NTFS文件系统规范

2024年3月19日发(作者：)

硬件白皮书

NTFS文件系统规范

关键字：Windows NT NTFS 文件系统

NTFS作为Microsoft Windows NT®操作系统的标配文件系统克服了FAT/FAT32文件系

统的大量缺点；同时又随着Microsoft Windows 2000®、Microsoft Windows XP操作系统的推

广得到越来越广泛的应用。

和FAT/FAT32文件系统相比，NTFS文件系统主要有以下优点。

•支持大容量存储单元（最大支持

2

GB）

•内建数据压缩支持

•支持事务日志文件

•加强数据安全

目录

基本数据类型

引导扇区与BPB

系统文件

属性

STANDARD_INFORMATION

ATTRIBUTE_LIST

FILE_NAME

VOLUME_VERSION

OBJECT_ID

SECURITY_DESCRIPTOR

VOLUME_NAME

VOLUME_INFORMATION

DATA

INDEX_ROOT

INDEX_ALLOCATION

BITMAP

SYMBOL_LINK

REPARSE_POINT

EA_INFORMATION

EA

PROPERTY_SET

LOGGED_UNTILITY_STREAM

46

$MFMirr

$Bitmap

$BadClus

NTFS卷初始化

分区结尾与备份主引导扇区

1

目录结构

基本数据类型

文件记录

文件记录是$MFT文件的基本组成部分，卷中的所有文件都由至少一个文件记录来描

述，对于使用多个文件记录的文件，其第一个文件记录叫基本文件记录，其余的叫做扩展文

件记录。

文件记录由记录头 数个文件属性和结束标志(0xFFFFFFFF)组成。

文件记录头格式：

名字 偏移 尺寸 描述

FR_Sign 0 4

记录签名：，值为：‘ELIF’

FR_USOff 4 2

序列号的偏移(M)

FR_USNSz 6 2

序列值个数+1(N)

FR_LSN 8 8

日志文件序列号，该值在记录每次被修改时都会

被改动

FR_SN 16 2

记录序列号

FR_LnkCnt 18 2

目录中记录本文件的引用计数，该值只用于基本

文件记录

FR_USAOff 20 2

第一个属性数据的偏移

FR_Flags 22 2

标志，该成员可以是以下各值中之一

0x01 本记录已经被使用

0x02 本记录未使用

0x04 不明

0x08 不明

FR_Size 24 4

当前记录的尺寸

FR_AllocSz 28 4

当前记录分配的空间的尺寸

FR_BaseFR 32 8

当前文件记录的基本文件记录的索引，

如果当前文件记录是基本文件记录则该值为0，

否则指向基本文件记录的记录索引。

注意：该值的低6字节是MFT记录号，高2字

节是该MFT记录的序列号

FR_NxtAttrId 40 2

下一个属性的ID。

下一次将会被添加到文件记录的属性的ID，每

次往文件记录中添加属性时该值都会增加，每次

文件记录被重新使用时该值都会被清零，第一个

值肯定是0

FR_Resvd 42 2

保留(XP新增)

FR_NumOfFR 44 4

不明(XP新增)

FR_USN M 2

序列号。

该值记录文件记录被修改的次数，每次修改时该

值+1，(包括文件被删除操作)该值不能为0

FR_USA M+2

(N－1)*2 序列值占用的空间的原值

2