WINAPI函数如何MoveFile移动文件或文件夹:它是简单地更改文件在FAT中的位置信息,还是复制数据并从磁盘上删除原始文件(换句话说,称为CopyFile)DeleteFile?如何追踪操作进度?有一个 WINAPI 函数MoveFileTransacted,但是,文档强烈建议不要使用它,但我没有找到专门用于此任务的任何替代方法。
RError.com
就在最近,我不得不研究 NTFS 结构,并为此编写了一个特殊的实用程序。在第三方软件中,我使用了WinHex,它以方便的方式显示所有图元文件,例如$MFT等。在其注册版本中,您甚至可以调用结构模板$BOOT和“FILE_RECORD” - 非常方便。但首先,为初学者提供一个小教育计划。
NTFS磁盘上的每个文件都由“FILE_RECORD”结构 (文件护照)来描述——磁盘上有多少个文件,就有多少条Record记录 (一个文件夹也被认为是一个文件)。一个条目的大小在“$BOOT”结构中指示,该结构可以在每个分区/卷的扇区(0)中找到。默认情况下,扇区大小为 512 字节,簇大小为 4096 (8 个扇区),单个 Record 的大小为 2 个扇区,即 1KB。
$MFT-主文件表用于存储所有记录记录。每个磁盘分区都有自己的$MFT。簇中指向它的指针被写入分区的 $BOOT 结构中。单独的条目“FILE_RECORD”最多可以有 16 个不同的属性,这些属性在扩展坞中列为“ATTRIBUTE” (不要与“隐藏”等操作系统文件属性混淆)。
因此,在 $MFT 表的行中,指示了文件名(在扇区开头处签名“FILE”),并在其 16 列中指示了属性。通常,记录可能有 16 个属性,而只有 3..6 个属性。这就是整体情况。
现在讨论在您自己的分区和相邻分区内移动文件的问题。为此,只需读取感兴趣的文件的记录,并比较移动之前和之后的情况。在我的代码中,我将有关记录的以下详细信息打印到控制台:
主“FILE_RECORD”结构以全局 $MFT 中记录的索引号开始。“记录状态”标志是一个位掩码:(0)记录无效并且可以重用,即 文件已删除;(1) 活动条目,(2) 该条目描述文件夹。如果磁盘上的文件夹处于活动状态,则该标志的值为 (3),如果已删除 (2)。对于文件,它始终为 1 或 0。
带有数字“更新顺序”的字段允许您搜索一条记录分布在整个磁盘上的记录,即 支离破碎。该值被缝合到扇区的最末端并且是唯一的。
在“STANDART”记录属性中,我们对“ChangeTime”字段感兴趣- 这是 $MFT 表中该记录最后一次更改的时间。NTFS 会更改该字段,例如在重命名文件时。“安全”字段存储文件安全属性,例如DACL/SACL等。
“FILE_NAME”属性已经提供了更多信息。这里是对父级“Parent”记录的引用。如果条目描述一个文件(参见第 1 点),那么父目录将始终是顶级目录,依此类推,直到我们到达分区的根目录。驻留标志指示当前条目是否在$MFT 表中=1,或者在$MFT 表之外=0。以下是我们熟悉的“隐藏、系统、存档”等操作系统属性。文件夹的Win 函数
GetFileAttribute()返回 (10h),这里是1000.0000h。现在我们在下面的屏幕截图中看到了什么?当文件在其分区内移动时,对“Parent”父级的引用在原始记录中被简单地更改,并且该记录被更改的时间立即被固定。也就是说,“lang_ru.ini”文件本身实际上保留在原来的位置!
但是,当文件移动到另一个卷时,这就是所有数据的真实副本。在这种情况下,原始信息并没有从磁盘上物理擦除,而只是在主结构“FILE_RECORD”中将状态重置为零“已删除”。请注意,这与号码 是同一个条目
#0000100916。因此,如果文件的扇区未被新扇区覆盖,取证人员可以轻松找到所有已删除的文件。