Metainformationen zur Seite
Dies ist eine alte Version des Dokuments!
NTFS Dateisystem
Boot Sektor
- Immer am Anfang der Partition (offset 0x0)
| Offset | bis | Beschreibung |
|---|---|---|
| 0x00 | 0x07 | EB52 904E 5446 5320 |
| 0x0B | 0x0C | Größe eines Blocks in Byte Bsp: Dump: 00 02 = Hex: 02 00 Dec: 512 |
| 0x0D | Größe eines Clusters in Blöcken | |
| 0x0E | 0x0F | Reservierte Blöcke |
| 0x15 | Medien Typ: F8: HD; F0: HD Floppy | |
| 0x28 | 0x2F | Größe des Dateisystems in Blöcken |
| 0x30 | 0x37 | Clusteradresse des ersten Clusters der MFT |
| 0x38 | 0x3F | Clusteradresse des ersten Clusters des MFT Mirror |
| 0x40 | Größe eines MFT-Eintrags (signed int ! ) in Blöcken | |
| 0x44 | Größe der Index Einträge in Clustern | |
| 0x48 | 0x4F | Seriennummer des Volumes |
~~COMPLEX_TABLES~~
~~COMPLEX_TABLES~~
Master File Table (MFT)
- Ein MFT Eintrag hat eine feste Größe (typ. 1KB, Größe steht im Byte 44h im Bootsektor)
- …
| Offset | bis | Beschreibung |
|---|---|---|
| 0x00 | 0x03 | 4649 4C45 = „FILE“ |
| 0x04 | 0x05 | Offset zur Update Sequence |
| 0x06 | 0x07 | Anzahl der Einträge im fixup array |
| 0x08 | 0x0F | $LogFile Sequence Nummer (LSN) Wird bei jeder Veränderung des Eintrags verändert |
| 0x10 | 0x11 | Sequence Nummer Anzahl wie oft der Eintrag benutzt wird 0, wenn Datei gelöscht ist |
| 0x12 | 0x13 | Anzahl der Hardlinks |
| 0x14 | 0x15 | Offset des ersten Attributes |
| 0x16 | 0x17 |
| 0x01 | Eintrag benützt |
| 0x02 | rag ist Verzeichnis |
| 0x18 | 0x1B | Belegte Größe des Eintrags |
| 0x1C | 0x1F | Reservierte Größe des Eintrags |
| 0x20 | 0x27 |
Datei Referenz zum FILE basis eintrag
Ist 0x0 für MFT Basiseinträge
| 0x28 | 0x29 | Nächste Attribut ID |
| 0x30 | 0x1000 | Attribute und fixup Werte |
~~COMPLEX_TABLES~~
~~COMPLEX_TABLES~~
Links
Diskussion