三、引导扇区结构
NTFS的BPB
NTFS的DBR
三、引导扇区结构
偏移 00H 03H 0BH 0DH 15H 18H 1AH 1CH 24H 28H 30H 38H 40H 44H 48H 50H 长度 3B 8B 2B 1B 1B 2B 2B 4B 4B 8B 8B 8B 4B 4B 8B 4B 跳转指令（EBH 52H 90H），跳至54H处DBR部分 文件系统和版本的OEM标志（NTFS） 每扇区字节数（通常为200H） 每簇扇区数（值为2的N次方，通常为8） 介质描述，恒为F8 每磁道扇区数（通常为3FH，63） 磁头数（通常为FFH，255） 隐含扇区数（本分区前的扇区总数，也就是本分区的起始逻辑扇区号） NTFS未使用，总为80H 00H 80H 00H 扇区总数 $MFT的起始逻辑簇号 $MFTMirr的起始逻辑簇号 每MFT记录簇数 每索引簇数 分区的逻辑序列号，格式化的时候随机产生 校验和 描 述
请在自己的计算机（或虚拟机）上选择一个NTFS 分区，找到它的备份引导扇区位置，然后将其复 制到引导扇区位置。
四、修复引导扇区
演示使用备份的引导扇区实现对NTFS分区的引导 扇区的恢复。
1. 在NTFS分区中定位某个NTFS分区的备份引导扇区。 2. 修复引导扇区。 3. 检查修复工作区结构与特点。 2.MFT和元文件的概念。 3.使用备份扇区修复引导扇区。
作业
二、主控文件表与元文件
编号 0 1 2 3 4 5 6 7 8 9 10 元数据文件 $MFT $MFTMirr $LogFile $Volume $AttrDef $Root $Bitmap $Boot $BadClus $Secure $UpCase 主控文件表本身 主控文件表的部分备份（通常为前4项） 日志文件，实现了NTFS的可恢复性和安全性 卷文件，标识卷名，是否格式化，是否需要修复等信息 属性定义列表文件 根目录，存放目录和文件的索引，表示文件的逻辑层次关系 位图元文件，记录了卷中簇的分配情况 引导元文件，恒为0簇起始 坏簇列表元文件 安全元文件，存储访问控制表（在NTFS4及以前为磁盘配额信息） 大小写字符转换表元文件 功能或内容
一、NTFS分区结构
NTFS仍然使用簇来分配文件存储，簇又叫卷因子，在分区 中通常每个簇包含8个扇区，从0开始编号，这个簇号叫做 逻辑簇号（LCN）。 在存储文件的时候，NTFS采用了索引存储方式：即把文件 按照逻辑簇大小划分为多个区块，称为虚拟簇（VCN）， 在主控文件表中有一张索引表，记录了VCN和LCN的对应关 系，因此可以快速地访问文件任意一个部分的内容，而且 簇到扇区的转换也非常简单。 VCN 1 2 3 4 5 6
11
12~15 16~23 24~?
$ExtMD
$Extended\
扩展元数据目录（Extended metadata directory）
扩展元数据，分别为重解析点、加密日志、配额管理、对象ID 为以后扩展而保留 用户文件和目录的记录编号
三、引导扇区结构
NTFS分区的0扇区是引导扇区，也叫DBR扇区，它 和后面的15个扇区（NTLDR区域）合起来构成BOOT 区域，也就是$Boot元文件。$Boot元文件恒定从0 簇起始，占16个扇区。 NTFS分区的引导扇区同FAT分区的引导扇区在结构 上非常相似，同样包含BPB，DBR和结束标志三个 部分，只是在BPB参数上有部分不同。由于所有的 结构信息都以元文件方式组织，因此在BPB中只包 含几个重要的参数。
LCN
101
102
106
107
108
221
一、NTFS分区结构
NTFS分区不再设管理控制区域，分区的0扇区便是 0簇，全部空间都是数据区域。分区中承担管理控 制信息的数据块被组织成文件，灵活地存放在任 意一个位置。只有BOOT区域比较特殊，由于0扇区 仍是引导扇区，因此BOOT区域始终位于分区前端。
分析NTFS分区结构
M6-1 本单元主要内容
一
NTFS分区结构
二 主控文件表与元文件 三
引导扇区结构 修复引导扇区
四
M6-1 本单元重难点
重点
NTFS分区概述 NTFS引导扇区分析 恢复NTFS引导扇区的方法 NTFS元文件介绍
难点
NTFS引导扇区BPB参数 NTFS元文件的概念和作用
一、NTFS分区结构
微软公司自推出Windows NT服务器操作系统以来， 就开发了一种与之对应的，可靠性和安全性都很 强的，可用于服务器操作系统的文件系统，即 NTFS。 它与FAT文件系统相比有许多优点：可恢复性、安 全性、保密性、数据容错、文件压缩、磁盘配额 管理等。
一、NTFS分区结构
在NTFS分区中，引入了卷概念。卷可以看成是分 区的升级版，是为了解决某些分区限制而提出的 概念，卷的操作和使用和分区是一样的。 卷分为简单卷和动态卷两种，简单卷就是一个普 通分区，而动态卷则可以实现一些高级功能，比 如可以将多个分区或者磁盘组织成一个卷，能够 动态增长容量等，使其可以支持服务器存储所需 的海量存储空间。
三、引导扇区结构
演示对NTFS分区引导扇区的BPB的分析过程。
1. 准备好NTFS分区的演示环境，如虚拟机、Winhex等。 2. 分析引导扇区BPB参数。 3. 指出重要的参数信息如$MFT簇号。
四、修复引导扇区
NTFS的引导扇区如果遭到破坏，同样可以使用备 份的引导扇区记录来恢复，只是NTFS的备份引导 扇区存于分区末尾处，这样对于普通的破坏攻击 有较好的保护作用。 它存放的形式很巧妙：假设在分区表中标识了该 分区大小为N，则在格式化为NTFS分区的时候，在 引导扇区的BPB里面给出本分区占用扇区数为N-1， 这样在分区表容量和分区内标注的容量间就有1个 扇区的空隙，这个扇区既不会被本分区操作访问 到，也不会被分区工具破坏。
二、主控文件表与元文件
在NTFS分区中，最重要的就是主控文件表（MFT）， 它记载了所有文件的属性信息，甚至包括数据， 有点类似于FAT分区的文件目录表。 为了防止遭到破坏，NTFS分区将MFT的位置移到了 分区的中间，并在引导扇区中给出了它的簇号。 我们在恢复数据的时候，就是依靠MFT来完成的。
二、主控文件表与元文件
在NTFS中承担管理控制信息的数据称为元数据， 用于记载文件属性信息、簇分配信息、以及加密、 配额、日志等。这些元数据分别被组织成文件， 称为元文件。 前面所提到的BOOT区域和MFT区域，也分别被组织 为两个重要的元文件：$Boot和$MFT。 NTFS中有16个元文件，每个元文件都以美元符号 起头，以标示其特殊身份。这些元文件记录了分 区底层的结构信息，因此非常特殊而重要，被系 统保护起来，用户和应用程序不能访问它们。