NTFS $LogFile

$LogFile文件即事务型日志文件,使用2号MFT项。
$LogFile项具有标准文件属性,使用数据属性存储日志数据。

$LogFile是为实现可恢复性和安全性而设计的。当系统运行时,NTFS就会在日志文件中记录所有影响NTFS卷结构的操作,如文件的创建,目构结构的改变等,从而使其能够在系统失败时恢复NTFS卷。

日志被分为很多的页,每页4096个字节即8扇区,前2个页分配给重启区,我们称其为“重启页”,每个重启页的起始签名为”52535452”即”RCTR”的ASIIC码,所以我们可以通过搜索扇区偏移0字节处的该值来定位日志的位置。

日志的第三页(即16号扇区)开始记录,每个记录页的起始签名为”52435244”即”RCRD”的ASIIC码.

取消
感谢您的支持,我会继续努力的!
扫码支持
扫码打赏,你说多少就多少

打开支付宝扫一扫,即可进行扫码打赏哦

Powered by bytekits.com,汇天下文字,成非凡梦想!!!