1. 背景

http://stackoverflow.com/q/20418694/941650

这里面临的一个核心问题是,如果MFT Reference相等,能够表明这些记录代表的是同一个文件吗?

对于这个问题,我们可以采取实验的方式来验证。

2. 实验环境

在实验设备Windows 7操作系统下,D盘是NTFS格式,而且打开了UsnJrnl功能。

使用fsutil usn工具来获取到关于UsnJrnl的信息:

   1: C:\Windows\system32>fsutil usn

   2: ---- USN Commands Supported ----

   3:  

   4: createjournal   Create a USN journal

   5: deletejournal   Delete a USN journal

   6: enumdata        Enumerate USN data

   7: queryjournal    Query the USN data for a volume

   8: readdata        Read the USN data for a file

   1: C:\Windows\system32>fsutil usn queryjournal D:

   2: Usn Journal ID   : 0x01cd6ad7d5cd624e

   3: First Usn        : 0x0000000028100000

   4: Next Usn         : 0x000000002a38bc50

   5: Lowest Valid Usn : 0x0000000000000000

   6: Max Usn          : 0x7fffffffffff0000

   7: Maximum Size     : 0x0000000002000000

   8: Allocation Delta : 0x0000000000400000

   1: fsutil usn readdata 1 0 0x7fffffffffff0000 D:

3. 实验

1. 创建一个文档daniel.txt

   1: File Ref#       : 0x00050000000c6c3f

   2: ParentFile Ref# : 0x0005000000000005

   3: Usn             : 0x000000002a38a7c8

   4: SecurityId      : 0x00000000

   5: Reason          : 0x00000000

   6: Name (020)      : daniel.txt

可以看到它的File Ref为

File Ref#       : 0x00050000000c6c3f

里面分解为更新号0x0005以及Mft Reference号0x0000000c6c3f

将daniel.txt文件删除后,

   1: File Ref#       : 0x00050000000c6c3f

   2: ParentFile Ref# : 0x003c00000000002a

   3: Usn             : 0x000000002a38afa0

   4: SecurityId      : 0x00000000

   5: Reason          : 0x00000000

   6: Name (024)      : $R2QW90X.txt

仍然可以找到这个文件的记录,因为只是放到了回收站而已。

再在相同的位置创建一个同名的文件

   1: File Ref#       : 0x00040000000c6c43

   2: ParentFile Ref# : 0x0005000000000005

   3: Usn             : 0x000000002a38b050

   4: SecurityId      : 0x00000000

   5: Reason          : 0x00000000

   6: Name (020)      : daniel.txt

可以看到这时文件名和位置虽然一致,但是File Reference号已经不同了。

我们到回收站里将daniel.txt复原,

选择覆盖,

   1: File Ref#       : 0x00050000000c6c3f

   2: ParentFile Ref# : 0x0005000000000005

   3: Usn             : 0x000000002a38b3c0

   4: SecurityId      : 0x00000000

   5: Reason          : 0x00000000

   6: Name (020)      : daniel.txt

这时的记录就和刚刚创建的时候一致了。

我们这次将daniel.txt完成删除(不放到回收站里),再创建一个同名的文件

   1: File Ref#       : 0x00040000000c6c48

   2: ParentFile Ref# : 0x0005000000000005

   3: Usn             : 0x000000002a38cf48

   4: SecurityId      : 0x00000000

   5: Reason          : 0x00000000

   6: Name (020)      : daniel.txt

这回记录不一样了,但是我们发现了下面的一条记录

   1: File Ref#       : 0x00060000000c6c3f

   2: ParentFile Ref# : 0x0005000000000005

   3: Usn             : 0x000000002a38bbf0

   4: SecurityId      : 0x00000000

   5: Reason          : 0x00000000

   6: Name (034)      : journal_dump4.txt

可见,MFT表里的位置是很珍贵的,不能随便浪费,因此会不断地复用。

所以添加了一个更新号来区分究竟是不是同一个文件,只有当File Reference整体都相同时,才有可能是同一个文件。

NTFS文件系统的UsnJrnl对于FileReference的处理的更多相关文章

  1. NTFS文件系统详细分析

    NTFS文件系统详细分析 第一部分 什么是NTFS文件系统 想要了解NTFS,我们首先应该认识一下FAT.FAT(File   Allocation   Table)是“文件分配表”的意思.对我们来说 ...

  2. linux如何编译安装新内核支持NTFS文件系统?(以redhat7.2x64为例)

    内核,是一个操作系统的核心.它负责管理系统的进程.内存.设备驱动程序.文件和网络系统,决定着系统的性能和稳定性.Linux作为一个自由软件,在广大爱好者的支持下,内核版本不断更新.新的内核修订了旧内核 ...

  3. 详解NTFS文件系统

    一.分析NTFS文件系统的结构 当用户将硬盘的一个分区格式化为NTFS分区时,就建立了一个NTFS文件系统.NTFS文件系统同FAT32文件系统一样,也是用“簇”为存储单位,一个文件总是占用一个或多个 ...

  4. linux权限及ntfs文件系统权限的知识

    关于ntfs权限的问题 文件的权限: [-dcbps][u:rwx][g:rwx][a:rwx] 当中: r=4, w=2, x=1,  u=owner, g=group, a=all user   ...

  5. NTFS 文件系统解析

    1. windows 下磁盘文件读写 下面是读取D:\磁盘上的第0扇区 512 Bytes CreateFile()打开磁盘,获取文件句柄: SetFilePointer()设置读写的位置: Read ...

  6. Linux系统挂载NTFS文件系统

     今天尝试并成功的将一块500G的移动硬盘挂载到了RHEL5的系统上,甚感欣慰.想到也许以后自己或其他同学们会有类似经历,于是尽量细致的记录于此.     无论是一块安装了Windows/Linu ...

  7. 1-18 编译安装内核支持ntfs文件系统

    大纲: 源码编译Linux内核 使用Linux内核模块 实战:编译一个NTFS内核模块,实现Linux挂载NTFS文件系统并实现读写功能 =============================== ...

  8. redhat6.5安装ntfs-3g rpm来支持ntfs文件系统挂载

    linux安装ntfs-3g模块来支持ntfs文件系统挂载 所需包 fuse-2.9.3.tar.gz ntfs-3g_ntfsprogs-2011.4.12.tgz step1. 解压fuse-2. ...

  9. 使用QFileInfo类获取文件信息(在NTFS文件系统上,出于性能考虑,文件的所有权和权限检查在默认情况下是被禁用的,通过qt_ntfs_permission_lookup开启和操作。absolutePath()必须查询文件系统。而path()函数,可以直接作用于文件名本身,所以,path() 函数的运行会更快)

    版权声明:本文为博主原创文章,未经博主允许不得转载. https://blog.csdn.net/Amnes1a/article/details/65444966QFileInfo类为我们提供了系统无 ...

随机推荐

  1. CentOS7通过SpeedTest工具测速

    首先要安装SpeedTest工具,这里提供两种方法安装SpeedTest: 一.通过直接下载SpeedTest脚本,给权限运行脚本即可 [root@bogon ~]#wget -O speedtest ...

  2. 这样设计 Java 异常更优雅,赶紧学!

    来源:lrwinx.github.io/2016/04/28/如何优雅的设计java异常/ 导语 异常处理是程序开发中必不可少操作之一,但如何正确优雅的对异常进行处理确是一门学问,笔者根据自己的开发经 ...

  3. JS 自定义样式格式化日期

    Date.prototype.format = function (fmt) {             var o = {                 "M+": this. ...

  4. console.log的高级用法

    //基本用法 console.log('最常见用法\n换行'); console.error('输出错误信息 会以红色显示'); console.warn('打印警告信息 会以黄色显示'); cons ...

  5. elasticsearch 基础 —— 分布式文档存储原理

    路由一个文档到一个分片中 当索引一个文档的时候,文档会被存储到一个主分片中. Elasticsearch 如何知道一个文档应该存放到哪个分片中呢?当我们创建文档时,它如何决定这个文档应当被存储在分片  ...

  6. 【彩彩只能变身队(第七组)】Beta版本

    本篇博客包括前期博文汇总.任务墙.团队管理细节与交流细节.代码管理.Beta阶段冲刺.团队总结.用户使用报告.Postmortem报告. 服务器网址:http://47.106.227.154/ 彩彩 ...

  7. 屏幕坐标点转UGUI坐标【包含屏幕适配】

    using UnityEngine; public class ScreenToUI : MonoBehaviour { public const float UI_Width = 1366f; pu ...

  8. printcap - 打印机相容性数据库

    总览 SYNOPSIS printcap 描述 DESCRIPTION Printcap 是 termcap(5) 的簡單版, 用來描述 line printers. 當用到 spool 系統時, 一 ...

  9. 前端学习(三十六)promise(笔记)

    一个页面:  头部.用户信息.新闻列表 jquery ajax:  1.$.ajax({    url:'',    dataType:'json', }).then(res=>{    //r ...

  10. Sass:字符串函数-To-upper-case()、To-lower-case()

    1.To-upper-case() To-upper-case() 函数将字符串小写字母转换成大写字母.如: //SCSS .test { text: to-upper-case(aaaaa); te ...