Утилита для очистки свободного места в MFT Ссleaner

Утилита для очистки свободного места в MFT Ссleaner. Что это, как использовать?

Любой пользователь компьютера сталкивается с «засорением» операционной системы. За продолжительный срок своей работы «Виндовс» бережно хранит файлы и служебные папки. В итоге он начинает тормозить и свободного места на диске не остается. С помощью утилиты Ccleaner можно очистить компьютер от лишнего мусора.

Что это такое?

Ccleaner – программное обеспечение, направленное на комплексное очищение компьютера. Она имеет массу возможностей и функций, правильно применяя которые можно добиться отличной производительности ПК.

Но с перезаписью в MFT данных о файлах, которые лежали когда-то на свободном месте нет. Кроме того, их невозможно восстановить, так как нет информации о том, где они находились и что в них содержалось.

Записи MFT применяются для описания файлов, которым они соответствуют. Вся информация о файле, включая его размер и содержимое, хранятся в записях MFT или в другом месте, не относящемся к нему, но указанном в его записи.

Очистка представляет собой затирание этого места файлами нулевого размера. Когда появляются новые файлы, то в MFT прибавляются новые записи, таким образом, его размер становится выше. Если удалить записи из NTFS, то соответствующие в MFT помечаются, как свободные и могут быть применены повторно, но размер MFT при этом меньше не станет.

Таким образом, дисковое пространство, применяемое для таких записей, остается недоступным. Функция Ccleaner «Очистить свободное место MFT» позволяет удалить ненужные записи в MFT. После удаления восстановить данные станет практически невозможно.

Как проводить освобождение диска от мусора?

Очищение диска от мусора с помощью MFT может оказаться длительным процессом. Оно зависит от объема пространства на диске и указанного количества проходов при перезаписи данных.

Прежде чем чистить диск от мусора, нужно провести анализ и выяснить, какие именно файлы на ПК занимают много места. Считается, что на системном разделе диска пространства в свободном доступе должно быть не меньше 15% от его общего объема. Это необходимо, чтобы «Виндовс» функционировала полноценно, без торможений и подвисаний.

Функционал «Анализ» в утилите не уступает подобным возможностям, реализованных в отдельных программах.

  1. В окне программы Ccleaner нужно выбрать раздел «Сервис» и перейти на вкладку «Анализирование дисков». Если это необходимо, то можно прибавить файлы из архивов и электронной почты.
  2. Далее нужно выбрать диск компьютера С, D, E и нажать на кнопку «Анализ».
  3. По итогам анализа слишком большие файлы можно перенести с системного диска на несистемный. Для этого нужно выбрать необходимый файл, вызвать контекстное меню и нажать «Открыть папку». Откроется окно проводника, где можно будет убрать файл с диска или удалить его навсегда.

Часто на ПК скапливаются файлы-дубликаты. Они находятся в разных папках. Смысла хранить дубли нет, они только засоряют диск.

  1. Чтобы удалить дубликаты, нужно открыть меню «Сервис», найти позицию «Поиск дубликатов», запустить ее.
  2. Далее необходимо задать места поиска повторяющихся файлов, а также задать исключения — папки из ранее указанной области, которые программа не будет просматривать.
  3. Затем нужно отметить предназначенные для удаления документы и нажать «Удалить выделенные».

После того как будет проведен анализ и удалены все дубликаты, можно приступить к очищению диска.

  1. Для этого нужно в Ccleaner выбрать вкладку «Сервис» и далее «Стирание дисков».
  2. В первой вкладке выбрать «Только свободное место».Если выбрать весь диск, то утилита сотрет его, включая все программы, файлы и документы.
  3. В поле «Способ» нужно выбрать алгоритм DOD три раза.
  4. В поле «Диски» нужно выбрать, на каких дисках требуется очистка, и нажать на вкладку «Стереть».

Из видео узнаете о стирании свободного места на диске с помощью программы CCleaner:

Многократное стирание файлов на диске с помощью Ccleaner

В жизни бывает так, что требуется удалить некоторые данные без возможности их восстановить. Но даже форматирование на низком уровне не дает гарантий полного и безвозвратного удаления данных.

Уничтоженный файл с диска никуда не пропадает и его легко восстановить до тех пор, пока сверху на него не будет записана какая-нибудь новая информация. Но даже двух или трех циклов перезаписи мало и данные можно извлечь.

В утилите Ccleaner есть функция «Очистка свободного места». Ее работа заключается не в очищении мусора для освобождения свободного места, а в очищении самого свободного места. Другими словами, очистка — перезапись пустых областей, где когда-то находились удаленные данные. Чтобы запустить эту функцию, нужно запустить Ccleaner.

  1. Далее нужно сначала удалить ненужные файлы обычными методами, не забыв почистить корзину.
  2. Затем запустить утилиту. Перейти в настройки и в графе «Режим очистки» нажать на кружок «Безвозвратное удаление» и выбрать количество циклов перезаписи таким образом, чтобы информацию никто не восстановил.
  3. Отметить места, на которых была стерта информация. Поставить галочку «Очистить свободное место MFT».
  4. Перейти на вкладку «Очистка» и здесь поставить галочку «Очистка свободного места».
  5. Дальше нажать на кнопку «Очистка» и подождать.

Теперь вы знаете, что такое очистка свободного места в MFT Ccleaner, поэтому можете применить эту возможность и без опасения удалить определенный системный файл.

Источник:
http://proccleaner.ru/faq/ochistka-mesta-v-mft-ccleaner

Годовая
подписка
на
Хакер

Хакинг для новичков

Xakep #256. Боевой Linux

Xakep #255. Атаки на Windows

Xakep #254. Android: атака и защита

Xakep #253. Сканеры уязвимостей

NTFS изнутри. Как устроена файловая таблица MFT в Windows

Содержание статьи

Стандарт файловой системы NTFS версии 3.1 появился в 2001 году с выходом на рынок Windows XP и с тех пор не претерпел фундаментальных изменений. В Windows 10 также используется NTFS v3.1. Архитектуру и особенности внутреннего устройства этой файловой системы Крис Касперски подробно описал в своей книге «Восстановление данных», которая сейчас готовится к переизданию. Мы публикуем отрывок из этой книги, где Крис рассказывает о том, что представляет собой NTFS изнутри.

NTFS с высоты птичьего полета

Основным структурным элементом всякой файловой системы является том (volume), в случае с FAT совпадающий с разделом (partition). NTFS поддерживает тома, состоящие из нескольких разделов (см. рис.). Будем для простоты считать, что том представляет собой отформатированный раздел (то есть раздел, содержащий служебные структуры файловой системы).

Большинство файловых систем трактуют том как совокупность файлов, свободного дискового пространства и служебных структур файловой системы, но в NTFS все служебные структуры представлены файлами, которые (как это и положено файлам) могут находиться в любом месте тома, при необходимости фрагментируя себя на несколько частей.

Основным служебным файлом является главная файловая таблица, $MFT (Master File Table) — своеобразная база данных, хранящая информацию обо всех файлах тома: их именах, атрибутах, способе и порядке размещения на диске. Каталог также является файлом особого типа, со списком принадлежащих ему файлов и вложенных подкаталогов. Важно подчеркнуть, что в MFT присутствуют все файлы, находящиеся во всех подкаталогах тома, поэтому для восстановления диска наличия файла $MFT будет вполне достаточно.

Остальные служебные файлы, называемые метафайлами (metafiles) или метаданными (metadata), всегда имеют имена, начинающиеся со знака доллара ( $ ), и носят сугубо вспомогательный характер, интересный только самой файловой системе. К ним в первую очередь относится: $LogFile — файл транзакций, $Bitmap — карта свободного/занятого пространства, $BadClust — перечень плохих кластеров. Текущие версии Windows блокируют доступ к служебным файлам с прикладного уровня (даже с правами администратора!), и всякая попытка открытия или создания такого файла в корневом каталоге обречена на неудачу.

Классическое определение, данное в учебниках информатики, отождествляет файл с именованной записью на диске. Большинство файловых систем добавляет к этому понятие атрибута (attribute) — некоторой вспомогательной характеристики, описывающей время создания, права доступа и так далее. В NTFS имя файла, данные файла и его атрибуты полностью уравнены в правах. Иначе говоря, всякий файл NTFS представляет собой совокупность атрибутов, каждый из которых хранится как отдельный поток байтов. Поэтому, во избежание путаницы, атрибуты, хранящие данные файла, часто называют потоками (streams).

Каждый атрибут состоит из тела (body) и заголовка (header). Атрибуты подразделяются на резидентные (resident) и нерезидентные (non-resident). Резидентные атрибуты хранятся непосредственно в $MFT , что существенно уменьшает грануляцию дискового пространства и сокращает время доступа. Нерезидентные атрибуты хранят в $MFT лишь свой заголовок, описывающий порядок размещения атрибута на диске.

Назначение атрибута определяется его типом (type), представляющим собой четырехбайтное шестнадцатеричное значение. При желании атрибуту можно дать еще и имя (name), состоящее из символов, входящих в соответствующее пространство имен (namespace). Подавляющее большинство файлов имеет по меньшей мере три атрибута. К их числу относится стандартная информация о файле (время создания, модификации, последнего доступа, права доступа), которая хранится в атрибуте типа 10h , условно обозначаемом $STANDARD_INFORMATION . Ранние версии Windows NT позволяли обращаться к атрибутам по их условным обозначениям, но начиная с Windows 2000 мы лишены этой возможности. Полное имя файла (не путать с путем!) хранится в атрибуте типа 30h ( $FILE_NAME ).

Если у файла есть одно или несколько альтернативных имен, таких атрибутов может быть и несколько. Здесь же хранится ссылка (file reference) на родительский каталог, позволяющая разобраться, к какому каталогу принадлежит данный файл или подкаталог. По умолчанию данные файла хранятся в безымянном атрибуте типа 80h ( $DATA ). Однако при желании прикладные программы могут создавать дополнительные потоки данных, отделяя имя атрибута от имени файла знаком двоеточия (например: ECHO xxx > file:attr1; ECHO yyy > file:attr2; more ).

Читайте также  Что такое процессор компьютера: функции и предназначение

Изначально в NTFS была заложена способность индексации любых атрибутов, значительно сокращающая время поиска файла по заданному списку критериев (например, времени последнего доступа). Индексы хранятся в виде двоичных деревьев, поэтому среднее время выполнения запроса оценивается как O(lg n) . На практике в большинстве драйверов NTFS реализована индексация лишь по имени файла. Как уже говорилось ранее, каталог представляет собой файл особого типа — файл индексов. В отличие от FAT, где файл каталога представляет собой единственный источник данных об организации файлов, в NTFS файл каталога используется лишь для ускорения доступа к содержимому каталога. Он не является обязательным, так как ссылка на родительский каталог всякого файла в обязательном порядке присутствует в атрибуте его имени ( $FILE_NAME ).

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Источник:
http://xakep.ru/2020/01/29/ntfs-inside/

Записи mft (файловые записи)

Delphi site: daily Delphi-news, documentation, articles, review, interview, computer humor.

Как упоминалось в главах И и 13, главная файловая таблица М/Т (Master File Table) является основной структурой данных NTFS; в ней создается запись для каждого файла и каталога в системе. Записи MFT имеют фиксированный размер и содержат минимальный набор полей. В настоящее время размер записей составляет 1024 байт, но формально он определяется в загрузочном секторе. В каждой записи MFT используются проверочные маркеры, поэтому в дисковой версии структуры данных два последних байта каждого сектора заменяются сигнатурой (см. предыдущий раздел). Поля записи МРТ перечислены в табл. 13.1.

Таблица 13.1. Структура данных базовой записи MFT

Смещение массива маркеров

Количество элементов в массиве маркеров

Номер LSN для $LogFile

Смещение первого атрибута

Флаги (использования и каталога)

Используемый размер записи MFT

Выделенный размер записи MFT

Адрес базовой записи

Идентификатор следующего атрибута

Атрибуты и маркеры

В качестве стандартной сигнатуры используется строка «FILE», но в записях, в которых программа chkdsk обнаружила ошибки, также может содержаться строка «В AAD». В следующих двух полях содержатся маркеры, а массив замененных байтов обычно хранится после байта 42. Смещения задаются по отношению к началу записи.

Номер LSN используется в журнале файловой системы (см. раздел «Категория прикладных данных» главы 12). В журнале фиксируются обновления метаданных в файловой системе; эта информация ускоряет восстановление поврежденных файловых систем.

Порядковый номер увеличивается при каждом выделении и освобождении записи. Счетчик ссылок определяет число каталогов, содержащих записи для данной структуры MFT. Число увеличивается на 1 для каждой жесткой ссылки, создаваемой для файла.

Первый атрибут файла находится по смещению, заданному относительно начала файла. За первым атрибутом следуют остальные; чтобы найти их, следует сместиться вперед на величину, указанную в поле размера в заголовке атрибута. За последним атрибутом находится признак конца файла Oxffffffff. Если файлу требуется более одной записи MFT, то в дополнительные записи включается базовый адрес основной записи.

Поле флагов содержит только два значения. Бит 0x01 устанавливается в том случае, если запись используется, а бит 0x02 — если запись представляет каталог.

Давайте рассмотрим низкоуровневое содержимое записи MFT. Мы воспользуемся программой icat из пакета TSK (The Sleuth Kit) и просмотрим атрибут $DATA файла $MFT, соответствующего записи 0. Чтобы задать любой атрибут в TSK, достаточно добавить идентификатор типа атрибута после адреса записи MFT. В данном случае атрибут $DATA обладает типом 128.

# icat -f ntfs ntfsl.dd 0-128 xxd

0000000: 4649 4c45 3000 0300 4ba7 6401 0000 0000 FILE0. K.d.

0000016: 0100 0100 3800 0100 Ь801 0000 0004 0000 . 8.

0000032: 0000 0000 0000 0000 0600 0000 0000 0000 .

0000048: 5800 0000 0000 0000 1000 0000 6000 0000 X.

0000496: 3101 Ь43а 0500 0000 ffff ffff 0000 5800 1. X.

0000512: 0000 0000 0000 0000 0000 0000 0000 5800 .

0001008: 0000 0000 0000 0000 0000 0000 0000 5800 . X.

В выходных данных используется прямой порядок байтов, поэтому байты чисел необходимо поменять местами. Листинг начинается с сигнатуры «FILE», а байты 4 и 5 показывают, что массив данных, замененных маркерами, хранится в записи MFT со смещением 48 байт (0x0030). Из байтов 6-7 видно, что массив состоит из 3 элементов. Байты 16-17 показывают, что порядковый номер записи MFT равен 1; иначе говоря, это первое использование записи. Счетчик ссылок (байты 18-19) равен 1; это означает, что запись обладает единственным именем. Байты 20-21 показывают, что первый атрибут начинается со смещения 56 (0x0038).

Флаги в байтах 22-23 показывают, что запись используется в настоящий момент. Поле базовой записи (байты 32-39) равно 0, то есть сама запись является базовой. Байты 40-41 показывают, что следующий идентификатор атрибута равен 6. Следовательно, мы можем предположить, что запись содержит атрибуты с идентификаторами от 1 до 5.

С байта 48 начинается массив данных, замененных маркерами. Первые два байта определяют сигнатуру (0x0058). За ними следуют 2-байтовые группы исходных данных, которые должны быть записаны на место сигнатур. Мы обращаемся к двум последним байтам каждого сектора (байты 510-511 и 1022-1023) и видим, что в обоих случаях в них содержится сигнатура 0x0058. Маркеры заменяются значением 0x0000, взятым из массива. После массива с байта 56 начинается первый атрибут. Атрибуты файла завершаются на байте 504 признаком конца файла Oxffff ffff. Остальные байты записи равны 0.

Для просмотра произвольной записи MFT в TSK можно воспользоваться программой dd в сочетании с icat для перехода к нужному смещению. При этом размер блока устанавливается равным 1024, то есть размеру каждой записи MFT. Например, команда для просмотра записи 1234 выглядит так:

Источник:
http://www.delphiplus.org/kriminalisticheskii-analiz-failovykh-sistem/zapisi-mft-failovye-zapisi.html

Что такое mft на жестком диске

Системы управления файлами.

Файловая система NTFS

1. Файловая система NTFS

· Основные особенности NT FS

· Структура тома с файловой системой NTFS

· MFT (master file table )

· Ограничение доступа к файлам и каталогам

· Недостатки файловой системы NTFS

Файловая система NTFS (New Technology File System) — новая технология

NTFS содержит ряд значительных усовер­шенствований и изменений, существенно отличающих ее от других файловых систем.

За редкими исключениями, с разделами NTFS можно работать напрямую только из Windows NT , хотя и имеются для ряда ОС соответствующие реализа­ции систем управления файлами для чтения файлов из томов NTFS. Так, напри­мер, утилита (драйвер) NTFSDOS позволяет читать данные NTFS на компьютере, загруженном в режиме MS-DOS. Однако полноценных реализации для работы с NTFS вне системы Windows NT пока нет.

NTFS не поддерживается в широко распространенных ОС Windows 98 и ныне все более часто встречающейся Windows Millennium Edition.

Основные особенности NT FS

· работа на дисках большого объема происходит эффективно (намного эффективнее, чем в FAT) ;

· имеются средства для ограничения доступа к файлам и катало­гам Þ раз­делы NTFS обеспечивают локальную безопасность как файлов, так и каталогов;

· введен механизм транзакций, при котором осуществляется журналирование файловых операций Þ существенное увеличение надежности;

· сняты многие ограничения на максимальное количество дисковых секто­ров и/или кластеров;

· имя файла в NTFS, в отличие от файловых систем FAT и HPFS, может содержать любые символы, включая полный набор национальных алфавитов, так как данные представлены в Unicode — 16-битном представлении, которое дает 65535 разных символов. Максимальная длина имени файла в NTFS — 255 символов.

· система NTFS также об­ладает встроенными средствами сжатия, которые можно применять к отдельным файлам, целым каталогам и даже томам (и впоследствии отменять или назначать их по своему усмотрению).

Структура тома с файловой системой NTFS

Раздел NTFS называется томом (volume). Максимально возможные размеры тома (и размеры файла) составляют 16 Эбайт (экзабайт 2**64).

Замечание. Возможно создание тома, занимающего несколько разделов (отказоустойчивого тома)

Как и мно­гие другие системы, NTFS делит дисковое пространство тома на кластеры — блоки данных, адресуемые как единицы данных. NTFS поддержива­ет размеры кластеров от 512 байт до 64 Кбайт; стандартом же считается кластер размером 2 или 4 Кбайт.

Все дисковое пространство в NTFS делится на две неравные части.

Первые 12 % диска отводятся под так называемую MFT-зону — пространство, которое может занимать, увеличиваясь в размере, главный служебный метафайл MFT.

Запись каких-либо данных в эту область невозможна. MFT-зона всегда держится пустой — это делается для того, чтобы MFT-файл по возможности не фрагментировался при своем росте.

Читайте также  Как проверить скорость жесткого диска

Остальные 88 % тома представляют собой обычное пространство для хранения файлов.

MFT (master file table )

MFT ( общая таблица файлов) по сути — это каталог всех остальных файлов диска, в том числе и себя самого. Он предназначен для определения расположения файлов.

MFT состоит из записей фиксированного размера. Размер записи MFT (минимум 1 Кб и максимум 4 Кб) оп­ределяется во время форматирования тома.

Каждая запись соответ­ствует какому-либо файлу.

Первые 16 записей но­сят служебный характер и недоступны операционной системе — они называются метафайлами, причем самый первый метафайл — сам MFT.

Эти первые 16 эле­ментов MFT — единственная часть диска, имеющая строго фиксированное поло­жение. Копия этих же 16 записей хранится в середине тома для надежности.

Остальные части MFT-файла могут располагаться, как и любой другой файл, в произвольных местах диска.

Метафайлы носят служебный характер — каждый из них отвечает за какой-либо аспект работы системы. Метафайлы нахо­дятся в корневом каталоге NTFS-тома. Все они начинаются с символа имени “$”, хотя получить какую-либо информацию о них стандартными средствами сложно. В табл. приведены основные известные метафайлы и их назначение.

Таблица. Метафайлы NTFS

Сам Master File Table

Копия первых 16 записей MFT, размещенная посередине тома

Файл поддержки операций журналирования

Служебная информация — метка тома, версия файловой системы и т. д.

Список стандартных атрибутов файлов на томе

Карта свободного места тома

Загрузочный сектор (если раздел загрузочный)

Файл, в котором записаны права пользователей на использование дискового пространства (этот файл начал работать лишь в Windows 2000 с системой NTFS 5.0)

Файл — таблица соответствия заглавных и прописных букв в именах файлов. В NTFS имена файлов записываются в Unicode (что составляет 65 тысяч различных символов) и искать большие и малые эквиваленты в данном случае — нетривиальная задача

В соответствующей записи MFT хранится вся информация о файле:

· положение на диске отдельных фрагментов и т. д.

Если для информации не хватает одной записи MFT, то используется несколько записей, причем не обязательно идущих подряд.

Если файл имеет не очень большой размер, то данные файла хранятся прямо в MFT, в оставшемся от основных данных месте в пределах одной записи MFT.

Таким образом, файлы, занимающие сотни байт, обычно не имеют своего “физического” воплощения в основной файловой области — все данные такого файла хранятся в одном месте, в MFT.

Файл в томе с NTFS идентифицируется так называемой файловой ссылкой (File Reference), которая представляется как 64-разрядное число.

Файловая ссылка состоит из

· номера файла, который соответствует номеру записи в MFT,

· и номера последовательности. Этот номер увеличивается всякий раз, когда данный номер в MFT используется повторно, что позволяет файловой системе NTFS выполнять внутренние проверки целостности.

Каждый файл в NTFS представлен с помощью потоков (streams), то есть у него нет как таковых “просто данных”, а есть потоки.

Один из потоков — это и есть данные файла.

Большинство атрибутов файла — это тоже потоки.

Таким об­разом, получается, что базовая сущность у файла только одна — номер в MFT, а все остальное, включая и его потоки, — опционально.

Данный подход может эффективно использоваться — например, файлу можно “прилепить” еще один поток, записав в него любые данные.

В Windows 2000 таким образом записана информация об авторе и содержании файла (одна из закладок в свойствах фай­ла, просматриваемых, например, из проводника).

Интересно, что эти дополни­тельные потоки не видны стандартными средствами работы с файлами: наблю­даемый размер файла — это лишь размер основного потока, который содержит традиционные данные. Можно, к примеру, иметь файл нулевой длины, при сти­рании которого освободится 1 Гбайт свободного места — просто потому, что ка кая- нибудь хитрая программа или технология “прилепила” к нему дополнитель­ный поток (альтернативные данные) такого большого размера. Но на самом деле в настоящее время потоки практически не используются, так что опасаться по­добных ситуаций не следует, хотя гипотетически они возможны.

На идее потока основан один из новейших вирусов, который был не так давно создан для распространения в среде Windows 2000.

Стандартные атрибуты для файлов и каталогов в томе NTFS имеют фиксиро­ванные имена и коды типа.

Таблица. Атрибуты файлов в системе NTFS. * отмечены обязательные атрибуты.

* Стандартная информация о файле

Традиционные атрибуты Read Only, Hidden, Archive, System, отметки времени, включая время создания или последней модификации, число каталогов, ссылающихся на файл

Список атрибутов, из которых состоит файл, и файловая ссылка на файловую запись и MFT, в которой расположен каждый из атрибутов. Последний используется, если файлу необходимо более одной записи в MFT

Имя файла в символах Unicode. Файл может иметь несколько атрибутов — имен файла, подобно тому как это имеет место в UNIX-системах. Это случается, когда имеется связь POSIX с данным файлом или если у файла есть автоматически сгенерированное имя в формате 8.3

Структура данных защиты (ACL), предохраняющая файл от несанкционированного доступа. Атрибут “дескриптор защиты” определяет, кто владелец файла и кто имеет доступ к нему

Собственно данные файла, его содержимое. В NTFS у файла по умолчанию есть один безымянный атрибут данных, и он может иметь дополнительные именованные атрибуты данных. У каталога нет атрибута данных по умолчанию, но он может иметь необязательные именованные атрибуты данных

Корень индекса, размещение индекса, битовая карта (только для каталогов)

Атрибуты, используемые для индексов имен файлов в больших каталогах

Расширенные атрибуты HPFS

Атрибуты, используемые для реализации расширенных атрибутов HPFS для подсистемы OS/2 и OS/2-клиентов файл-серверов Windows NT

Атрибуты файла в записях MFT расположены в порядке возрастания числовых значений кодов типа, причем некоторые типы атрибутов могут встречаться в за­писи более одного раза: например, если у файла есть несколько атрибутов данных или несколько имен. Обязательными для каждого файла в томе NTFS являются атрибут стандартной информации, атрибут имени файла, атрибут дескриптора защиты и атрибут данных. Остальные атрибуты могут встречаться при необходимости.

Каталог в NTFS представляет собой специальный файл, хранящий ссылки на другие файлы и каталоги.

Файл каталога разделен на блоки (2 Кб . ), каждый из которых содержит

· базовые атрибуты и

· ссылку на элемент MFT, который уже предоставляет полную информацию об элементе каталога.

Корневой каталог диска ничем не отличается от обычных каталогов, кроме специальной ссылки на него из начала метафайла MFT.

Внутренняя структура каталога представляет собой бинарное дерево, как в HPFS.

Количество файлов в корневом и некорневом каталогах не ограни­чено.

Ограничение доступа к файлам и каталогам

Файловая система NTFS поддерживает объектную модель безопасности NT : NTFS рассматривает каталоги и файлы как разнотипные объекты и ведет отдельные (хотя и перекры­вающиеся) списки прав доступа для каждого типа.

NTFS обеспечивает безопасность на уровне файлов; это означает, что права доступа к томам, каталогам и файлам могут зависеть от учетной записи пользователя и тех групп, к которым он принадлежит. Каждый раз, когда пользователь обращается к объекту файловой системы, его права доступа проверяются по списку разреше­ний данного объекта. Если пользователь обладает достаточным уровнем прав, его запрос удовлетворяется; в противном случае запрос отклоняется. Эта модель безопасности применяется как при локальной регистрации пользователей на компьютерах с NT, так и при удаленных сетевых запросах.

Права NTFS, назначаемые папкам :

· право добавления и чтения;

· право изменения (чтение/запись/ выполнение/ удаление)

В NTFS файлы и папки по умол­чанию наследуют права доступа, установленные для их родительской папки, од­нако эти права могут быть изменены любым пользователем, которому разрешено изменять права доступа для соответствующих объектов NTFS.

Файлы в NTFS могут обладать следующими правами :

При сетевом подключении пользователей права NTFS могут вступить в конфликт с правами общих каталогов. В такой ситуации применяется право доступа с наи­более жесткими ограничениями.

Система NTFS также обладает определенными средствами самовосстановления. NTFS поддерживает различные механизмы проверки целостности системы, вклю­чая ведение журналов транзакций, позволяющих воспроизвести файловые опе­рации записи по специальному системному журналу.

При журналировании файловых операций система управления файлами фиксирует в специальном служебном файле происходящие изменения. В начале операции, связанной с изменением файловой структуры, делается соответствующая пометка. Если во время операций над файлами происходит какой-нибудь сбой, то упомянутая отметка о начале операции остается указанной как незавершенная. При выполнении процедуры проверки целостности файловой системы после перезагрузки машины эти незавершенные опера­ции будут отменены и файлы будут приведены к исходному состоянию. Если же опера­ция изменения данных в файлах завершается нормальным образом, то в этом самом служебном файле поддержки журналирования операция отмечается как завершенная.

Недостатки файловой системы NTFS

Основной недостаток . В NTFS служебные данные занимают много места (например, каждый элемент каталога занимает 2 Кбайт) — для малых раз­делов служебные данные могут занимать до 25% объема носителя.

Þ система NTFS не может использоваться для форматирования флоппи-дисков.

Читайте также  При загрузке компьютера черный экран и надпись - Вне диапазона

Совет. Не стоит пользоваться ею для форматирования разделов объемом менее 100 Мбайт.

В результате отказа от разбие­ния всего дискового пространства на зоны, в каждой из которых хранилась бы информация об имеющихся свободных кластерах, и введения механизма транзакций скорость работы файловой системы NTFS существенно ниже скорости работы системы HPFS.

Источник:
http://mf.grsu.by/UchProc/livak/po/lections/lec7.htm

Анализ структуры данных файловой системы NTFS

В предыдущей статье мы описали алгоритм работы программ по восстановлению данных, работающих на дисках, использующих файловую систему FAT. Сегодня мы расскажем о том, как работает восстановление удалённых файлов с дисками, отформатированными в файловой системе NTFS.

Что такое NTFS

Файловая система NTFS была разработанная компанией Microsoft с чистого листа для использования в новой операционной системе Windows NT. NTFS должна была заменить собой устаревшую на тот момент файловую систему FAT, многочисленные ограничения которой не позволяли организовать работу в действительно многопользовательской и многозадачной системе.

Разработчики NTFS поставили цель спроектировать надёжную, безопасную, расширяемую и отказоустойчивую файловую систему для HDD-дисков. Им это прекрасно удалось: файловая система получилась на редкость удачной, однако у нее есть как сильные, так и слабые стороны в сравнение с FAT.

Все данные – файлы

В файловой системе FAT ни одну часть данных нельзя было назвать «файлом» в полном смысле этого слова. Концепция NTFS была полностью переработана. В архитектуре NTFS все данные, включая служебные структуры самой файловой системы, универсально представлены в виде файлов. Более того: в NTFS даже сама файловая система представлена в виде отдельных файлов!

В виде файлов хранятся и административные данные базовой файловой системы – те самые данные, которые в других файловых системах находятся в скрытых областях по фиксированному адресу. В NTFS нет нужды резервировать какие-то особые области под файловые таблицы, таблицу разделов или журнал транзакций: они хранятся в виде обычных файлов и могут физически располагаться в любом месте тома.

При необходимости эти файлы могут менять свой размер (в частности, файловые таблицы заметно «распухают» при хранении на томе большого числа файлов), при этом системой используются стандартные механизмы, предусмотренные для работы с файлами. Если не будет непрерывного участка для хранения данных файловой системы – ничего страшного: файл будет фрагментирован (сохранён в виде нескольких фрагментов в разных частях диска).

Описанная концепция является основополагающим принципом NTFS. В отличие от других файловых систем, в NTFS нет жёстко заданной структуры. В ней нет, как в FAT, раздельных областей для системных структур, файловых таблиц и собственно данных. В NTFS вся файловая система считается областью данных, поэтому любой файл может быть сохранён в любом секторе тома. Единственным неизбежным исключением являются загрузочный сектор и загрузочный код, расположенные в первых секторах тома.

Файловая таблица MFT

NTFS хранит информацию о файлах и каталогах в главной файловой таблице MFT. Эта таблица содержит информацию обо всех файлах и каталогах. Каждому файлу или каталогу соответствует как минимум одна запись. Формат записей MFT исключительно прост. Размер записи составляет 1 КБ, при этом первые 42 байта заголовка имеют жёстко заданное предназначение. Остальное пространство используется для хранения атрибутов – например, имени файла и системных атрибутов. Уникальной является возможность сохранения небольших файлов непосредственно в MFT. В этом случае файл хранится в виде атрибута.

Рис. 1. Структура записи MFT, включающая заголовок и три атрибута.

Формат записи MFT

Формально размер записи MFT определяется переменной в загрузочном секторе. Однако все существующие версии Microsoft Windows используют записи размером 1024 байт. В начале записи расположен заголовок размером 42 байта, который содержит 12 полей. Остальные 982 байта не имеют фиксированной структуры и используются для хранения атрибутов.

Формат записи MFT чрезвычайно прост и очень удобен как для быстрой работы операционной системы, так и для поиска удалённых файлов. Фактически запись MFT представляет с собой небольшую ячейку, позволяющую положить в неё всё, что угодно – но в пределах её размера (982 байта). Начало записи зарезервировано для «этикетки», позволяющей корректно идентифицировать и адресовать ячейку.

Адреса записей MFT

Записи MFT адресуются в 48-битной системе, при этом первой записи соответствует нулевой адрес. Адрес последней (максимальной) записи изменяется по мере расширения MFT. Его можно измерить, разделив размер файла $MFT на размер каждой записи. Учитывая, что размер записи в Windows – ровно 1 КБ, данная операция не представляет проблемы.

Записи MFT пронумерованы. Каждой записи соответствует 16-разрядный порядковый номер. При создании новой записи этот номер автоматически увеличивается.

К примеру, рассмотрим запись MFT 313 с порядковым номером 1. При удалении файла, которому была выделена эта запись, и выделении записи другому файлу записи MTF будет выделен новый порядковый номер 2.

Адрес файла формируется следующим образом. Адрес записи MFT объединяется с порядковым номером, занимающим старшие 16 бит. Таким образом формируется уникальный 64-разрядный базовый адрес файла.

Рис. 2. Базовый адрес файла формируется объединением адреса записи MFT и её порядкового номера.

Для обращения к записям MFT в файловой системе NTFS используется порядковый номер записи. Использование уникального порядкового номера записи предоставляет и дополнительное удобство: оно упрощает выявление повреждений файловой системы. К примеру, если сбой происходит на этапе выделения структур данных для нового файла, то по порядковому номеру записи MFT можно будет определить, какому файлу принадлежит данная запись – новому или предыдущему. Соответственно, порядковый номер используют программы для восстановления данных NTFS.

Атрибуты записей MFT

NTFS – уникальная файловая система, не имеющая, в отличие от FAT, жёстко заданной структуры записей. Каждая запись MFT минимально структурирована. Есть заголовок, и есть место для хранения разнообразных атрибутов. Причём атрибутом может быть практически всё, что угодно – дата, время, имя файла и так далее – вплоть до собственно содержимого файла!

Атрибуты могут хранить самую разнообразную информацию. Понятно, что разные типы информации могут быть записаны в разных форматах и занимать больше или меньше места в записи.

Рис. 3. Пример записи MFT с заголовком записи, двумя атрибутами и неиспользуемой областью.

Итак, атрибуты могут содержать любую информацию. Но у каждого атрибута есть универсальная часть: заголовок. Формат заголовка стандартизован и одинаков для всех атрибутов. А вот содержимое атрибута может быть произвольной формы и размера.

В статье «Алгоритм восстановления данных с раздела NTFS» мы рассмотрим процесс поиска и восстановления удаленного файла.

Источник:
http://hetmanrecovery.com/ru/recovery_news/ntfs-file-system-analysis.htm

Что такое mft на жестком диске

Сообщения: 14744
Благодарности: 2102

——-
Ненавижу, когда все шагают строем — одинаково стриженые, одинаково одетые, с одинаковыми мыслями в одинаково пустых головах. (С) Кий

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.

Сообщения: 1143
Благодарности: 268

Сообщения: 8628
Благодарности: 2124

Не путайте зарезервированное для MFT место — и саму MFT. В вашей цитате про MFT Reserved space вообще ни звука, и не должно было быть.

С этого места подробнее, пожалуйста.

Edelways, у вас дефраггер показывает не MFT, а именно резервную зону для неё: смотрите на цвет и на текст, который вы обвели. Т.е. на пустую (не занятую вообще), но не используемую без крайней необходимости область диска.

MFT Reserved space — это пространство, зарезервированное для MFT на случай, если её потребуется увеличить. А если размера текущей MFT хватает, но для новых файлов места на диске вроде бы нет — то это резервное место уменьшается самой операционкой и отдаётся под файлы.

Последний раз редактировалось mwz, 15-08-2016 в 18:29 .

Сообщения: 1143
Благодарности: 268

Последний раз редактировалось gannet, 16-08-2016 в 06:42 . Причина: Текст набирал с планшета.

Сообщения: 8628
Благодарности: 2124

О, вы можете лечить по фотографиям делать количественные выводы из слепых, без единой цифры, скриншотов?

Оцените тогда (специально поставил сейчас этот дефрагглер v2.21, болтающийся в архиве: основной смысл дефрагментации на NTFS — это медитация над процессом, так что сейчас убью его и откачусь на контрольную точку, сделанную перед его установкой) вот этот аналогичный скриншот:

Кстати, чтобы не ошибаться в написании ников — просто нажмите на ник слева от сообщения того, кому отвечаете, и он вставится не только правильно, но и будет оформлен правильным шрифтом.

PS
Интересно, что за знаток делал перевод на русский этой утилиты. На всех языках надпись соответствует английскому «Reserved MFT Space», и только на русском написано просто и оригинально: «Облаcть MFT».

Последний раз редактировалось mwz, 15-08-2016 в 22:26 .

Источник:
http://forum.oszone.net/post-2660369.html