1. 背景

http://stackoverflow.com/q/20418694/941650

这里面临的一个核心问题是,如果MFT Reference相等,能够表明这些记录代表的是同一个文件吗?

对于这个问题,我们可以采取实验的方式来验证。

2. 实验环境

在实验设备Windows 7操作系统下,D盘是NTFS格式,而且打开了UsnJrnl功能。

使用fsutil usn工具来获取到关于UsnJrnl的信息:

   1: C:\Windows\system32>fsutil usn

   2: ---- USN Commands Supported ----

   3:  

   4: createjournal   Create a USN journal

   5: deletejournal   Delete a USN journal

   6: enumdata        Enumerate USN data

   7: queryjournal    Query the USN data for a volume

   8: readdata        Read the USN data for a file

   1: C:\Windows\system32>fsutil usn queryjournal D:

   2: Usn Journal ID   : 0x01cd6ad7d5cd624e

   3: First Usn        : 0x0000000028100000

   4: Next Usn         : 0x000000002a38bc50

   5: Lowest Valid Usn : 0x0000000000000000

   6: Max Usn          : 0x7fffffffffff0000

   7: Maximum Size     : 0x0000000002000000

   8: Allocation Delta : 0x0000000000400000

   1: fsutil usn readdata 1 0 0x7fffffffffff0000 D:

3. 实验

1. 创建一个文档daniel.txt

   1: File Ref#       : 0x00050000000c6c3f

   2: ParentFile Ref# : 0x0005000000000005

   3: Usn             : 0x000000002a38a7c8

   4: SecurityId      : 0x00000000

   5: Reason          : 0x00000000

   6: Name (020)      : daniel.txt

可以看到它的File Ref为

File Ref#       : 0x00050000000c6c3f

里面分解为更新号0x0005以及Mft Reference号0x0000000c6c3f

将daniel.txt文件删除后,

   1: File Ref#       : 0x00050000000c6c3f

   2: ParentFile Ref# : 0x003c00000000002a

   3: Usn             : 0x000000002a38afa0

   4: SecurityId      : 0x00000000

   5: Reason          : 0x00000000

   6: Name (024)      : $R2QW90X.txt

仍然可以找到这个文件的记录,因为只是放到了回收站而已。

再在相同的位置创建一个同名的文件

   1: File Ref#       : 0x00040000000c6c43

   2: ParentFile Ref# : 0x0005000000000005

   3: Usn             : 0x000000002a38b050

   4: SecurityId      : 0x00000000

   5: Reason          : 0x00000000

   6: Name (020)      : daniel.txt

可以看到这时文件名和位置虽然一致,但是File Reference号已经不同了。

我们到回收站里将daniel.txt复原,

选择覆盖,

   1: File Ref#       : 0x00050000000c6c3f

   2: ParentFile Ref# : 0x0005000000000005

   3: Usn             : 0x000000002a38b3c0

   4: SecurityId      : 0x00000000

   5: Reason          : 0x00000000

   6: Name (020)      : daniel.txt

这时的记录就和刚刚创建的时候一致了。

我们这次将daniel.txt完成删除(不放到回收站里),再创建一个同名的文件

   1: File Ref#       : 0x00040000000c6c48

   2: ParentFile Ref# : 0x0005000000000005

   3: Usn             : 0x000000002a38cf48

   4: SecurityId      : 0x00000000

   5: Reason          : 0x00000000

   6: Name (020)      : daniel.txt

这回记录不一样了,但是我们发现了下面的一条记录

   1: File Ref#       : 0x00060000000c6c3f

   2: ParentFile Ref# : 0x0005000000000005

   3: Usn             : 0x000000002a38bbf0

   4: SecurityId      : 0x00000000

   5: Reason          : 0x00000000

   6: Name (034)      : journal_dump4.txt

可见,MFT表里的位置是很珍贵的,不能随便浪费,因此会不断地复用。

所以添加了一个更新号来区分究竟是不是同一个文件,只有当File Reference整体都相同时,才有可能是同一个文件。

NTFS文件系统的UsnJrnl对于FileReference的处理的更多相关文章

  1. NTFS文件系统详细分析

    NTFS文件系统详细分析 第一部分 什么是NTFS文件系统 想要了解NTFS,我们首先应该认识一下FAT.FAT(File   Allocation   Table)是“文件分配表”的意思.对我们来说 ...

  2. linux如何编译安装新内核支持NTFS文件系统?(以redhat7.2x64为例)

    内核,是一个操作系统的核心.它负责管理系统的进程.内存.设备驱动程序.文件和网络系统,决定着系统的性能和稳定性.Linux作为一个自由软件,在广大爱好者的支持下,内核版本不断更新.新的内核修订了旧内核 ...

  3. 详解NTFS文件系统

    一.分析NTFS文件系统的结构 当用户将硬盘的一个分区格式化为NTFS分区时,就建立了一个NTFS文件系统.NTFS文件系统同FAT32文件系统一样,也是用“簇”为存储单位,一个文件总是占用一个或多个 ...

  4. linux权限及ntfs文件系统权限的知识

    关于ntfs权限的问题 文件的权限: [-dcbps][u:rwx][g:rwx][a:rwx] 当中: r=4, w=2, x=1,  u=owner, g=group, a=all user   ...

  5. NTFS 文件系统解析

    1. windows 下磁盘文件读写 下面是读取D:\磁盘上的第0扇区 512 Bytes CreateFile()打开磁盘,获取文件句柄: SetFilePointer()设置读写的位置: Read ...

  6. Linux系统挂载NTFS文件系统

     今天尝试并成功的将一块500G的移动硬盘挂载到了RHEL5的系统上,甚感欣慰.想到也许以后自己或其他同学们会有类似经历,于是尽量细致的记录于此.     无论是一块安装了Windows/Linu ...

  7. 1-18 编译安装内核支持ntfs文件系统

    大纲: 源码编译Linux内核 使用Linux内核模块 实战:编译一个NTFS内核模块,实现Linux挂载NTFS文件系统并实现读写功能 =============================== ...

  8. redhat6.5安装ntfs-3g rpm来支持ntfs文件系统挂载

    linux安装ntfs-3g模块来支持ntfs文件系统挂载 所需包 fuse-2.9.3.tar.gz ntfs-3g_ntfsprogs-2011.4.12.tgz step1. 解压fuse-2. ...

  9. 使用QFileInfo类获取文件信息(在NTFS文件系统上,出于性能考虑,文件的所有权和权限检查在默认情况下是被禁用的,通过qt_ntfs_permission_lookup开启和操作。absolutePath()必须查询文件系统。而path()函数,可以直接作用于文件名本身,所以,path() 函数的运行会更快)

    版权声明:本文为博主原创文章,未经博主允许不得转载. https://blog.csdn.net/Amnes1a/article/details/65444966QFileInfo类为我们提供了系统无 ...

随机推荐

  1. eclipse新建maven项目出错 pom.xml报错

    问题: 1.新建项目后会提示一个这样的错 maven-compiler-plugin:3.1:compile(1 errors) maven-compiler-plugin:3.1:testCompi ...

  2. P2737 [USACO4.1]麦香牛块Beef McNuggets

    题目描述 农夫布朗的奶牛们正在进行斗争,因为它们听说麦当劳正在考虑引进一种新产品:麦香牛块.奶牛们正在想尽一切办法让这种可怕的设想泡汤.奶牛们进行斗争的策略之一是“劣质的包装”.“看,”奶牛们说,“如 ...

  3. 对于nginx配置文件中的fastcgi_param相关参数的理解

    今天在ubuntu中搭建LNMP的时候,遇到了一个问题 在浏览器中访问.php文件的时候,nginx不能正常解析,页面只是空白,后来百度了一下,发现了问题 在nginx的配置文件nginx.conf中 ...

  4. 【问题解决方案】在Markdown中生成可以跳转到正文的目录的方法

    背景: 一篇博文比较长时,有目录会更方便更一目了然 这里介绍一下使用生成跳转目录的格式 注:GFM即github flavoured markdown 格式 <!-- GFM-TOC --> ...

  5. 基于英伟达Jetson TX1的GPU处理平台

    基于英伟达Jetson TX1 GPU的HDMI图像输入的深度学习套件 [309] 本平台基于英伟达的Jetson TX1视觉计算的全功能开发板,配合本公司研发的HDMI输入图像采集板:Jetson ...

  6. 从1<2<3的语法糖说起

    python有一个很有意思的语法糖你可以直接写1<2<3. 这复合我们通常意义上的数学不等式,但对学过C等语言其实是有疑惑的. 我们知道不等式返回的其实是个Bool值,在C中是1,0因此C ...

  7. 01.基础架构:一条SQL查询语句是如何执行的?学习记录

    01.基础架构:一条SQL查询语句是如何执行的?学习记录http://naotu.baidu.com/file/1c8fb5a0f2497c3a2655fed89099cb96?token=ff25d ...

  8. LINUX Mysql5.6.19 安装

    1.需要扩展安装 yum -y install make bison gcc-c++ cmake ncurses ncurses-devel 2.下载Mysql5.6.19 wget ftp://mi ...

  9. Redis服务器中有75%受到恶意软件感染

    尽管由于配置错误的服务器和应用程序而导致新的网络攻击不断出现,但人们仍然忽略安全警告. 近两个月前,中国知名黑客组织东方联盟研究人员警告说,一项针对开放Redis服务器的大规模恶意软件活动现在已经发展 ...

  10. vagrant(一)初识与安装

    链接:https://pan.baidu.com/s/1I2RNMNq9G-P4k42-U1Jjtw (这里有需要准备的安装包以及镜像文件,也可自己去官网下载)提取码:jis8 安装VirtualBo ...