Storage NTFS File System

NTFS (New Technology File System) là 1 hệ thống định dạng file system được phát triển bởi microsoft.

NTFS có một số cải tiến kỹ thuật đối với các hệ thống tệp mà nó đã thay thế - File Allocation Table (FAT) và High Performation File System (HPFS) – Chẳng hạn như cải tiến hỗ trợ metadata và cấu trúc dữ liệu nâng cao để cải thiện hiệu suất, độ tin cậy và sử dụng không gian đĩa một cách hiệu quả. Các phần mở rộng bổ sung là một hệ thống bảo mật phức tạp hơn dựa trên danh sách kiểm soát truy cập (ACL) và ghi nhật ký hệ thống tệp.

Blocksize 512 byte – 2 MB

NTFS được phát triển để đáp ứng một số vấn đề sau:

  • Reliability (Độ tin cậy): NTFS triển khai các tính năng cụ thể để cho phép các giao dịch quan trọng được hoàn thành như một thể tích hợp, tránh mất mát dữ liệu và cải thiện khả năng chịu lỗi.
  • Security and Access Control: Cung cấp tính năng bảo mật thông qua hệ thống kiểm soát truy cập ACL (FAT không có).
  • Hiệu quả lưu trữ - Một lần nữa, vào thời điểm NTFS được phát triển, hầu hết các PC đều sử dụng FAT32, điều này dẫn đến không gian đĩa đáng kể do bị chùng. NTFS tránh vấn đề này bằng cách sử dụng một phương pháp phân bổ không gian cho tệp rất khác với FAT.
  • Phá vỡ rào cảng về size file - Không giống như FAT trong đó phân vùng tối đa lên đến 4GB, NTFS cho phép kích thước phân vùng lớn hơn là Max File Size, 264 bytes (16 ExaBytes).
  • NTFS hỗ trợ hạn ngạch ổ đĩa. Nó kiểm soát hoặc phân vùng cụ thể không gian lưu trữ thông tin có sẵn trên một ổ đĩa.
1629102245703.png




Có 2 chuẩn định dạng phân vùng cho NTFS:

MBR Master Boot Recoder:

1629102260504.png


GPT GUID Partition Table
1629102271711.png


1629102281974.png


NTFS Disk Structure

Kiến trúc hệ thống Volume NTFS gồm 4 khu vực chính:
  • Partition boot sector: Là khu vực đầu tiên của Volume NTFS
  • Master File Table: Là khu vực kế tiếp của Partition boot sector
  • System files: Là khu vực lưu trữ hệ thống file system của Volume NTFS
  • File area: là khu vực cuối cùng của Volume NTFS nơi chưa dữ liệu của các File sẽ được ghi vào.
1629102308374.png


Partition boot sector

Là khu vực đầu tiên của Volume NTFS, bắt đầu bằng sector 0, nơi chứa thông tin của Volume như: Dung lượng, trạng thái hoạt động, Dung lượng khả dụng, Blocksize,… OS sẽ nhận thông tin của vùng này để lấy thông tin của Volume. Dữ liệu trong các trường này cho phép Ntldr (NT loader program) tìm bảng tệp chính (MFT) trong khi khởi động.

Master File Table (MFT)

Trong hệ thống NTFS sẽ có một tệp lưu trữ các thông tin của tất cả các file được ghi trong đĩa NTFS đó là tệp có tên là Master File Table (MFT). Hệ thống tệp NTFS chứa một tệp được gọi là Master File Table, hoặc MFT. Có ít nhất một mục nhập trong MFT cho mọi tệp trên ổ đĩa NTFS, bao gồm cả chính MFT. Tất cả thông tin về tệp, bao gồm kích thước, dấu thời gian và ngày, quyền và nội dung dữ liệu, được lưu trữ trong các mục nhập MFT hoặc trong không gian bên ngoài MFT được các mục nhập MFT mô tả. Khi tệp được thêm vào ổ đĩa NTFS, nhiều mục nhập được thêm vào MFT và MFT tăng kích thước. Khi tệp bị xóa khỏi ổ đĩa NTFS, các mục nhập MFT của chúng được đánh dấu là miễn phí và có thể được sử dụng lại. Tuy nhiên, không gian đĩa đã được phân bổ cho các mục nhập này không được phân bổ lại và kích thước của MFT không giảm. Các thuộc tính tệp không yêu cầu nhiều dung lượng được lưu trữ trong MFT và chúng được gọi là thuộc tính thường trú.
1629102323309.png


Về thuộc tính trú. 1 mục File record của tệp MFT là 1 KiB, nếu tệp nào nhỏ hơn 1 KiB có thể sẽ được lưu ở trong chính tệp MFT mà không cần phải lưu ở ngoài đều này có thể giúp tối ưu hóa việc truy xuất đọc ghi với tệp đó hơn.

Trong hệ thống NTFS, tệp MFT sẽ được sao chép và lưu vào một nơi khác trên Volume NTFS tệp đó được gọi là tệp MFTMirr.

NTFS File Types

NTFS File Attributes (Thuộc tính tệp)

Hệ thống tệp NTFS xem mỗi tệp (hoặc thư mục) như một tập hợp các thuộc tính tệp. Các phần tử như tên tệp, thông tin bảo mật và thậm chí cả dữ liệu của tệp, đều là thuộc tính tệp

Khi các thuộc tính của tệp có thể vừa với bản ghi tệp MFT, chúng được gọi là thuộc tính thường trú. Ví dụ: thông tin như tên tệp và dấu thời gian luôn được bao gồm trong bản ghi tệp MFT.

Khi tất cả thông tin của một tệp quá lớn không thể vừa với bản ghi tệp MFT, một số thuộc tính của tệp đó không phải là thuộc tính riêng. Các thuộc tính không cư trú được cấp phát một hoặc nhiều cụm không gian đĩa ở nơi khác trong ổ đĩa.

Nếu tất cả các thuộc tính không thể vừa với một bản ghi MFT, NTFS sẽ tạo thêm bản ghi MFST và đặt thuộc tính Danh sách thuộc tính vào bản ghi MFT của tệp đầu tiên để mô tả vị trí của tất cả các bản ghi thuộc tính.


The Table File Attributes Defined by NTFS
Attribute Type Description
Standard InformationBao gồm thông tin như dấu thời gian và số lượng liên kết.
Attribute List Liệt kê vị trí của tất cả các bản ghi thuộc tính không phù hợp với bản ghi MFT.
File Name Thuộc tính có thể lặp lại cho cả tên tệp dài và ngắn. Tên dài của tệp có thể lên đến 255 ký tự Unicode. Tên viết tắt là 8.3, tên không phân biệt chữ hoa chữ thường cho tệp. Các tên bổ sung hoặc liên kết cứng do POSIX yêu cầu có thể được đưa vào dưới dạng các thuộc tính tên tệp bổ sung.
Security DescriptorMô tả ai sở hữu tệp và ai có thể truy cập tệp đó.
DataChứa dữ liệu tệp. NTFS cho phép nhiều thuộc tính dữ liệu trên mỗi tệp. Mỗi tệp thường có một thuộc tính dữ liệu không tên. Một tệp cũng có thể có một hoặc nhiều thuộc tính dữ liệu được đặt tên, mỗi thuộc tính sử dụng một cú pháp cụ thể.
Object ID Một số nhận dạng tệp duy nhất. Được sử dụng bởi dịch vụ theo dõi liên kết phân tán. Không phải tất cả các tệp đều có số nhận dạng đối tượng.
Logged Utility StreamTương tự như một luồng dữ liệu, nhưng các hoạt động được ghi vào tệp nhật ký NTFS giống như các thay đổi siêu dữ liệu NTFS. Điều này được sử dụng bởi EFS.
Reparse Point Dùng cho các volume mount point. Chúng cũng được sử dụng bởi Installable File System (IFS) trình điều khiển lọc để đánh dấu các tệp nhất định là đặc biệt cho trình điều khiển đó.
Index Root Dùng để chỉ folder và các chỉ mục khác của tệp
Index AllocationDùng để chỉ folder và các chỉ mục khác của tệp
BitmapĐược sử dụng để triển khai các thư mục và các chỉ mục khác.
Volume InformationChỉ dùng cho file system $Volume. Nội dung thể hiện version volume
Volume Name Chỉ dùng cho file system $Volume. Nội dung thể hiện tên volume

NTFS System Files
NTFS bao gồm một số tệp hệ thống, tất cả đều bị ẩn khỏi chế độ xem trên ổ đĩa NTFS. Tệp hệ thống là tệp được hệ thống tệp sử dụng để lưu trữ siêu dữ liệu của nó và để triển khai hệ thống tệp. Các tệp hệ thống được đặt trên ổ đĩa bằng tiện ích Định dạng.

Metadata Stored in the Master File Table

System File File Name MFT RecordPurpose of the File
Master file table$Mft 0Chứa một bản ghi tệp cơ sở cho mỗi tệp và thư mục trên ổ đĩa NTFS. Nếu thông tin phân bổ cho một tệp hoặc thư mục quá lớn để vừa với một bản ghi, các bản ghi tệp khác cũng được cấp phát.
Master file table 2 $MftMirr 1Tệp sao lưu 4 bản ghi đầu tiên của tệp MFT, Tệp này đảm bảo quyền truy cập vào MFT trong trường hợp lỗi single-sector
Log file$LogFile2Chứa danh sách các bước giao dịch được sử dụng để phục hồi NTFS. Kích thước tệp nhật ký phụ thuộc vào kích thước ổ đĩa và có thể lớn đến 4 MB. Nó được Windows NT / 2000 sử dụng để khôi phục tính nhất quán cho NTFS sau khi hệ thống bị lỗi
Volume$Volume3Chứa thông tin về volume
Attribute definitions $AttrDef 4Một bảng tên thuộc tính, số và mô tả.
Root file name index$ 5The root folder.
Cluster bitmap $Bitmap6Biểu diễn khối lượng cho biết cụm nào đang được sử dụng.
Boot sector $Boot 7Bao gồm BPB được sử dụng để gắn ổ đĩa và mã bộ tải bootstrap bổ sung được sử dụng nếu ổ đĩa có thể khởi động được.
Bad cluster file$BadClus8Chứa các tệp bị hư cho volume
Security file $Secure9Chứa các bộ mô tả bảo mật duy nhất cho tất cả các tệp trong một ổ đĩa.
Upcase table $Upcase10Chuyển đổi các ký tự chữ thường thành các ký tự viết hoa Unicode phù hợp.
NTFS extension file $Extend11Được sử dụng cho các phần mở rộng tùy chọn khác nhau như hạn ngạch, phân tích lại dữ liệu điểm và số nhận dạng đối tượng.
12-15Dùng cho tương lai
Quota management file$Quota24Chứa giới hạn hạn ngạch do người dùng chỉ định trên dung lượng ổ đĩa.
Object Id file $ObjId25Chứa ID đối tượng tệp.
Reparse point file $Reparse 26Tệp này chứa thông tin về tệp và thư mục trên ổ đĩa bao gồm dữ liệu điểm phân tích lại.
 
Last edited:

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu