| 词汇 |
在NTFS卷上的每一个事务都是一个文件。它们可分为两类: 元数据和常规文件。元数据文件包含 这个卷和含有数据的常规文件的信息。
下面是一个在Win2k卷上的文件列表(Key).
| 序号 | 文件名 | 操作系统 | 描述 |
|---|---|---|---|
| 0 | $MFT | MFT文件列表-每个文件的索引 | |
| 1 | $MFTMirr | MFT前4个记录的备份 | |
| 2 | $LogFile | 事务型日志文件 | |
| 3 | $Volume | 序列号,开发时间,污染标记 | |
| 4 | $AttrDef | 属性定义 | |
| 5 | . (dot) | 磁盘的根目录 | |
| 6 | $Bitmap | 包含卷的簇图(在用和空闲) | |
| 7 | $Boot | 卷的引导记录 | |
| 8 | $BadClus | 列出在卷上的坏簇 | |
| 9 | $Quota | NT | 限额信息 |
| 9 | $Secure | 2K | 卷所用的安全描述符 |
| 10 | $UpCase | 用于比较的大写字母表 | |
| 11 | $Extend | 2K | 一个目录:$ObjId, $Quota, $Reparse, $UsnJrnl |
| 12-15 | <Unused> | 标为在用但是空的 | |
| 16-23 | <Unused> | 标为未用 | |
| Any | $ObjId | 2K | 属于每一个文件的唯一标识部分 |
| Any | $Quota | 2K | 限额信息 |
| Any | $Reparse | 2K | 修复点信息 |
| Any | $UsnJrnl | 2K | 加密日志 |
| > 24 | A_File | 一个普通文件 | |
| > 24 | A_Dir | 一个普通目录 | |
| ... | ... | ... |
在一个刚格式化的卷上,代码从0x0B到0x0F被标为占用,但实际上是空的。代码从0x10到0x17 被标为空闲,每被占用。这种情况只有在这个卷受到很多压力的情况下才会改变。
当MFT文件有很多碎片时无法放进一个文件记录从而需要一个扩展记录。如果此新记录被简单地分 配在这个MFT文件尾时就会出现问题。描述这个新记录位置的数据属性文件会在这个新记录中。
因此这个新记录就会从序号0X0F向前分配。因为MFT文件最小是16个文件记录长,所以一直存在。 如果序号0X0F到0X17被用完,就会向更高的序号占用。
这个结果也许不会限制到MFT文件,但是不能没有足够的证明。
由于某些原因,$ObjId, $Quota, $Reparse 和 $UsnJrnl象其它的元数据文件一样没有24以下的序号。
同样,每一个系统文件的序号总是等于它们的MFT记录号,从不更改。