Описание тега ntfs-mft

Основная файловая таблица (MFT) является неотъемлемым компонентом файловой системы NTFS. MFT содержит метаданные о каждом файле, каталоге и метафайле на томе NTFS. Он включает имена файлов, расположение, размер и разрешения.
0 ответов

Ускорить перечисление файлов NTFS (используя журнал FSCTL_ENUM_USN_DATA и NTFS MFT / USN)

Я перечисляю файлы, просматривая журнал NTFS MFT / USN с: HANDLE hDrive = CreateFile(szVolumePath, GENERIC_READ, FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, OPEN_EXISTING, NULL, NULL); DWORD cb = 0; MFT_ENUM_DATA med = { 0 }; med.StartFileReferenceNum…
19 июл '17 в 01:43
3 ответа

Может ли файл NTFS $MFT иметь дочерние записи?

Я пишу некоторый код для анализа через MFT на диске в томах NTFS. Это просто, но один конкретный угловой случай попался мне на глаза, и я не могу найти четкого ответа в Интернете. Для обычных файлов в NTFS можно иметь несколько записей MFT для одног…
24 май '15 в 13:34
0 ответов

Как я могу рассчитать размер MFT для заданного количества файлов?

У меня есть это упражнение: Мне дают пустой жесткий диск с размером сектора 512 КБ. Теперь каждый кластер будет иметь 2 сектора, поэтому 2*512 = 1024 Byte Для NTFS я почти уверен, что мне придется рассчитывать размер таблицы MFT. К сожалению, я не м…
13 ноя '15 в 19:06
3 ответа

Как мы получаем доступ к MFT через C#

Мне нужно получить доступ к Windows MFT(Master File Table), используя C# в моем приложении.net.Я гуглил по этому поводу и не смог найти хороших результатов. Я искал информацию за последние 2 дня, но не смог найти никакой информации о ней. Я не ищу т…
09 фев '14 в 16:37
1 ответ

Считывание корневого тома NTFS не выполняется, если размер буфера не кратен 512

Я играю с MFT, начиная с чтения корня диска C: с помощью вызовов P/Invoke. Используя приведенный ниже код, я получаю ожидаемые результаты, если размер буфера кратен 512, но в противном случае чтение завершается ошибкой с ERROR_INVALID_PARAMETER. Это…
12 апр '14 в 16:20
1 ответ

Как открыть метаданные NTFS / системные файлы: $LogFile, $Volume, $Bitmap?

Я работаю на 64-битной Windows 7. Я хочу получить FileID, связанный с некоторыми из системных файлов NTFS. Некоторые из них ("$Mft", "$MftMirr") я могу открыть, но другие ("$LogFile" и "$Bitmap") завершаются с ошибкой "отказано в доступе" или неверн…
21 дек '13 в 01:03
1 ответ

Получить кластер $BITMAP / номер блока от MFT

Кто-нибудь знает, как получить кластер / блок нет. файла $BITMAP из MFT в C/C++? Я знаю, что номер записи файла $BITMAP в MFT равен 6, но как узнать его сектор или номер блока / кластера? На самом деле я хочу прочитать файл $Bitmap. Примечание: я не…
23 апр '14 в 10:29
1 ответ

Как программно прочитать файл $ Secure Windows NTFS (и / или поток $SDS) в C#

Методы в пространстве имен DirectorySecurity платформы.NET (например, GetAccessRules()) слишком медленные для моих целей. Вместо этого я хочу напрямую запросить метафайл NTFS $Secure (или, альтернативно, поток $SDS), чтобы получить список локальных …
15 янв '19 в 20:05
0 ответов

Раздел ОС, представленный как RAW после клонирования томов в Windows Server 2008, 2012 и т. Д.

У меня проблема с клонированием диска. (т. е.) после завершения клонирования раздел ОС появляется как RAW вместо файловой системы NTFS. Я использовал FSCTL_GET_VOLUME_BITMAP API управления IO устройства для получения буфера растрового изображения то…
14 ноя '17 в 07:16
2 ответа

Как создать дамп растрового файла NTFS $

Для проекта я хочу получить список всех свободных / используемых кластеров в разделе NTFS. Для этого мне нужно сбросить файл $Bitmap и разобрать его содержимое. В Интернете есть немного API и примеров, но, похоже, они не работают. Есть ли простой сп…
25 апр '12 в 05:58
2 ответа

Как получить полный путь для запроса журнала USN?

Я пытаюсь просмотреть пример в MSDN ( https://msdn.microsoft.com/en-us/library/windows/desktop/aa365736%28v=vs.85%29.aspx) о том, как запросить журнал USN в Чтобы отслеживать изменения файлов на диске NTFS. Пример кода работает хорошо. Однако в этом…
01 авг '15 в 14:58
1 ответ

Почему перечисление файлов с помощью DeviceIoControl быстрее в VB.NET, чем в C++?

Я пытаюсь прочитать Windows Master File Table (MFT) для быстрого перечисления файлов. До сих пор я видел два подхода для этого: По предложению Джеффри Куперштейна и Джеффри Рихтера с помощью DeviceIoControl Прямой анализ MFT, представленный в некото…
10 дек '14 в 05:37
0 ответов

Поведение MFT при расширении тома NTFS

В настоящее время я изучаю файловую систему NTFS, я прочитал множество документов на support.microsoft.com и msdn.microsoft.com. Я думаю, что теперь у меня есть более чем базовое понимание того, как работает NTFS, но теперь я задал себе вопрос, на к…
21 июн '18 в 14:05
1 ответ

Имена папок Windows для выходного файла Excel

У меня есть базовая общая папка, которая содержит тысячи вложенных папок, в которых находятся пакеты ssis. Есть ли простой способ создать Excel или текстовый файл с именами подпапок? Можно ли как-то запросить эту информацию из Windows? В идеале я хо…
27 май '14 в 21:10
2 ответа

Изменение размера зоны NTFS MFT

Я читаю статью о NTFS на сайте MSDN. Вот часть этого, обратите внимание на выделенные части: "Вы можете изменить размер зоны MFT для вновь создаваемых томов , чтобы они соответствовали проценту от объема, который будет использоваться в качестве зоны…
22 июл '16 в 14:28
1 ответ

Организация каталогов в NTFS

Написать парсер файловой системы NTFS. Мне нужно последовательно читать каталоги и отображать информацию о содержимом выбранного каталога, что необходимо только для чтения записи MFT с информацией о файлах и подкаталогах. Вопрос: как это организоват…
21 фев '14 в 07:52
1 ответ

Внедрение журнала изменений в Delphi (шаг 2)

Продолжая свой предыдущий вопрос, я смог использовать этот модуль delphi для реализации сумасшедшего сканирования дисков FAST с помощью этой функции EnumMFTEntries(), но у меня возникли проблемы при выполнении следующих задач: Задача № 1: Запрос cha…
25 янв '13 в 17:21
2 ответа

Как извлечь размер любого файла, читая запись файла $MFT?

Мне нужно получить размер файла, прочитав MFT-запись этого конкретного файла. Пожалуйста, скажите мне смещение, где я могу найти размер файла и местоположение файла на диске.
13 май '15 в 13:23
2 ответа

Как защитить сектора от записи в NTFS

Я пытаюсь реализовать анти-криминалистический инструмент на разделе NTFS. Мне нужно сохранить 1 ГБ (в точном физическом месте) пространства от записи файловой системой. Мои идеи: Попробуйте создать файл размером 1 ГБ в определенном месте (как?), Что…
18 июл '12 в 12:46
0 ответов

Реализация журнала изменений в Delphi

Я пытаюсь использовать журнал изменений вместо ReadDirectoryChangesW отслеживать изменения в моем приложении Delphi XE2 (почему: ReadDirectoryChangesW не настолько надежен) Самое близкое, что я мог найти в delphi/pascal, это что-то, называемое помощ…
24 янв '13 в 08:13