C/C++ 如何实现文件在NTFS文件系统中的绝对定位（二）:分析DataRun

DataRun的分析在定位文件在NTFS文件系统中的位置的过程中是必不可少的，他相当于一个父目录开启他所属的某个子目录的钥匙，而且DataRun的分析也是相当复杂需要讨论多种情况。上一篇我们说到，DataRun是起到了“银行卡”的作用。（不知道的请看我的前一篇文章，如果您知道DataRun是什么东东，那就可以直接跳过看第二段…）这里的DataRun指代的是MFT---A0H块的body部分，DataRun记录了他所属MFT所有Index的簇号(当然前提是它要有index)。下面我们来举个例子分析Data Run。

 

 

请看上图，深红色的部分就是某一个目录（文件夹）的DataRun, 它由24个字节组成，开头为21H，结尾为87H。首先，我们要先介绍下DataRun的组成，首先我们由上文知道一个MFT的index是由一个或多个不一定连续的簇组成的，比如说一个文件夹Temp，他的Index簇号为19，20，40，50，51。这些簇就会记录在Temp的DataRun中，如何记录呢？分3部 : 1.以19簇开头，2个簇长度; 2.以40簇开头,1个簇长度;3,以50簇开头，51簇长度。大家明白了吗？DataRun中只把非连续的簇信息分开存放，而连续的簇，他只记录首簇号与”有多少个连续的簇”2种信息。其次我们必须了解DataRun信息的存放格式: 信息头（21H）+簇长度（01H）+相对扇区号（0C73H），下面我们来详细分析图中数据。

首先我们由格式可以得出，首先21H为信息头（这名字是我自己起的）,他表示什么呢？表示后面有1个字节是表示长度，长度后面有2个字节表示相对簇号，那假设信息头为32H，就表示后面有2个字节是表示长度，长度后面有3个字节表示相对簇号。大家应该明白了吧。他不是单纯的一个16进制数！那我们回到21H，他说后面有1个字节表示长度，那后面我们数过去一个字节，是01H，转化为10进制为1，表示什么？表示这一段信息只有1个簇长度。长度后面有2个字节表示相对扇区号，我们数过去2个字节，是0C73H，读数字会吧，要倒着，内存中就是这么放的，表示相对簇号为0C73H…因为这是第一条信息，所以他就是0C73H簇（这里不明白没关系，后面会说清楚）,好，我们第一个index出来了：0C73簇开头的1个簇，就是0C73簇，好，我们下面用同样的方法分析下一段DataRun: 为了看的清楚，我把图片拷贝过来。 

 我们看到0CH后面是31H，这个大家知道是什么吗？对，就是信息头，相信大家会分析了吧，我们继续看后面的数据就是01AAE3H开头的1个簇，这时大家要注意，因为01AAE3H为相对簇号，所以下一个index正确的簇号是：此相对的簇号加上前面所有的相对簇号(要全加，不能只加前面一个，如果这是第三个index，那么要把第一个和第二的相对簇号全部和此相对簇号相加)，还有一点要注意，相对簇号是用补码表示的！！如果为 相对簇号为E711H，必须转化为原码（就是负数）再与前面的相对簇号（也要转换为原码）相加。这回大家知道什么是相对簇号了吧。我们继续分析…（分析省略）好，我们分析到 8E 72 FF完，忽然发现…怎么是00？？00表示什么呢…哈，恭喜你，你已经分析结束，后面的可以不看了。大家如果还有什么问题，欢迎留言，在附件中，我也提供了一些资料，是英文版的，但是对DataRun的分析很有帮助，它举例了几乎所有的情况，在这里我不可能说明拟稿所有的情况，还是请资料帮你吧！

   最后，我要说一个让我超级郁闷过的一个问题:更新序列号。

   请看图 如果一个MFT的DataRun正好包括某个扇区的最后两个字节，这两个字节为“伪字节”（也是我自己起的），如果按照这2个字节分析，是不可能分析正确的，那正确的2个字节在哪呢？？

 

 我们看一个完整的MFT开头

 

  大家看到了吗，打圈圈的地方就是真的数字，大家计算的时候，把假字节覆盖就可以了，好了，就说那么多。希望和大家多多交流经验。

评论

1 楼 xfei6868 2009-07-30  

呵呵！看到你写的ntfs文章也很高兴啊，好像没看到你的代码啊.