NTFS: Анализ Структуры Данных Файловой Системы

Анализ структуры данных файловой системы NTFS поможет вам понять, как устроена эта система хранения информации. В нашей статье мы разберем основные принципы и компоненты NTFS, чтобы вы смогли лучше понимать ее работу и обеспечить безопасность ваших данных.

NTFS: Анализ Структуры Данных Файловой Системы

Что такое NTFS

Файловая система NTFS была разработанная компанией Microsoft с чистого листа для использования в новой операционной системе Windows NT. NTFS должна была заменить собой устаревшую на тот момент файловую систему FAT, многочисленные ограничения которой не позволяли организовать работу в действительно многопользовательской и многозадачной системе.

Перейти к просмотру
Восстановление данных после удаления или создания новых разделов 📁🔥⚕️

Восстановление данных после удаления или создания новых разделов 📁🔥⚕️

Разработчики NTFS поставили цель спроектировать надёжную, безопасную, расширяемую и отказоустойчивую файловую систему для HDD-дисков. Им это прекрасно удалось: файловая система получилась на редкость удачной, однако у нее есть как сильные, так и слабые стороны в сравнение с FAT.

Перейти к просмотру
Как восстановить сбойные сектора жестких дисков программой HDD Regenerator ⚕️💻👨‍💻

Как восстановить сбойные сектора жестких дисков программой HDD Regenerator ⚕️💻👨‍💻

Все данные – файлы

В файловой системе FAT ни одну часть данных нельзя было назвать «файлом» в полном смысле этого слова. Концепция NTFS была полностью переработана. В архитектуре NTFS все данные, включая служебные структуры самой файловой системы, универсально представлены в виде файлов. Более того: в NTFS даже сама файловая система представлена в виде отдельных файлов!

Перейти к просмотру
Как исправить RAW диск и восстановить данные HDD с RAW разделами 💻⚕️🛠️

Как исправить RAW диск и восстановить данные HDD с RAW разделами 💻⚕️🛠️

В виде файлов хранятся и административные данные базовой файловой системы – те самые данные, которые в других файловых системах находятся в скрытых областях по фиксированному адресу. В NTFS нет нужды резервировать какие-то особые области под файловые таблицы, таблицу разделов или журнал транзакций: они хранятся в виде обычных файлов и могут физически располагаться в любом месте тома.

При необходимости эти файлы могут менять свой размер (в частности, файловые таблицы заметно «распухают» при хранении на томе большого числа файлов), при этом системой используются стандартные механизмы, предусмотренные для работы с файлами. Если не будет непрерывного участка для хранения данных файловой системы – ничего страшного: файл будет фрагментирован (сохранён в виде нескольких фрагментов в разных частях диска).

Описанная концепция является основополагающим принципом NTFS. В отличие от других файловых систем, в NTFS нет жёстко заданной структуры. В ней нет, как в FAT, раздельных областей для системных структур, файловых таблиц и собственно данных. В NTFS вся файловая система считается областью данных, поэтому любой файл может быть сохранён в любом секторе тома. Единственным неизбежным исключением являются загрузочный сектор и загрузочный код, расположенные в первых секторах тома.

Файловая таблица MFT

NTFS хранит информацию о файлах и каталогах в главной файловой таблице MFT. Эта таблица содержит информацию обо всех файлах и каталогах. Каждому файлу или каталогу соответствует как минимум одна запись. Формат записей MFT исключительно прост. Размер записи составляет 1 КБ, при этом первые 42 байта заголовка имеют жёстко заданное предназначение. Остальное пространство используется для хранения атрибутов – например, имени файла и системных атрибутов. Уникальной является возможность сохранения небольших файлов непосредственно в MFT. В этом случае файл хранится в виде атрибута.

Структура записи MFT

Рис. 1. Структура записи MFT, включающая заголовок и три атрибута.

Формат записи MFT

Формально размер записи MFT определяется переменной в загрузочном секторе. Однако все существующие версии Microsoft Windows используют записи размером 1024 байт. В начале записи расположен заголовок размером 42 байта, который содержит 12 полей. Остальные 982 байта не имеют фиксированной структуры и используются для хранения атрибутов.

Формат записи MFT чрезвычайно прост и очень удобен как для быстрой работы операционной системы, так и для поиска удалённых файлов. Фактически запись MFT представляет с собой небольшую ячейку, позволяющую положить в неё всё, что угодно – но в пределах её размера (982 байта). Начало записи зарезервировано для «этикетки», позволяющей корректно идентифицировать и адресовать ячейку.

Адреса записей MFT

Записи MFT адресуются в 48-битной системе, при этом первой записи соответствует нулевой адрес. Адрес последней (максимальной) записи изменяется по мере расширения MFT. Его можно измерить, разделив размер файла $MFT на размер каждой записи. Учитывая, что размер записи в Windows – ровно 1 КБ, данная операция не представляет проблемы.

Записи MFT пронумерованы. Каждой записи соответствует 16-разрядный порядковый номер. При создании новой записи этот номер автоматически увеличивается.

К примеру, рассмотрим запись MFT 313 с порядковым номером 1. При удалении файла, которому была выделена эта запись, и выделении записи другому файлу записи MTF будет выделен новый порядковый номер 2.

Адрес файла формируется следующим образом. Адрес записи MFT объединяется с порядковым номером, занимающим старшие 16 бит. Таким образом формируется уникальный 64-разрядный базовый адрес файла.

Базовый адрес файла

Рис. 2. Базовый адрес файла формируется объединением адреса записи MFT и её порядкового номера.

Для обращения к записям MFT в файловой системе NTFS используется порядковый номер записи. Использование уникального порядкового номера записи предоставляет и дополнительное удобство: оно упрощает выявление повреждений файловой системы. К примеру, если сбой происходит на этапе выделения структур данных для нового файла, то по порядковому номеру записи MFT можно будет определить, какому файлу принадлежит данная запись – новому или предыдущему. Соответственно, порядковый номер используют программы для восстановления данных NTFS.

Атрибуты записей MFT

NTFS – уникальная файловая система, не имеющая, в отличие от FAT, жёстко заданной структуры записей. Каждая запись MFT минимально структурирована. Есть заголовок, и есть место для хранения разнообразных атрибутов. Причём атрибутом может быть практически всё, что угодно – дата, время, имя файла и так далее – вплоть до собственно содержимого файла!

Атрибуты могут хранить самую разнообразную информацию. Понятно, что разные типы информации могут быть записаны в разных форматах и занимать больше или меньше места в записи.

Запись MFT

Рис. 3. Пример записи MFT с заголовком записи, двумя атрибутами и неиспользуемой областью.

Итак, атрибуты могут содержать любую информацию. Но у каждого атрибута есть универсальная часть: заголовок. Формат заголовка стандартизован и одинаков для всех атрибутов. А вот содержимое атрибута может быть произвольной формы и размера.

В статье «Алгоритм восстановления данных с раздела NTFS» мы рассмотрим процесс поиска и восстановления удаленного файла.

Michael Miroshnichenko

Автор: , Технический писатель

Мирошниченко Михаил – одни из ведущих программистов в Hetman Software. Опираясь на пятнадцатилетний опыт разработки программного обеспечения он делится своими знаниями с читателями нашего блога. По мимо программирования Михаил является экспертом в области восстановления данных, файловых систем, устройств хранения данных, RAID массивов.

Andrey Mareev

Редактор: , Технический писатель

В далеком 2005 году, я получил диплом по специальности «Прикладная математика» в Восточноукраинском национальном университете. А уже в 2006 году, я создал свой первый проект по восстановлению данных. С 2012 года, начал работать в компании «Hetman Software», отвечая за раскрутку сайта, продвижение программного обеспечения компании, и как специалист по работе с клиентами.

  • Оценок:
  • 16
  • /
  • :

Поделиcь

Вопросы и ответы

  • Как происходит наследование разрешений NTFS?

    NTFS использует систему наследования разрешений, которая позволяет автоматически наследовать разрешения для каталогов и файлов. Наследование разрешений означает, что разрешения, установленные для корневого каталога, автоматически наследуются для всех подкаталогов и файлов. Таким образом, администратору не нужно устанавливать разрешения для каждого файла и подкаталога.

  • Чем заменить NTFS?

    NTFS можно заменить на другие файловые системы, такие как exFAT, FAT32, HFS+, UDF или ext4.

  • Что такое права NTFS как они работают?

    NTFS-права - это механизм контроля доступа в файловой системе NTFS. Они позволяют администраторам и пользователям контролировать, какие пользователи имеют доступ к файлам, папкам и другим объектам. Права NTFS обычно разделены на четыре группы: чтение, запись, исполнение и изменение. Каждая группа может быть разрешена или запрещена для определенных пользователей.

  • Для чего используются разрешения NTFS?

    NTFS (New Technology File System) является файловой системой, которая используется для хранения и организации файлов на жестких дисках Windows. Она предоставляет права доступа, которые позволяют контролировать, кто может просматривать, изменять, добавлять или удалять файлы и папки. Эти разрешения также могут быть использованы для ограничения функциональности приложений.

  • Для чего служит файловая структура?

    Файловая структура используется для организации данных на компьютере. Она определяет, как файлы и папки будут расположены на жестком диске, что позволяет пользователям легко находить и управлять файлами.

Комментарии (16)

  • Вячеслав
    Вячеслав 21.04.2021 07:21 #
    Добрый день! Подскажите возможно ли откатиться к старой файловой системе по номеру MFT после изменения файловой структуры командой chkdsk.
    Ответить
    • Michael Miroshnichenko
      Michael Miroshnichenko 10.03.2023 13:22 #
      Нет, не возможно откатиться к старой файловой системе по номеру MFT после изменения файловой структуры командой chkdsk. Команда chkdsk используется для проверки и исправления ошибок в файловой системе, таких как поврежденные файлы, отсутствующие ссылки и т. д.
      Ответить
  • Марго
    Марго 13.07.2015 00:31 #
    У меня недавно полетел жесткий диск, причем некоторые файлы открывались. Восстановление системы не помогло. Пришлось искать программы для восстановления данных. Помогла программа Hetman Data Recovery Pack, ф она не только восстановил мне данные, но и выявила ошибки, которые, как потом оказалось и повлияли на сбой в жестком диске.
    Ответить
  • Роман
    Роман 7.07.2015 00:42 #
    У знакомого как раз полетел жесткий диск, сейчас ему скину ссылку на данную статью. Думаю, что она поможет ему разобраться. А проблема собственно в том что данные не отображаются на диске и сам диск не показывает на индикаторе, что он подключен. Вопрос состоит в том, можно ли прочитать данные с не рабочего жесткого диска? Жаль, что в данной статье не указаны программные продукты, позволяющие сделать это.
    Ответить
    • Таисия
      Таисия 12.07.2015 01:26 #
      Данные прочитать можно. Самый простой способ - отнесите диск в сервис, где за пару дней и несколько тысяч рублей вам восстановят данные (возможно, и не все, все зависит от повреждений и причины поломки). Есть вариант посложнее. Вам помогут программы Live CD или WinPE . При помощи последней можно выполнить огромное количество задач: и резервное копирование, и восстановление данных и т.д. С помощью первой проги записать образ на болванку, в BIOS поставить загрузку с CD и загрузиться с Live CD. В этом случае станут доступны все диски и сможете с них скопировать инфу на внешний носитель. Также есть бесплатная программка для восстановоления данных R.saver.
      Ответить
  • Ким Ермаков
    Ким Ермаков 2.07.2009 06:15 #
    Как устроена файловая система NTFS?
    Ответить
    • Hetman Software
      Hetman Software 2.07.2009 06:42 #
      NTFS (New Technology File System) является файловой системой, используемой в Microsoft Windows. Она предоставляет пользователям больше возможностей, чем другие файловые системы, такие как FAT или FAT32. NTFS использует древовидную структуру файлов, похожую на ту, что используется в Windows. Каждый файл и каталог имеет свою уникальную систему имен, что позволяет однозначно идентифицировать их. NTFS также предоставляет расширенные возможности, такие как управление правами доступа, шифрование файлов, сжатие, аудиторское контролирование и т.д.
      Ответить
  • Тимофей Петухов
    Тимофей Петухов 2.07.2009 02:11 #
    Чем характеризуется файловая система NTFS?
    Ответить
    • Hetman Software
      Hetman Software 2.07.2009 02:43 #
      NTFS (New Technology File System) - это файловая система, разработанная Microsoft для использования в Windows NT и последующих версиях. Она предоставляет много функций, включая поддержку файлов больше 4 ГБ, поддержку прав доступа, атрибуты файлов, шифрование, сжатие и многое другое.
      Ответить
  • Владлен Агафонов
    Владлен Агафонов 1.07.2009 22:04 #
    Что является преимуществом файловой системы NTFS?
    Ответить
    • Hetman Software
      Hetman Software 1.07.2009 22:34 #
      Основным преимуществом файловой системы NTFS является большая гибкость и производительность. Она позволяет разделять диск на разные разделы, что облегчает администрирование. NTFS также поддерживает права доступа, шифрование, сжатие данных, аудит, резервное копирование и т.д. Это позволяет администратору системы лучше контролировать, что происходит с файлами и папками.
      Ответить
  • Владлен Волков
    Владлен Волков 1.07.2009 19:04 #
    Где используется NTFS?
    Ответить
    • Hetman Software
      Hetman Software 1.07.2009 19:27 #
      NTFS (New Technology File System) используется в Windows для хранения, организации и предоставления доступа к файлам. Это стандартная файловая система для процессоров Intel x86 и совместимых начиная с Windows NT 3.1. NTFS также используется на некоторых редких системах, таких как OS/2 и ReactOS.
      Ответить
  • Потап Симонов
    Потап Симонов 1.07.2009 14:45 #
    Какие ОС поддерживают NTFS?
    Ответить
    • Hetman Software
      Hetman Software 1.07.2009 15:17 #
      NTFS поддерживается ОС Windows, включая Windows XP, Vista, 7, 8, 8.1, 10, Server 2003, Server 2008, Server 2012 и Server 2016. Также NTFS поддерживается на некоторых версиях Mac OS X и Linux.
      Ответить
  • Hetman Software: Data Recovery
    Hetman Software: Data Recovery 18.09.2017 10:33 #
    Если у вас остались вопросы про анализ структуры данных файловой системы NTFS, задавайте их в комментариях.
    Ответить
Оставьте комментарий
User
Оставьте ответ
Ваш электронный адрес не будет опубликован. Необходимые поля отмечены *

Рекомендуем для вас
Этот сайт использует куки для улучшения вашего опыта. Описание
Вас приветствует ассистент Hetman Software, созданный на основе искусственного интеллекта.
Начать Чат