主要NTFS文件系统小讲第一课，学会了你也可以使用WINHEX进行底层数据分析，误删，误格式化，分区出错等一些故障在数据恢复软件处理不了时，你也可以通过这些知识来提高恢复几率。

由于篇幅有限不太可能一次讲解完毕，后续会不断更新，让我们一起来提高我们的数据恢复水平吧！

NTFS文件系统结构

分析NTFS文件系统的结构

当用户将硬盘的一个分区格式化为NTFS分区时，就建立了一个NTFS文件系统。NTFS文件系统同FAT32文件系统一样，也是用“簇”为存储单位，一个文件总是占用一个或多个簇。

NTFS文件系统使用逻辑簇号(LCN)和虚拟簇号(VCN)对分区进行管理。

逻辑簇号：既对分区内的第一个簇到最后一个簇进行编号，NTFS使用逻辑簇号对簇进行定位。

虚拟簇号：即将文件所占用的簇从开头到尾进行编号的，虚拟簇号不要求在物理上是连续的。

NTFS文件系统一共由16个元文件构成，它们是在分区格式化时写入到硬盘的隐藏文件以$开头，也是NTFS文件系统的系统文件。

NTFS的16个元文件介绍如下

下面就分析一下元文件(只介绍部分常用的元文件)

$Boot元文件

$Boot元文件由分区的第一个扇区(DBR)和后面的15个扇区(NTLDR区域)组成，其中DBR由“跳转指令”、“OEM代号”、“BPB”、“引导程序”和“结束标志”组成，下图是NTFS文件系统完整的DBR。

$MFT元文件

文件记录由两部分构成，一部分是文件记录头，另一部分是属性列表，最后结尾是“FFFFFFFF”,如下是一个完整的文件记录：

在NTFS文件系统中所有与文件相关的数据结构被认为属性，包括文件的内容，它记录了文件的所有属性。每个文件记录中都有多个属性，他们相对独立，有各自的类型和名称。每个属性都由两部分组成，既属性头和属性体。属性头的前四个字节为属性的类型。从文件记录头可以看到第一个属性流的偏移地址00C0000038下图是以10H为例的属性结构

还有很多元文件，这里就不一一介绍了，如果想更深入的了解NTFS文件系统，可以关注我们，我们不定时会出新的教程文章，不懂的可以在评论留言！