$Volume的文件记录号是03H,这是一个描述卷信息的元文件,它是唯一一个包含有卷名(60H类型属性)和卷信息(70H类型属性)这两种属性的元文件。 $Volume一般由7个属性构成,如图4-450所示。 图4-450 $Volume的文件记录 (1)10H属性 10H属性定义了$Volume创建时间、最后修改时间、该MFT修改时间、文件最后访问时间、文件标志等信息,如图4-451所示。 图4-451 $Volume文件10H属性的参数模板 (2)30H属性 30H属性定义了$Volume的父目录的文件参考号为根目录;定义了系统分配给$Volume的大小(一般为0)、实际使用的大小(一般为0);并再次定义了文件的标志为06H,表示其为隐藏、系统文件;定义了文件名的长度为7个字符、命名空间为3,也即Win32 & DOS;在属性的最后定义了该文件的文件名为Unicode字符串“$Volume”。其模板如图4-452所示。 图4-452 $Volume文件30H属性的参数模板 (3)40H属性 40H属性定义了$Volume的全局对象ID,即指派给该文件的一个唯一的ID号,这里为十六进制数“F6 A8 B3 51 05 9E 52 4B 80 6C FD E4 4A 99 67 79”。 (4)50H属性 50H属性定义了卷的安全信息。 (5)60H属性 60H属性定义了卷的卷标,这是$Volume文件特有的属性,这个属性只是简单的包含卷的名称,以00H表示结束,其卷标为Unicode字符串“Win2003”。 (6)70H属性 70H属性定义了该卷的版本和状态,其属性长为12字节,后面的4字节无意义,同样它只有在元文件$Volume中才有。在该属性中可知卷的主版本号是3,次版本号为1,则表示该系统是Windows XP以上版本。70H类型属性的标志字节为16进制“00 00”,它表示该卷不需要进行修复坏区、调整日志文件大小、更新装载、装载到NT4、删除进行中的USN、修复Ids和用chkdsk修正卷等操作。 (7)80H属性 80H属性是数据属性,但元文件$Volume没有数据流,所以该属性没有属性体。 |
|
来自: 新用户3130BjCs > 《ntfs文件格式详解》