探索NTFS

NTFS是WindowsNT引入的新型文件系统，它具有许多新特性。本文旨在探索NTFS的底层结构，所叙述的也仅是文件在NTFS卷上的分布。NTFS中，卷中所有存放的数据均在一个叫$MFT的文件中，叫主文件表(MasterFileTable)。而$MFT则由文件记录(FileRecord)数组构成。FileRecord的`大小一般是固定的，通常情况下均为1KB，这个概念相当于Linux中的inode。FileRecord在$MFT文件中物理上是连续的，且从0开始编号。$MFT仅供FileSystem本身组织、架构文件系统使用，这在NTFS中称为元数据(Metadata)。以下列出Windows2000Release出的NTFS的元数据文件(我将要给出的示例代码的部分输出结果)。
FileRecord(inode)FileName
--------------------------
0$MFT
1$MFTMirr
2$LogFile
3$Volume
4$AttrDef
5.
6$Bitmap
7$Boot
8$BadClus
9$Secure
10$UpCase
11$Extend

Windows2000中不能使用dir命令(甚至加上/ah参数)像普通文件一样列出这些元数据文件。实际上FileSystemDriver()维护了一个系统变量NtfsProtectSystemFiles用于隐藏这些元数据。默认情况下，这个变量被设为TRUE，所以使用dir/ah将得不到任何文件。知道这个行为后使用i386kd修改NtfsProtectSystemFiles后即可以列出元数据文件：

kd