NTFS文件系统
NTFS引导扇区
2021-07-01
193
0
NTFS的引导扇区位为文件系统的0号扇区,一般通常为16个扇区,但并没有完全使用。
NTFS引导扇区的0号扇区内容如下:
| 字节偏移(十六进制) | 字节数 | 含 义 |
|---|---|---|
| 00~02 | 3 | 跳转指令 |
| 03~0A | 8 | OEM(“NTFS”标识) |
| 0B~0C | 2 | 每扇区字节数 |
| 0D~0D | 1 | 每簇扇区数 |
| 0E~0F | 2 | 保留扇区数(Windows下为0) |
| 10~14 | 5 | 未定义(为0) |
| 15~15 | 1 | 介质描述符 |
| 16~17 | 2 | 未定义(为0) |
| 18~19 | 2 | 每磁道扇区数(Windows下不检查) |
| 1A~1B | 2 | 每柱面磁头数(Windows下不检查) |
| 1C~1F | 4 | 隐含扇区数(Windows下不检查) |
| 20~23 | 4 | 未定义(为0) |
| 24~27 | 4 | 总为“80008000”(Windows下不检查) |
| 28~2F | 8 | 文件系统扇区总数(此值+1(引导区备份)=分区表描述值) |
| 30~37 | 8 | MFT起始簇号 |
| 38~3F | 8 | MFT备份的起始簇号 |
| 40~40 | 1 | 每MFT项大小 |
| 41~43 | 4 | 未定义 |
| 44~44 | 1 | 每个索引的大小簇数 |
| 45~47 | 3 | 未定义 |
| 48~4F | 8 | 序列号 |
| 50~53 | 4 | 校验和 |
| 54~1FD | 426 | 引导代码 |
| 54~1FD | 2 | 55 aa 签名 |
假如有一NTFS,其引导扇区值为:
其含义如下:
我们可以看到:
- 0x15处的0xF8代表本地磁盘
- $MFT的起始地址为:512 x 8 x 87296= 0x15500000
512:每扇区字节数0x0b~0x0c 8:每簇扇区数0x0d) 87296:MFT起始簇号,0x30~0x37,值为:0x15500 - 在windows下,这50~53处的校验和好像永远为0
引导代码无论本卷(分区)是否是引导分区,都会存在,但当然只是当时引导分区时才会有机会执行。
