Вятский государственный гуманитарный университет
Опубликован: 27.05.2013 | Доступ: свободный | Студентов: 2689 / 585 | Длительность: 09:18:00
Самостоятельная работа 7:

Структура файловой системы NTFS

< Лекция 11 || Самостоятельная работа 7: 1234

Задание 5. Исследовать внутреннюю структуру тома NTFS.

Указания к выполнению.

1. Для изучения внутренней структуры дисков существует множество программ. В этой лабораторной работе воспользуемся программой DiskExplorer for NTFS. Бесплатная оценочная версия доступна по адресу: http://www.runtime.org/diskexplorer.htm.

2. После установки и запуска программы (под учетной записью администратора) откроется главное окно:


В меню File выберите Drive… и в разделе Logical drives выделите Hard drive, соответствующий виртуальному диску:


Нажмите ОК и отобразится окно с загрузочным сектором (Boot sector) NTFS:


Дважды щелкните по надписи Boot sector (NTFS) или в меню Goto выберите Mft, программа перейдет к отображению файловых записей в таблице MFT:


Относительно каждой файловой записи программа показывает следующую информацию.

В первой строке:

  • Sector – начальный сектор данной файловой записи: сверху – в шестнадцатеричном виде, снизу – в десятичном;
  • Name – имя файла (или каталога);
  • Type – тип файловой записи (файл или каталог);
  • Attributes – DOS атрибуты файла (например, s – системный, h – скрытый); не путать с NTFS атрибутами;
  • Size – размер всего файла в байтах (не только файловой записи); отображается в десятичном виде;
  • Date – дата и время модификации файла (или каталога);
  • 1st cluster – первый кластер файла, если он имеет нерезидентные атрибуты;
  • NT Attributes – NTFS атрибуты (коды см. в лекции 17 "Файловая система NTFS").

Во второй строке:

  • No – номер записи в MFT;
  • Parent – номер записи в MFT для родительского каталога; например, для всех первых файлов в MFT этот номер будет равен 5 – номеру записи для корневого каталога (обозначается точкой);
  • Run – список групп для нерезидентных файлов.

В крайней левой колонке таблицы (Sector) показывается номер сектора, в котором располагается начало файловой записи. Проверьте, что этот номер совпадает с номером сектора для $Mft в файле log.txt, полученным в предыдущем задании. В нашем примере этот номер равен 0x102A8.

Проверьте соответствие других записей в программе DiskExplorer и в файле log.txt.

Обратите внимание, что номера секторов в столбце Sector увеличиваются на 2, т.е. файловая запись занимает 2 сектора (1 КБ).

Задание 6. Изучить файловую запись для резидентного файла.

Указания к выполнению.

1. Найдите в списке файловых записей DiskExplorer запись для файла Test.txt:


Дважды щелкните на этой записи (или нажмите клавишу F7) – откроется окно файловой записи:


В этом окне три основных раздела:

  • Structures – структура файловой записи. Показаны заголовок (Header) файловой записи и атрибуты; каждый атрибут имеет заголовок (Header) и тело (Body);
  • Interpretation of data – интерпретация данных. Для текстового файла приведено его содержимое в текстовом виде;
  • Raw data – содержимое файловой записи в виде набора байт (приведены шестнадцатеричные значения и ASCII коды).

2. При перемещении по пунктам в разделе Structures, в остальных двух разделах отображается соответствующая данному пункту информация. Например, на рисунке ниже приведена информация для заголовка файловой записи:


Изучите содержимое заголовка файловой записи и всех атрибутов. Определите способ хранения информации при помощи окна Raw data. Например, на рисунке ниже красным цветом в разделах Interpretation of data и Raw data выделено поле Length (Длина) для атрибута $STANDARD_INFORMATION, а синим цветом – поле Data status (Резидентность): значение 00 означает, что атрибут резидентный.

Информацию о структуре файловой записи NTFS можно найти в лекции 17 "Файловая система NTFS", а также в источниках [17; 5].


3. В теле атрибута $DATA ($80) найдите текст, хранящийся в файле.

< Лекция 11 || Самостоятельная работа 7: 1234
Александр Кудаков
Александр Кудаков
Россия