NTFS $LogFile

$LogFile文件即事务型日志文件,使用2号MFT项。
$LogFile项具有标准文件属性,使用数据属性存储日志数据。

$LogFile是为实现可恢复性和安全性而设计的。当系统运行时,NTFS就会在日志文件中记录所有影响NTFS卷结构的操作,如文件的创建,目构结构的改变等,从而使其能够在系统失败时恢复NTFS卷。

日志被分为很多的页,每页4096个字节即8扇区,前2个页分配给重启区,我们称其为“重启页”,每个重启页的起始签名为”52535452”即”RCTR”的ASIIC码,所以我们可以通过搜索扇区偏移0字节处的该值来定位日志的位置。

日志的第三页(即16号扇区)开始记录,每个记录页的起始签名为”52435244”即”RCRD”的ASIIC码.

  • USB基础
  • USB摄像头UVC
  • USB人机交互HID
  • USB音频UAC
  • Windows基础
  • 磁盘与文件系统
  • Windows编程
  • Windows驱动
  • 开发模块
  • Windows运维
  • Linux相关
  • C语言学习
  • 高级语言
  • 前端开发
  • 服务器开发
  • 数据库
  • 字节流笔记
  • 字节流
  • 取消
    感谢您的支持,我会继续努力的!
    扫码支持
    扫码打赏,你说多少就多少

    打开支付宝扫一扫,即可进行扫码打赏哦

    Powered by bytekits.com,汇天下文字,成非凡梦想!!!