NTFS的未来――WinFS文件系统

NTFS的未来――WinFS文件系统（精选5篇）

篇1：NTFS的未来――WinFS文件系统

无论是FAT还是NTFS ,用户访问某个文件都必须通过层次型的目录树结构到达其保存位置，如果不知道文件保存位置，那就只能使用操作系统的搜索功能了，不知道你有没有想过：我们需要的是文件，而不是它的位置，即然如此，为什么要我们必须记住这些“无用”的信息？为解决这个问题，微软将在下一代操作系统中（内部代号Longhorn）中推出传说中的WinFS (windows Future Storage , windwos未来存储）服务，也就是被人们误以为是文件系统的那个东西。

事实上，NTFS将是“Longhorn”的唯一文件系统，WinFS服务可以看作是在NTFS的基础上增加了一个数据库层，这个数据库层以即将出现的SQL Server的“Yukon”版为基础，

对于WinFS来说，文件除了我们熟悉的属性，诸如文件名称、大小、日期外，还将通过诸如作者名、图像大小之类的元数据建立索引。系统底层的目录结构仍将存在，但用户使用的将是一个相似文件构成的库（Library）。每个库由一组通过查询WinFS数据库获得的文件构成。如果WinFS确实能将查找文件的依据改变为它是什么，而不是它在哪里的话，无疑这将是基于NTFS文件系统的一个突破。

点击阅读更多学院相关文章>>

分享到

篇2：NTFS的未来――WinFS文件系统

图1

NTFS具备FAT所没有的本地安全性，这主要体现在文件权限的分配上，通过对文件（也包括整个分区和目录）权限的分配，可以限制任何用户对文件的访问，这对于多用户环境管理来说极其重要，在“我的电脑”视图中可看到本地登录用户的“XX的文档”文件夹，这些文件夹默认具有不同访问权限。此外不同权限的用户还可对自己权限范围内的文件或文件夹进行权限设置。在进行权限设置时，不在域中的用户需要改变默认的文件简单共享方式，选择资源管理器的菜单项“工具”→“文件夹选项”，进入“查看”选项卡，将“使用简单文件共享”前的复选框勾除即可（图1）。之后用鼠标右击要设置权限的文件或文件夹，在弹出的快捷菜单中选择“属性”，并在属性对话框中选择“安全”选项卡（图2)，在这里就可添加或删除不同访问权限的组或用户。

图2

点击阅读更多学院相关文章>>

分享到

2、磁盘配额功能

图3

在NTFS文件系统下可以进行磁盘配额管理。磁盘配额是指管理员可为用户所能使用的磁盘空间进行分配和限制，每个用户只能使用最大配额范围内的磁盘空间。设置磁盘配额后，还可以对每个用户的磁盘使用情况进行跟踪和控制。这项功能使得管理员可方便合理地为用户分配存储资源，避免可能由于磁盘空间使用的失控造成的系统崩溃，提高了系统安全性。具体做法是，在系统磁盘驱动器图标上单击鼠标右键，选择“属性”选项，点击“配额”选项进入配额选项面板（图3)，选择启用磁盘配额。如果你想严格控制用户可使用的磁盘空间，可选择“将磁盘空间限制为”选项，并设置相关数字。接着点击“配额项”进入具体设置（图4)，在这里可新建配额项和修改配额项。

图4

点击阅读更多学院相关文章>>

分享到

3、动态磁盘管理

NTFS5.0支持动态卷，可以实时改变卷的大小而不用重启或退出系统，也不用格式化。此外，如果某个分区包含重要的文件信息，可以为这个分区创建动态镜像分区，提升其逻辑容量。在NTFS分区的目录中加载分区是没有格式和磁盘限制的，即空白分区、FAT分区、NTFS分区或在不同硬盘上的分区都可以。下面我们就举例说明一下具体做法，比如第二块硬盘上有―FAT32分区M，欲将其装入第一块硬盘中的NTFS分区D中。打开“控制面板”→“性能和选项”→“管理工具”→“计算机管理”→“磁盘管理”（或直接在“运行”中输入diskmgmt.msc并回车），在分区M上单击鼠标右键，选择“更改驱动器名和路径”，然后点击“删除”（这么做只是去除了M分区的访问路径，并没有删除其中的数据），确定后再点击“添加”，并选择“装入以下空白的NTFS目录中”，在下面文本框中输入路径或点击“浏览”指定目录，假设目录为D分区中的Temp目录，然后逐层按“确定”即可，

下面我们直接就可以在D分区上通过Temp目录使用M分区了，重启后M分区的访问权被取消，看起来就和两个分区被合并了一样。

4、磁盘管理限制

FAT16支持的最大分区容量为2GB，使用卷集可以达到4GB，最大单个文件容量为2GB。FA T32在理论上支持2TB的最大分区容量，而事实上在Windows 98 SE/Me中最大只能支持127.53GB，在Windows /XP/Server 中系统分区工具则只能支持到32GB，最大的单个文件件容量为4GB。如此看来只有NTFS才能满足日趋膨胀的存储需求。

5、更多的系统后台特性

由于NTFS更多的特性，如稀疏文件、重装入点、卷装入点等都是处于后台工作的，所以很难被一般用户察觉。以NTFS的可恢复特性为例，文件系统中的日志始终都在记录，当计算机意外重启后，NTFS分区不会像FAT分区那样需要系统进行磁盘检测以保证没有错误，这是因为NTFS会在第一时间将日志记录与当前分区信息进行比对，并完成一致性恢复。

点击阅读更多学院相关文章>>

分享到

6、数据EFS加密和压缩功能

图5

NTFS的数据压缩功能，能提供对单个文件、目录及分区的数据压缩以节约磁盘空间，由于这种压缩是文件系统级的，因此效率较高，而且被压缩的内容能被任何基于Windows 2000/XP/Server 2003的应用程序直接读写，无须解压缩软件。而NTFS的EFS数据加密功能提供透明加密，具备访问权限的用户访问加密数据时与访问其他内容毫无区别，而无访问权限的用户则被告知无权访问。如果没有加密用户的账号和密码，即使是具备计算机管理员权限的用户也无法访问。由于这两种属性都是基于文件系统的，所以只有分区被破坏或格式化才能被去除。具体加密方法是，打开要加密的文件或文件夹的“属性”对话框，选择其“常规”页中的“高级”，勾选“高级属性”里的“加密内容以便保护数据”（图5)，确定后，加密的文件/文件夹名会以绿色表示，这样，即使是管理员账户，也不能读取文件的内容了。

7、Unicode统一编码支持

NTFS文件系统支持Unicode统一编码。对于资料交流来说，不同计算机系统的不同字符编码是很大的障碍。Unicode的出现就是为了解决不同语言系统间兼容性问题的，只要是使用Unicode编码的文件，在任意支持Unicode的系统平台上都可被正确打开，不会出现乱码。

上一页 123 4

点击阅读更多学院相关文章>>

篇3：基于NTFS格式的文件恢复系统

1 NTFS文件系统分析

1.1 DBR

DBR (DOS BOOT RECORD, DOS引导记录) , 位于柱面0, 磁头1, 扇区1, 即逻辑扇区0。DBR分为两部分:DOS引导程序和BPB (BIOS参数块) 。其中DOS引导程序完成DOS系统文件 (IO.SYS, MSDOS.SYS) 的定位与装载, 占用固定的446字节, 而BPB用来描述本分区的磁盘信息, 位于DBR偏移0BH处。

1.2 MFT

主文件表 (MFT) 是分区卷上每一个文件的索引。MFT为每一个文件保存着一组称为“属性”的记录, 每个属性存储了不同类型的信息, 为主文件表 (MFT) 保留适当的空间。

2 文件的删除

删除文件“子目录1file.txt”的过程如下:

步骤1:读取文件系统第一个扇区的一道扇区, 获取簇大小、MFT起始位置以及每个MFT项的大小。

步骤2:读取$MFT文件的第一项, 通过它的$DATA属性获取其他的MFT位置。

步骤3:访问5号MFT项, 即根目录, 通过索引根属性 (S—IN-DEX_ROOT) 和索引分配属性 (S—INDEX_ALLOCATION) 找到“子目录1”项, 它的MFT项为200号, 跟新目录的最后访问时间。

步骤4:访问200号MFT项的索引根属性 (S—INDEX_ROOT) 并寻找file.txt的条目, 找到它的MFT项为400号。

步骤5:从索引中移除文件的项, 移动节点中的项覆盖了原来的项, 跟新目录的最后写入时间, 最后修改时间和最后访问时间。

步骤6:通过清除使用中标志取消400号MFT项的分配。访问—SBitmap文件的SDATA属性, 并将项的相应位置设置为0。

步骤7:访问400号MFT项的非常驻属性, 从S—DATA属性中得到数据内容所在的簇号, 将S—Bitmap文件中相应簇的bit设置为0, 即取消了722, 723号簇的分配。

步骤8:前面的每一步, 都将在文件系统日志—SLog File中产生项并将改变计入S—ExtendS—Usr Jrnl。如果设置了磁盘配额管理, 将在S—ExtendS—Quota中, 把回收的容量从用户已使用的磁盘空间量中减去。

3 软件技术特点

3.1 修正MFT偏移

MFT主文件表偏移指的是, 在BPB中指定的MFT的位置与其实际存在的偏移地址不相符, 经我们实验检测, MFT起始地址偏移基本不会超过前后一个扇区, 而每一个MFT占用的大小为2个扇区。在NTFS结构下, 每一个MFT的前4个字节都是固定的为:46 49 4C 45, 代表的意思是FILE, 是NTFS存储格式特有的标志, 不会变化。该修正算法就是通过扫描获取到的MFT起始地址的前后两个扇区, 找到包含这4个字节的数据区, 46的偏移就是我们要找的MFT的真正偏移地址, 再通过与之前获取的MFT起始地址进行比较判断MFT不规则偏移量的大小, 利用CopyFile () 函数复制实际MFT起始地址开始的后面2个扇区的内容, 粘贴到MFT实际所在位置, 就成功解决了MFT文件偏移的问题。

3.2 软件流程

软件实现具体流程如图1所示。

结束语

根据NTFS文件系统的特征分析结果, 设计了一种改进的NTFS文件系统数据恢复方案, 用以解决现有NTFS数据恢复技术中存在的MFT偏移修正难题。通过大量的实验研究、验证, 解决了MFT偏移修正难题, 并找出了最佳修正参数。同时, 系统中采用了优化的文件搜索算法, 大大提高了数据恢复的处理速度, 并提高了文件恢复成功率。

随着信息技术的日益普及, 信息安全问题得到了越来越多的重视, 数据恢复技术作为最后一道安全屏障, 其地位日益突出。而现有的数据恢复技术尚不尽人意, 存在很多亟待解决的难题, 如恢复成功率低, 无法处理物理损伤等等。

本系统采用的恢复技术是基于MFT表, 应用有很大的局限性, 无法处理MFT被彻底破坏或被覆盖等问题, 这一问题只能使用更有效的磁盘文件搜索算法来解决, 我们这一研究设想已获得我校科技部门的大力支持, 相关的研究也正在进行中, 我们有信心会继续这一研究, 继续完善这一安全工具。

参考文献

[1]刘伟.数据恢复深度揭秘[M].北京:电子工业出版社, 2010

[2]戴士剑, 涂彦晖.数据恢复技术[M].2版.北京:电子工业出版社, 2005.

[3]Mark Russinovich, David A Solomon.InsideMicrosoftWindows2000[M].US:Microsoft Press, 2004.

篇4：分布式文件系统NTFS概述

关键词：文件系统；NTFS

中图分类号：TP316 文献标识码：A文章编号：1007-9599 (2011) 07-0000-01

NTFS Overview of Distributed File System

Zhang Hongxia,Li Fangfang,Xu Lingling

(Suizhou Vocational and Technical College,Suizhou441300,China)

Abstract:NTFS (New Technology File System) is a Windows NT operating environment and Windows NT Advanced Server network operating system environment file system.File system is the operating system for specific files on the disk or partition methods and data structures is to organize files on the disk method,but also refers to the disk for storing files or partitions,or file system type.

Keywords:File system;NTFS

文件系统中，对于不同配置的硬件，实际的文件大小从4GB到64GB不等。由于NTFS文件系统的开销较大，使用的最小分区应为50MB。NTFS提供了服务器或工作站所需的安全保障。在NTFS分区上，支持随机访问控制和拥有权，对共享文件夹无论采用FAT还是NTFS文件系统都可以指定权限，以免受到本地访问或远程访问的影响；对于在计算机上存储文件夹或单个文件，或者是通过连接到共享文件夹访问的用户，都可以指定权限，使每个用户只能按照系统赋予的权限进行操作，充分保护了系统和数据的安全。NTFS使用事务日志自动记录所有文件夹和文件更新，当出现系统损坏和电源故障等问题而引起操作失败后，系统能利用日志文件重做或恢复未成功的操作。主要的作用体现在两个方面：

一、通过NTFS许可保护网络资源

在Windows NT下，网络资源的本地安全性是通过NTFS许可权限来实现的。在一个格式化为NTFS的分区上，每个文件或者文件夹都可以单独的分配一个许可，这个许可使得这些资源具备更高级别的安全性，用户无论是在本机还是通过远程网络访问设有NTFS许可的资源，都必须具备访问这些资源的权限。

二、使用NTFS对单个文件和文件夹进行压缩

NTFS支持对单个文件或者目录的压缩。这种压缩不同于FAT结构中，对驱动器卷的压缩，其可控性和速度都要比FAT的磁盘压缩要好的多。

FAT文件系统的大部分缺点都直接来自其简单又过时的设计，比如由于没有考虑可能的安全和可靠性属性，导致后来很难在FAT分区上添加这些功能。相反，NTFS采用了一种全新的体系结构，不仅能支持许多高级的属性和功能，还使用了一个简单而优美的方案允许更多属性加入其中。

当创建NTFS分区的时候，首先创建的是卷启动扇区。它在结构上与FAT文件系统里的类似，并且是NTFS下少数几个不存储在主文件列表里的元数据之一。NTFS的卷启动扇区起始于分区的一个扇区，包含2个主要结构：

（一）BIOS参数块：包含卷的基本信息，比如标识卷的格式是NTFS。除此之外，NTFS提供了一个扩展BIOS参数块，包含其它卷信息，例如重要元数据文件的位置。

（二）卷启动代码：在NTFS里，这块程序代码表示如何装载Windows NT或2000操作系统。常见的过程是装载NTLDR，把控制权交给它，让它来装载操作系统的其他部分。

NTFS文件系统把所有的数据，无论用户的还是系统的，都存储成文件。所以有一部分文件对于NTFS是非常重要的，即元数据文件。元数据文件在NTFS卷格式化的时候自动产生，并组织在整个分区的前面。首先是主文件列表（MFT），它为每个文件或目录都保存一个记录，如果这个文件太小，那么整个文件就可能都存储在这个记录里。因为元数据文件在NTFS也是“文件”，所以它们在MFT里也有对应的记录。实际上，MFT的前16个记录就是为元数据文件保留的。

NTFS最初设计时就考虑了企业级的应用环境，所以它能支持非常大的分区。回想当初Windows NT发布时，FAT还只有FAT12和FAT16——FAT32还未出现。FAT16最大的分区大小是2GB，使用32KB的簇；或4GB，使用非标准的64KB簇，可能导致其他Windows版本不兼容。考虑到商业应用的巨大存储量，和商用服务器可能使用RAID磁盘阵列，如此小的分区肯定是不行的，NTFS必须突破这个限制。在NTFS里，一个分区的最大字节数是2的64次方，即16EB。NTFS是一个完全不同的文件系统，它在设计的时候硬盘的大小还在以几GB来衡量，而现在突然要处理上千万GB的卷，我们不得不进行仔细的考虑。

在Windows NT下，启动分区的大小有严格的限制。在安装的时候，Windows NT会预先创建一个FAT16分区。即使你明确指出把Windows NT安装到NTFS分区上，它也会这么做，然后把这个FAT16分区转化成NTFS分区。而Windows NT下FAT16分区最大是4GB，所以你的启动分区也只能这么大。由于有这些限制，许多NT系统都至少有2个分区——小些的作为操作系统启动分区，大些的存储用户数据。用户甚至发现这种组织方式非常好，因为它区分了操作系统文件和用户自己的文件。启动分区的最大限制在Windows 2000里被解除了，现在你能把整个磁盘划分到一个分区里面了。

因为NTFS是微软开发出来的技术，它的定位就是家用机系统所用的文件系统，因此在使用一定时间之后磁盘出现碎片还是无法避免，所以XP的用户对于“硬盘用久了，会出现碎片，速度会减慢，需要一个程序来整理，整理硬盘的时候不要做其它工作”，这好像是天经地义的事情。 而对于Linux以及Unix似乎从来没有“整理硬盘”这种说法，不但可以对文件设置权限，实施完全的保护，而且可以“越用越整齐”，“越用碎片越少”！其实优缺点都是因为不同的定位，随着我们软件行业的不断发展，对于底层技术的逐渐掌握，相信以后会出现完全自主的产品。

参考文献：

[1]何炎祥.高级操作系统[M].北京:科学出版社

[2]Andrew S.Tanenbaum.分布式系统原型与范型[M].杨剑锋.北京:清华大学出版社

篇5：NTFS的未来――WinFS文件系统

计算机取证(Computer Forensics)是运用计算机及其相关科学和技术的原理与方法获得潜在法律证据的过程。发展计算机取证技术,打击利用计算机来传播非法信息、进行非法活动的犯罪行为,可以为国家经济建设和社会发展创造和谐稳定的外部环境。而我国直到1999年才将电子证据列为法定的证据形式。起步晚,缺少有自主知识产权的取证工具是我国计算机取证界的现状。目前取证工具软件主要采用国外的The Coroner’s Toolkit(TCT)、EnCase、X-Ways Forensics(Winhex的取证版)、FinalData、pyFlag等[2]。美国司法部(DOJ)2001年提出的取证过程模型里有5个步骤,分别是准备阶段、收集阶段、检验、分析和报告。收集阶段主要解决计算机证据的搜索和定位。在此的工作是在NTFS文件系统环境里实现磁盘数字证据信息的收集模块。

1 NTFS文件系统分析

文件系统是操作系统中负责管理和存取文件信息的软件机构。负责文件的建立、撤销、存入、读写、修改和复制,还负责完成对文件的按名存取和进行存取控制,以及向用户提供使用文件系统的接口。

它在逻辑上的层次结构如图1所示。

NTFS(New Technology File System)通过簇、分区和卷3种界面管理硬盘,卷由硬盘上的逻辑分区组成,簇是硬盘分区中数据存储的最小单元,磁盘上的文件使用簇链接在一起。文件系统本身所需要的数据,如记录卷的分配状态位图($Bitmap)、文件($Volume)、目录($)和系统引导程序($Boot)等数据,保存在元数据(metadata)里。NTFS的元数据结构的名称是比较规律的,首字符都是$,这些文件是管理整个文件系统的基础[3]。文件在磁盘上的位置是通过元数据里的主控文件表(Master File Table,MFT)来定位的。$MFT是NTFS中最重要的系统文件。默认情况下,文件系统驱动ntfs.sys维护了一个系统变量NtfsProtectSystemFiles隐藏了这些元数据。

NTFS卷上每个文件都有一个64位的文件引用号(File Reference Number)的唯一标识。文件引用号由文件号和文件顺序号两部分组成。文件号是48位,对应于该文件在MFT中的位置。文件顺序号随着每次文件记录的重用而增加,这是为NTFS进行内部一致性检查而设计。

NTFS使用逻辑簇号(Logical Cluster Number,LCN)和虚拟簇号(Virtual Cluster Number,VCN)来对簇进行定位。LCN表示在整个文件卷的相对位置;VCN表示文件内部的相对位置。假如一个文件占用n个簇,那么这些簇的VCN就是从0到n-1。

文件管理系统按照簇的大小来读写数据。不论文件大小,每次读写的都是指定的簇。绝大多数文件不会刚好等于簇或簇的整数倍。因而会有一些空间目前没有使用,对于删除的数据中,极有可能含有之前被删除文件的碎片。该区域就是空闲空间(Slack Space),它也是取证过程需要关注的范围。

2 信息采集

对NTFS文件系统环境的磁盘进行数据采集,主要涉及元数据和普通文件的读取、空闲空间碎片文件的整合以及删除文件的恢复等几个主要技术,整体架构如图3所示。

描述磁盘扇区的数据结构:

2.1 硬盘扇区的读取

每个分区信息表项占16字节,后4个字节为本分区使用的扇区数,第五个字节表示分区类型。读取$Bitmap文件,查找数据文件相对应的标示位。如果标示位都为1,表示已分配使用,如果标示位为0,则有可能含有隐藏信息,需要进行后面的恢复工作。

获得磁盘的句柄后,读取磁盘的引导扇区中的BPB参数,可以获得NFTFS_DBR数据结构里StartCluster$MFT,SectorPerCluster,BytesPerSector等成员信息。

用CreateFile打开".PhysicalDrive0"得到对应硬盘的一个句柄。当要操作的是分区内的某些扇区时,通过SetFilePointer()函数以文件操作的方式把指针移到要操作的磁盘扇区开始处。在定位到要访问的扇区开始位置后就可以通过ReadFile()或WriteFile()函数实施相应的读写访问了,具体操作与文件读写并没有什么太大的差别。最后,在完成访问操作后以CloseHandle()关闭文件句柄释放资源,从而完成一次完整的磁盘扇区数据访问操作,元数据是首先读取的区域,关键代码如下:

2.2 硬盘扇区的恢复和数据收集

NTFS5利用LCN和VCN构建的综合索引中包含了具有某一特征类型的多个分类项,并使用一种高效的存储机制以便于快速查找。索引过程按目录项名称分类并将这些项按照B+树(允许在树的每个节点中存储多个关键字)的结构保存。而空闲空间主要分目录区和数据区两类。面对空闲空间大量碎片进行重构是单调而繁琐的工作。对于普通文件,定位$Data属性进行分析,若其为常驻的,则直接进行恢复操作;若其为非常驻的,定位实际的LCN号。实现的搜索和恢复的部分关键代码如下:

3 结语

计算机证据被誉为信息社会的证据之王,但其内容是不能直接感知的电磁信息,不存在有形的物理外观,如果遭遇删除、修改,很难发现。在国内,有关计算机取证方面的研究和实践才刚起步,计算机取证工具的评价标准尚未建立[5]。目前的取证分析工具倾向于同时具有数据收集和分析的功能。在NTFS文件系统环境里的磁盘数据取证研究工作初步实现了信息收集模块,其功能的丰富和算法性能的优化是进一步的方向。

摘要：分析了NTFS文件系统的物理结构和逻辑框架,提出了计算机取证软件的开发需要先解决元数据的读取和碎片文件的恢复等问题,并编程实现了信息收集模块,为计算机取证软件的设计提供了一种方案。

关键词：NTFS,计算机取证,文件系统,数据恢复

参考文献

[1]胡亮,王文博,赵阔,等.计算机取证综述[J].吉林大学学报(信息科学版),2010(,4).

[2]Brian Carrier.File System Forensic Analysis[M].Boston:Addison Wesley Professional,2005.

[3]戴士剑,涂彦晖.数据恢复技术[M].第2版.北京:电子工业出版社,2006.

[4]王强.Windows平台下磁盘数据恢复技术的研究与实现[D].成都:四川师范大学,2008.