MFT是由一个个属性体组成,每个属性体都有一个对应的属性名。如0x10类型的属性表示标准属性,这个属性记录着文件的基本信息。
NTFS文件系统的MFT属性列表
| MFT属性类型值(16进制) | MFT属性名 | 描述 |
| 10 | $STANDARD_IFORMATION | 标准属性,包含文件的基本属性,只读 创建时间、最后访问时间等属性。 |
| 20 | $ATTRIBUTE_LIST | 属性列表 |
| 30 | $FILE_NAME | 文件名属性(UNICODE编码) |
| 40 | $OBJECT_ID | 对象ID属性,文件或目录的16字节唯一标志 |
| 50 | $SECURITY_DESCRIPTOR | 安全描述符属性,文件的访问控制安全属性 |
| 60 | $VOLUME_NAME | 卷名属性 |
| 70 | $VOLUME_INFORMATION | 卷信息属性 |
| 80 | $DATA | 文件的数据属性 |
| 90 | $INDEX_ROOT | 索引根属性 |
| A0 | $INDEX_ALLOCATION | 是90属性的扩展版(90属性只能在MFT内记录文件列表,A0属性将文件列表记录到数据区可以记录更多的文件) |
| B0 | $BITMAP | 位图属性 |
| C0 | $REPARSE_POINT | 重解析点属性 |
| D0 | $EA_INFORMATION | 扩展属性信息 |
| E0 | $EA | 扩展属性 |
| 100 | $LOGGED_UTILITY_STREAM | EFS加密属性 |
红色标记:表示非常重要必须要记住
绿色标记:表示比较重要最好记住
没标记的了解下即可
