NTFS下文件索引Word格式文档下载.docx

1、3、初始化硬盘（如图3）。图3初始化硬盘4、新建一个200M的NTFS主磁盘分区，并执行快速格式化。（如图4） 图4新建分区并加载5、在新加卷M盘根目录下创建文件（如图5）。图5在根目录下创建文件二、用WinHex软件查找shang123.txt文档1、用winhex 打开虚拟硬盘并打开MBR模板（如图6），得到隐藏扇区为63，即DBR所在位置图6MBR模板2、跳到63号扇区（如图7）.图7跳转至DBR3、进入DBR,打开模板（如图8），得到每簇扇区数为1，每扇区字节数为512,MFT开始簇号为273084图8 DBR模板NTFS文件系统使用了逻辑簇号LCN和虚拟簇号VCN对卷进行管理。其中L

2、CN是对卷的第一个簇到最后一个簇进行编号，只要知道LCN号和簇的大小及NTFS卷在物理磁盘中的起始扇区（绝对扇区）就可以对簇进行定位，而这些信息在NTFS卷的引导扇区中可以找到（BPB参数（附表2），在系统底层也是用这种方法对文件的簇进行定位，找到簇在磁盘中的物理位置的计算公式是：MFT扇区号=每簇扇区数*MFT开始簇号数+隐藏扇区数4、进入0号MFT（如图10），即$MFT=1*273084+63=273147（如图9）图9跳转MFT图10MFT表5、进入4号MFT表，即根目录MFT,打开模板（如图11）图11MFT模板找到90号属性，A0号属性，B0号属性（附表6），（如图12）由run

3、list（附表7） 31 08 68 40 06 21 08 F9 BB得到1号索引（附表3 附表4）数据区位置为409704号簇，2号索引数据区位置为392290号簇（由F9 BB为有符号数，计算得4406H，加上一号索引数据区位置即可）图12 90、AO、BO属性6、跳到409704号簇（如图13）图13 1号索引数据区发现名为shang123.txt文件索引表（如图14）图14 shang123.txt文件索引表分析其表内容，得到其MFT表号为5C，即92（如图15）图15 文件索引表内容7、跳到第92号MFT表项（如图16），找到的80属性为常驻属性，文件内容为 I miss you.

4、 图16 第92号MFT表8、打开shang123.txt文档，检查其内容（如图17）。图17 shang123.txt文档内容经检验，WinHex中数据和shang123.txt文档中数据相同，实验成功。附表1附表2BPB参数附表3附表4附表5偏移大小（字节）描述标准属性头0x00VCN使用情况表（低位代表前面的VCN）位（2进制）VCN00000010000010100001002附表6 BOH属性描述表长度（字节）第一个Data Run 的含义描述高4位为Data Run的起始簇号在这个压缩数据中所占的字节数（N）低四位为Data Run的所占用簇数在这个压缩数据中所占的字节数（L）0x01LData Run所占用簇数L+1NData Run的起始簇号第二个Data Run 的含义描述L+N+1L+N+2L1L+N+3N1Data Run的起始簇号的相对簇数，将此值加上第一个Data Run位置描述中的起始簇号，就是Data Run的起始簇号（注意该值是有符号值）附表7 RUN LIST