分析NTFS文件系统得到特定文件的内容

找某一个文件的内容（如要读取文件D:\dir\dir2\text.txt，具体步骤如下：
（1）读取分区表/分区链表信息，找到磁盘F的起始扇区。
（2）读取D盘的第一个扇区（分区的BOOTSETOR）取得分区的每簇大小，MFT表起始簇号等信息。
（3）读取MFT表的第五个记录（根目录）找到目录索引所在簇号。
（4）读取根目录索引，查找dir目录所在的MFT记录号
（5）读取dir目录的MFT记录，找到目录索引所在簇号。
（6）读取dir目录的索引，查找dir2目录所在MFT记录号
（7）读取dir2目录的MFT记录，找到目录索引所在簇号。
（8）读取dir2目录的索引，查找test.txt 所在MFT记录号
（9）读取test.txt文件的MFT记录，找到它的DATA属性。
（10）根据DATA属性中指定的文件数据存放位置读取出test.txt文件的数据。

 下面我们借助工具Winhex来找到D:\dir\dir2\text.txt的内容

1.读取分区表/分区链表信息，找到磁盘F的起始扇区。

打开磁盘0号扇区

红线部分是D分区的信息，蓝色方框内是D分区的物理起始扇区 0XEA58BC。

2.读取D盘的第一个扇区（分区的BOOTSETOR）取得分区的每簇大小，MFT表起始簇号等信息。

打开物理扇区号为0XEA58BC的扇区，如下图，红线是每簇的扇区数（0X1，每簇一个扇区）；

蓝线部分是$MFT的逻辑簇号（0X00 00 00 00 02 0A F3，是相对于D分区开始的簇号）

紫线部分是一个MFT记录所占的簇数（0X00 00 00 02）

3.读取MFT表的第五个记录（根目录）找到目录索引所在簇号。

打开$MFT表，相对于D分区的簇号是0X00 00 00 00 02 0A F3，相对于整个磁盘的簇号是 0XEA58BC + 0X00 00 00 00 02 0A F3 = 0XEC63AF。

因为从D分区第一个扇区得到每簇扇区数是1，所以$MFT在D分区的偏移是0X020AF3扇区。

每个MFT记录所占簇数是2，根目录是MFT中的第5个记录（记录从0开始的），根目录的MFT记录项所在的簇数是 0X020AF3 + 5 * 2 = 0X20AFD，

所在扇区数是 0X20AFD *每簇扇区数1 = 0X20AFD

4.读取根目录索引，查找dir目录所在的MFT记录号

打开D分区偏移扇区0X20AFD，找到属性0X90，在0415FB80一行，偏移0X08是0X01，说明是非常驻属性，得到Data run, 31 08 BB 10 03,即在D分区偏移簇数0X0310BB，长度是0X8簇。

查看D分区偏移簇号0X0310BB，会看到根目录下的索引项，其中可看到$AttrDef,$BadClus,$Bitmap,$Boot等系统文件的索引项。

找到dir的索引项，如下图，红框部分是本索引项的名称dir。前8字节是文件的MFT索引记录号（好像只用到前4个字节，0X0375）

5.读取dir目录的MFT记录，找到目录索引所在簇号。

下面计算dir 的MFT表项在$MFT中的簇号：

一个MFT表项占两个簇，第0X0375项是相对于$MFT的第0X0375*2= 0X6EA簇，也就是相对于D分区的第 0X02 0A F3 + 0X6EA = 0X211DD簇（扇区是0X211DD）

6.读取dir目录的索引，查找dir2目录所在MFT记录号

打开扇区0X211DD，如下图，

0423BB00一行，偏移0位置是0X00，说明是常驻属性，从紫色框中得到dir2的MFT记录项的记录号是0X0376

7.读取dir2目录的MFT记录，找到目录索引所在簇号。

现在来确定dir2的MFT记录项所在的簇数

$MFT开始簇数 + 0X0376*每记录簇数

0X020AF3 + 0X0376 *2 = 0X211DF

8.读取dir2目录的索引，查找test.txt 所在MFT记录号

打开D分区偏移 0X211DF 簇

可看到test.txt 的MFT记录号是 0X0377

9.读取test.txt文件的MFT记录，找到它的DATA属性。

得到test.txt 的MFT记录项在D分区的偏移簇号

=$MFT表的偏移簇数 + test.txt记录号*每MFT记录簇数 

=0X020AF3 + 0X0377 *2 

= 0X211E1(簇号)

= 0X211E1(扇区号)

打开0X211E1(扇区号)：

从0x30文件名属性可以看到test.txt的文件名。

0X80数据属性中可以得到文件内容

10.根据DATA属性中指定的文件数据存放位置读取出test.txt文件的数据。

从0X80数据属性中可以知道此属性是常驻属性，直接看到test.txt的文件内容，“This is test for NTFS!”.

另外，如果我继续向test.txt 写入数据，DATA属性中的数据会增加，下图中红线之间的数据是后来增加的。

但是当文件内容在增多时，0X80数据属性从常驻属性改为非常驻属性，文件内容不会直接存储在此属性中，而是其他簇中，根据Data run可以定位到。

OX80数据属性；0X01说明是非常驻属性；

Data run，31 02 4C 0D 01;说明内容从分区偏移簇号0X010D4C开始，长度是0X02个簇。

打开簇号是0X010D4C的扇区，可以看到test.txt的文件内容：

（本文如有错误，请指正，多谢！）