性,则应该认为这个文件里面存在数据流文件,数据流表示形式为"0x30记录文件名:流文件名",并且在explorer浏览中查看不到这个文件,NTFS刚出来的时候,文件流属性进程被病毒作者使用,比如如果要将hack.exe数据加到 1.txt 数据流里面,那么可以如下方式:

void CrateDataStream()

HANDLE hfile = CreateFile( TEXT("1.txt:DataStream.exe"), //1.txt中数据流名字为DataStream.exe(随意取的)

GENERIC_WRITE,

NULL,

CREATE_ALWAYS,

FILE_ATTRIBUTE_NORMAL,

NULL);

if (hfile == INVALID_HANDLE_VALUE)

{

return ; //打开文件错误

}

HANDLE hExeFile = CreateFile( TEXT("hack.exe"),

GENERIC_READ,

NULL,

OPEN_EXISTING,

FILE_ATTRIBUTE_NORMAL,

NULL);

if (hExeFile == INVALID_HANDLE_VALUE)

{

CloseHandle(hfile);

return ; //打开文件错误

}

DWORD dwsize = GetFileSize(hExeFile, NULL);

BYTE* buf = new BYTE[dwsize];

DWORD wbytes;

ReadFile(hExeFile, buf, dwsize, &wbytes, NULL);

WriteFile(hfile, buf, wbytes, &wbytes, NULL);

CloseHandle(hExeFile);

CloseHandle(hfile);

}

一般是病毒作者将这个 1.txt 添加到压缩文件(高级里面选上保存文件流数据), 然后搞成自解压包, 在解压后命令中写入1.txt: DataStream.exe, 在用户双击解压的时候就会运行里面的数据流程序。不过现在杀毒软件对这种数据流病毒基本都能杀了。

再说数据恢复的关键点:数据内容由NONRESIDENT_ATTRIBUTE. RunArrayOffset偏移指定DATA数据地址。如果属性头 ATTRIBUTE.Nonresident标记为1表示非常驻,则下面会解析怎么需要解析DATA部分, 如果为0则表示DATA就是文件内容, 比如一个txt文件里面记录的数据很少, 则此标记为0, 记事本里面数据就保存在DATA中。上图因为查看的是MFT自身，$MFT比较特殊，非常驻属性设置成0（即FALSE）但是却要像非常驻属性一样去分析。

上图蓝色的部分,看不太清数据,原始数据如下:

最开始的数据为32,其中高4bits表示数据起始簇地址占用字节数,后4bits为数据大小(簇个数)占用字节数..这里要特别注意，第一个起始簇信息是无符号的，后面第二个开始就是相对于前面一个簇的偏移，是有正负的，查了很多资料，这点基本上都没提及，这也是数据恢复最容易出错的地方，辛辛苦苦写好了程序，一测试发现恢复出来的数据有问题。