1. 背景

http://stackoverflow.com/q/20418694/941650

这里面临的一个核心问题是,如果MFT Reference相等,能够表明这些记录代表的是同一个文件吗?

对于这个问题,我们可以采取实验的方式来验证。

2. 实验环境

在实验设备Windows 7操作系统下,D盘是NTFS格式,而且打开了UsnJrnl功能。

使用fsutil usn工具来获取到关于UsnJrnl的信息:

   1: C:\Windows\system32>fsutil usn

   2: ---- USN Commands Supported ----

   3:  

   4: createjournal   Create a USN journal

   5: deletejournal   Delete a USN journal

   6: enumdata        Enumerate USN data

   7: queryjournal    Query the USN data for a volume

   8: readdata        Read the USN data for a file

   1: C:\Windows\system32>fsutil usn queryjournal D:

   2: Usn Journal ID   : 0x01cd6ad7d5cd624e

   3: First Usn        : 0x0000000028100000

   4: Next Usn         : 0x000000002a38bc50

   5: Lowest Valid Usn : 0x0000000000000000

   6: Max Usn          : 0x7fffffffffff0000

   7: Maximum Size     : 0x0000000002000000

   8: Allocation Delta : 0x0000000000400000

   1: fsutil usn readdata 1 0 0x7fffffffffff0000 D:

3. 实验

1. 创建一个文档daniel.txt

   1: File Ref#       : 0x00050000000c6c3f

   2: ParentFile Ref# : 0x0005000000000005

   3: Usn             : 0x000000002a38a7c8

   4: SecurityId      : 0x00000000

   5: Reason          : 0x00000000

   6: Name (020)      : daniel.txt

可以看到它的File Ref为

File Ref#       : 0x00050000000c6c3f

里面分解为更新号0x0005以及Mft Reference号0x0000000c6c3f

将daniel.txt文件删除后,

   1: File Ref#       : 0x00050000000c6c3f

   2: ParentFile Ref# : 0x003c00000000002a

   3: Usn             : 0x000000002a38afa0

   4: SecurityId      : 0x00000000

   5: Reason          : 0x00000000

   6: Name (024)      : $R2QW90X.txt

仍然可以找到这个文件的记录,因为只是放到了回收站而已。

再在相同的位置创建一个同名的文件

   1: File Ref#       : 0x00040000000c6c43

   2: ParentFile Ref# : 0x0005000000000005

   3: Usn             : 0x000000002a38b050

   4: SecurityId      : 0x00000000

   5: Reason          : 0x00000000

   6: Name (020)      : daniel.txt

可以看到这时文件名和位置虽然一致,但是File Reference号已经不同了。

我们到回收站里将daniel.txt复原,

选择覆盖,

   1: File Ref#       : 0x00050000000c6c3f

   2: ParentFile Ref# : 0x0005000000000005

   3: Usn             : 0x000000002a38b3c0

   4: SecurityId      : 0x00000000

   5: Reason          : 0x00000000

   6: Name (020)      : daniel.txt

这时的记录就和刚刚创建的时候一致了。

我们这次将daniel.txt完成删除(不放到回收站里),再创建一个同名的文件

   1: File Ref#       : 0x00040000000c6c48

   2: ParentFile Ref# : 0x0005000000000005

   3: Usn             : 0x000000002a38cf48

   4: SecurityId      : 0x00000000

   5: Reason          : 0x00000000

   6: Name (020)      : daniel.txt

这回记录不一样了,但是我们发现了下面的一条记录

   1: File Ref#       : 0x00060000000c6c3f

   2: ParentFile Ref# : 0x0005000000000005

   3: Usn             : 0x000000002a38bbf0

   4: SecurityId      : 0x00000000

   5: Reason          : 0x00000000

   6: Name (034)      : journal_dump4.txt

可见,MFT表里的位置是很珍贵的,不能随便浪费,因此会不断地复用。

所以添加了一个更新号来区分究竟是不是同一个文件,只有当File Reference整体都相同时,才有可能是同一个文件。

NTFS文件系统的UsnJrnl对于FileReference的处理的更多相关文章

  1. NTFS文件系统详细分析

    NTFS文件系统详细分析 第一部分 什么是NTFS文件系统 想要了解NTFS,我们首先应该认识一下FAT.FAT(File   Allocation   Table)是“文件分配表”的意思.对我们来说 ...

  2. linux如何编译安装新内核支持NTFS文件系统?(以redhat7.2x64为例)

    内核,是一个操作系统的核心.它负责管理系统的进程.内存.设备驱动程序.文件和网络系统,决定着系统的性能和稳定性.Linux作为一个自由软件,在广大爱好者的支持下,内核版本不断更新.新的内核修订了旧内核 ...

  3. 详解NTFS文件系统

    一.分析NTFS文件系统的结构 当用户将硬盘的一个分区格式化为NTFS分区时,就建立了一个NTFS文件系统.NTFS文件系统同FAT32文件系统一样,也是用“簇”为存储单位,一个文件总是占用一个或多个 ...

  4. linux权限及ntfs文件系统权限的知识

    关于ntfs权限的问题 文件的权限: [-dcbps][u:rwx][g:rwx][a:rwx] 当中: r=4, w=2, x=1,  u=owner, g=group, a=all user   ...

  5. NTFS 文件系统解析

    1. windows 下磁盘文件读写 下面是读取D:\磁盘上的第0扇区 512 Bytes CreateFile()打开磁盘,获取文件句柄: SetFilePointer()设置读写的位置: Read ...

  6. Linux系统挂载NTFS文件系统

     今天尝试并成功的将一块500G的移动硬盘挂载到了RHEL5的系统上,甚感欣慰.想到也许以后自己或其他同学们会有类似经历,于是尽量细致的记录于此.     无论是一块安装了Windows/Linu ...

  7. 1-18 编译安装内核支持ntfs文件系统

    大纲: 源码编译Linux内核 使用Linux内核模块 实战:编译一个NTFS内核模块,实现Linux挂载NTFS文件系统并实现读写功能 =============================== ...

  8. redhat6.5安装ntfs-3g rpm来支持ntfs文件系统挂载

    linux安装ntfs-3g模块来支持ntfs文件系统挂载 所需包 fuse-2.9.3.tar.gz ntfs-3g_ntfsprogs-2011.4.12.tgz step1. 解压fuse-2. ...

  9. 使用QFileInfo类获取文件信息(在NTFS文件系统上,出于性能考虑,文件的所有权和权限检查在默认情况下是被禁用的,通过qt_ntfs_permission_lookup开启和操作。absolutePath()必须查询文件系统。而path()函数,可以直接作用于文件名本身,所以,path() 函数的运行会更快)

    版权声明:本文为博主原创文章,未经博主允许不得转载. https://blog.csdn.net/Amnes1a/article/details/65444966QFileInfo类为我们提供了系统无 ...

随机推荐

  1. hdu 6301 Distinct Values (思维+set)

    hdu 6301 Distinct Values 题目传送门 题意: 给你m个区间,让你求出一个长度为n的区间且满足在这些区间的数不重复, 并且要求字典序最小 思路: 如果我们已经求出这个序列了,你会 ...

  2. JavaScript的变量作用域

    <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/ ...

  3. elasticsearch 基础 —— Jion父子关系

    前言 由于ES6.X版本以后,每个索引下面只支持单一的类型(type),因此不再支持以下形式的父子关系: PUT /company { "mappings": { "br ...

  4. Spring Boot 项目 Maven 配置

    在配置基于Maven的Spring Boot项目的过程中,打包运行出现了一系列错误. 比如: mvn 中没有主清单属性.java.lang.NoClassDefFoundError: org/spri ...

  5. 微信小程序(6)--获取屏幕宽度及弹窗滚动与页面滚动冲突

    1.获取屏幕宽度,并赋值给view <view class="ships-img" style="height:{{windowWidth}}px;"&g ...

  6. Java疯狂讲义笔记——枚举类

    枚举类 ——Java5[基础知识]1,定义枚举类——关键字 enum (地位与class.interface相同).2,枚举类是一个特殊的类,可以有成员变量.方法,实现一个或多个接口,定义自己的构造器 ...

  7. Git 协作:Fetch Pull Push Branch Remote Rebase Cherry-pick相关

    前言 学习git的时候,我们首先学习的是最常用的,自己独立开发Software时用的命令: git init //初始化git仓库 git add <file_name> //将文件添加到 ...

  8. java pravite关键字的使用

    package java04; /* * 问题描述:定义Person的年龄时,无法阻止不合理的数值设置进来 * 解决方案:用private关键字将需要保护的成员变量进行修饰 * * 一旦使用了priv ...

  9. mongdb 副本集的原理、搭建、应用

    在了解了这篇文章之后,可以进行该篇文章的说明和测试.MongoDB 副本集(Replica Set)是有自动故障恢复功能的主从集群,有一个Primary节点和一个或多个Secondary节点组成.类似 ...

  10. bzoj1004 [HNOI2008]Cards Burnside 引理+背包

    题目传送门 https://lydsy.com/JudgeOnline/problem.php?id=1004 题解 直接 Burnside 引理就可以了. 要计算不动点的个数,那么对于一个长度为 \ ...