我想知道无处不在,我发现FF FF FF FF它表示那里有MFT块。因为here他们说:
你可以清楚地看到标记的文件标记的0xFFFFFFFF结尾 新MFT条目的结尾(字节偏移504)。
答案 0 :(得分:2)
不完全是。所有MFT条目都与群集或文件记录大小对齐,这是磁盘扇区大小的倍数。通常,MFT中的文件记录长度为1024字节,文件记录的大小和MFT的偏移量存储在卷的第一个扇区中,称为 NTFS bios参数块。您可以在ReactOS源代码here中找到该结构。
所有MFT文件条目在偏移0处具有幻数(例如,FILE或BAAD)。可以通过解析MFT的第一文件记录的属性(MFT本身)来获得MFT的确切大小。未命名的非驻留数据属性包含整个MFT的大小以及磁盘上其片段的数据运行。
该文章讨论的0xFFFFFFFF位于最后一个属性的type字段中,表示文件记录属性的结尾。由于其他文件可能包含此值,因此浪费时间并且不完全准确地解析此值。