101 - NTFS MFT-Eintrag Grundlagen - Kapitel 6

Questions and Answers

Was definiert der Header eines MFT-Eintrags?

Die Dateigröße und den Inhalt

Die Flags der Kompression (correct)

Die MAC-Times des Eintrags

Den Dateinamen in ASCII

Welches Attributtyp ist für das Speichern des Dateiinhalts zuständig?

$FILE_NAME

$DATA (correct)

$HEADER

$STANDARD_INFORMATION

Welche der folgenden Informationen ist im $FILE_NAME Attribut (Type 48) enthalten?

Flags zur Kompression

MAC-Times und Besitzer

Dateiname und MAC-Times (correct)

Die Dateigröße

Welches der folgenden Attribute ist kein Standard Attributtyp in NTFS?

$FILE_DATA

Was beschreibt die Struktur eines MFT-Eintrags?

Header, Attribute und ungenutzter Speicher

Was ist das Hauptziel des New Technology File Systems (NTFS)?

Zuverlässigkeit, Sicherheit und Unterstützung großer Datenträger

Was stellt eine Datei im NTFS dar?

Eine Kombination aus Layout-Informationen und Dateiinhalten

Welche Funktion hat die Master File Table (MFT) im NTFS?

Sie enthält Informationen über Dateien und Ordner im Dateisystem

Wie groß ist der standardmäßige MFT-Eintrag im NTFS?

1024 Bytes

Was ist kein Merkmal von Attributen im MFT?

Sie sind nur für Ordner relevant

Welches dieser Elemente ist kein Bestandteil des einfachen Ntfs-Prinzips, dass alles eine Datei ist?

E-Mail-Nachrichten

Wie wird die administrative Sichtbarkeit von Dateien im NTFS geregelt?

Durch ein spezielles Attribut, das der Nutzer nicht sieht

Was ist der Dateiname der Master File Table im NTFS?

$MFT

Welche Aussage über den Aufbau eines MFT-Eintrags ist korrekt?

Der Anfang des Eintrags ist fest definiert mit 42 Bytes.

Was beschreibt die Master File Table (MFT) am präzisesten?

Der erste Eintrag der MFT bezieht sich auf die $MFT-Datei selbst.

Wo ist der Speicherort der MFT im Dateisystem hinterlegt?

Im Boot-Sektor hinterlegt.

Warum muss die MFT möglicherweise vergrößert werden?

Je nach Notwendigkeit kann sie größer werden.

Welche der folgenden Aussagen zur MFT ist nicht korrekt?

Die MFT ist eine feste Struktur ohne dynamische Anpassungen.

Was enthält der Header eines MFT-Eintrags?

Die Signatur und definierte Felder.

Welche Funktion haben die unbenutzten Bytes innerhalb eines MFT-Eintrags?

Sie dienen als Platzhalter für zukünftige Daten.

Welche der folgenden Informationen steht nicht im Zusammenhang mit den besonderen Einträgen der MFT?

Einträge können nur für Mediendateien existieren.

Was enthält das $STANDARD_INFORMATION-Attribut?

Zeitstempel der letzten Änderung des MFT-Eintrags

Wie oft existiert das $FILE_NAME-Attribut für die Einträge der MFT?

Für jeden Eintrag der MFT

Was beschreibt das $DATA-Attribut?

Wird verwendet, um jeden Datentyp zu speichern

Welche Zeitstempel gehören zum $STANDARD_INFORMATION-Attribut?

Accessed Time und MFT Modified Time

Was ist eine Besonderheit des $FILE_NAME-Attributs?

Es existiert mindestens ein $FILE_NAME-Attribut pro Datei und Ordner.

Was beschreibt die Funktion der Zeitstempel im $STANDARD_INFORMATION-Attribut?

Zeigen die Erstellung, Modifikation und den letzten Zugriff an.

Wofür werden Alternate Data Streams verwendet?

Um mehrere Attribute des $DATA-Attributs zu speichern

Welche Aussage zu den Zeitstempeln im $FILE_NAME-Attribut ist korrekt?

Sie werden normalerweise nicht aktualisiert.

Was ist die Hauptfunktion der $MFT im NTFS-Dateisystem?

Sie enthält Einträge für alle Dateien und Ordner innerhalb des Dateisystems.

Welche Aussage über den Startpunkt der $MFT ist korrekt?

Der Startpunkt ist im Boot-Sektor des Dateisystems eingetragen.

Welcher Schritt erfolgt nach dem Auslesen des Boot Sektors beim Erstellen einer Datei?

Eintrag von $MFT analysieren

Welche der folgenden Attribute sind Teil eines Eintrags zu $MFT?

$BITMAP

Welche Attribute müssen beim Initialisieren eines MFT-Eintrags gesetzt werden?

$STANDARD_INFORMATION, $FILE_NAME und Use Flag

Wie wird der Start des MFT im NTFS-System verwaltet?

Er wird dynamisch angepasst, um Platz für neue Einträge zu schaffen.

Warum ist es erforderlich, die Größe der Cluster beim Erstellen einer Datei zu bestimmen?

Um den Speicherplatz für die Datei zu allocieren

Welche Aussage beschreibt die Fragmentierung der MFT im NTFS-Dateisystem am besten?

Fragmentierung kann auftreten und kann die Leistung des Dateisystems beeinträchtigen.

Was repräsentiert das Attribut $BITMAP im Kontext der $MFT?

Den Allokierungs-Status der MFT-Einträge.

Welcher Schritt beinhaltet das Setzen des Bits auf 1 im Zusammenhang mit einem MFT-Eintrag?

Freien Eintrag finden

Wie viele Bytes werden benötigt, um den Start-Cluster eines Runs zu definieren?

2 Bytes

Wo befindet sich der Ordner 'dir1' im NTFS Dateisystem?

Im Root Directory

Was wird durch das Attribut $STANDARD_INFORMATION definiert?

Standarddateiattribute wie Erstellungs- und Änderungsdatum.

Welches Attribut muß ausgewertet werden, um die gesamte Größe des MFT zu erfassen?

$DATA

Welcher Schritt erfolgt zuerst, wenn eine Datei erstellt werden soll?

Boot Sector auslesen

Was geschieht, nachdem der Cluster gefunden wurde?

Das Bit im Cluster Bitmap wird auf 1 gesetzt

Study Notes

NTFS Dateisystemanalyse - Konzepte

• Das New Technology File System (NTFS) zielt auf Zuverlässigkeit, Sicherheit und die Unterstützung großer Datenträger.
• Skalierbarkeit wird durch komplexe Datenstrukturen erreicht.
• NTFS verwendet heute noch Standard-Methoden.
• Die Dateneinheit ist der Cluster, der aus hintereinanderliegenden Sektoren besteht.

Alles ist eine Datei

• Alle Daten, inklusive Dateiformate und Nutzerdaten, werden als Dateien behandelt.
• Dateiformate und Inhalte sind für den Nutzer sichtbar.
• Ordner selbst sind Dateien.
• Administrative Dateien sind mit einem Attribut vor dem Nutzer versteckt.

Master File Table (MFT)

• Die MFT (Master File Table) ist das zentrale Element des NTFS-Dateisystems.
• Sie enthält Informationen zu allen Dateien und Ordnern im System.
• Jeder Datei bzw. Ordner hat einen Eintrag (File Record) in der MFT.
• Jeder Eintrag in der MFT hat eine definierte Größe von 1024 Bytes.
• Ein Eintrag in der MFT besteht aus einem Header und mehreren Attributen.
• Attribute können Eigenschaften oder Dateiinhalte (z.B. Text) sein.

Aufbau eines Eintrags (MFT)

• Der Aufbau eines Eintrags besteht aus der Signatur FILE (ASCII) / BAAD (ASCII, falls fehlerhaft), einem definierten Anfang (42 Bytes), bestehend aus 12 Feldern, und dem Rest (982 Bytes) für Attribute.
• Attribute können Eigenschaften (z.B. Dateinamen) oder Dateiinhalte sein.
• Diese Attribute sind der aufgeteilte Teil eines MFT-Eintrags, neben Header und unbenutzten Bytes.

MFT-Eintrag - Aufbau (graphische Darstellung)

• Der MFT-Eintrag ist gegliedert in Header, Attribute und freien Speicherplatz.

Erster Eintrag der MFT

• Der erste Eintrag der MFT bezieht sich auf die $MFT-Datei selbst.
• Der Speicherort ist im Boot-Sektor des Dateisystems hinterlegt.
• Die $MFT kann fragmentiert sein.
• Die Implementierung von Microsoft stellt sicher, dass $MFT zunächst die minimale Größe einnimmt.
• Falls notwendig, kann $MFT beliebig vergrößert werden.

Besondere Einträge im MFT

• Es gibt Dateien, die z.B. Dateisysteminformationen enthalten.
• Die ersten 16 Einträge sind reserviert und vor dem Nutzer versteckt.
• Die Namen dieser Dateien beginnen mit einem $ (z.B. $MFT).

Attribute im MFT-Eintrag

• Attribute definieren Eigenschaften einer Datei oder eines Ordners.
• Der Inhalt der Datei selbst kann auch ein Attribut sein.
• Ein Attribut besteht aus einem Kopf (16 Byte) und einem flexibelem Inhalt.

Attribute im MFT-Eintrag - Aufbau

• Attribute sind durch einen eindeutigen Identifier (mit Reihenfolgen) gekennzeichnet.
• Attribute haben einen identifizierbaren Namen (z.B. $FILE_NAME, $DATA).

Unterteilung in Attributes

• Resident Attributes: Der Inhalt des Attributs wird direkt im MFT-Eintrag gespeichert.
• Non-Resident Attributes: Der Inhalt des Attributs verweist auf Cluster.

Attribute im MFT-Eintrag - Header

• Header definieren den Typ, die Größe, die Namen (Unicode, UTF-16), sowie Flags (komprimiert, resident, usw.) des Eintrags.

Standard Attribute Types

• verschiedene Attribute-Typen sind vorhanden (z.B. $STANDARD_INFORMATION, $FILE_NAME, $DATA).

MFT: Aufbau eines Eintrags mit Attributen (graphische Darstellung)

• Darstellung des MFT-Aufbau mit Header, Attributen und freiem Speicherplatz.

MFT: Aufbau eines Eintrags mit Identifizierer und Attributnamen (graphische Darstellung)

• Darstellung des MFT-Aufbau mit Identifizierer und Attributnamen, $STANDARD_INFORMATION, $FILE_NAME und $DATA.

Lauflisten (Cluster Runs)

• Non-Resident Attributes werden in Form von sog. Cluster Runs gespeichert.
• Die Reihenfolge der Cluster wird beschrieben.
• Lauflisten ermöglichen die korrekte Anordnung der Daten.

MFT - Aufbau eines Eintrags mit Nicht-Resident Attribute (graphische Darstellung)

• Darstellung eines MFT-Eintrags mit Nicht-Resident Attribut, der auf Cluster 829 verweist.

MFT - Cluster Run (graphische Darstellung)

• Darstellung eines MFT-Eintrags mit Cluster-Run Daten, die mit Start- und Längen-Informationen zusammenhängen.

Aufbau eines Cluster Runs (graphische Darstellung)

• Darstellung eines Cluster Runs mit Byte-Positionen, Run Length und Run Offset.

$MFT - NTFS Dateisystemdaten / Master File Table

• Die MFT ist die zentrale Tabelle in NTFS, die Informationen zu allen Dateien und Ordnern im System enthält.
• Sie enthält Einträge, die den Startpunkt des Dateisystems angeben.
• Die MFT enthält attributes für Dateien und Ordner und wird im Boot-Sektor verzeichnet.
• Wichtige Attribute für den Eintrag in die MFT sind $DATA und $BITMAP.

$MFTMIRR - NTFS Dateisystemdaten

• $MFTMIRR ist eine Kopie der wichtigsten Daten der Datei $MFT.
• Diese redundante Sicherung schützt das NTFS-System vor Datenverlust im Falle von Fehlern in der $MFT.

$BOOT - NTFS Dateisystemdaten

• $BOOT enthält den Boot-Sektor des Dateisystems und dient als Backup am Ende des Dateisystems.
• Der Inhalt ähnelt dem Boot-Sektor von FAT-Systemen.

$ATTRDEF - NTFS Dateisystemdaten

• Diese Datei enthält Informationen zum Dateisystem bzgl. Attribute (Namens und Type-Identifier für jeden Attributstyp), vor allem den $DATA-Attributen.
• Sie ist relevant, falls der Identifier nicht bekannt ist, kann hiernach gesucht werden.

Cluster - Inhaltsdaten

• Ein Cluster besteht aus einer Gruppe von Sektoren.
• Die Anzahl der Sektoren ist durch 2n bestimmt (1, 2, 4, ...).
• Die Adresse des ersten Clusters ist 0.
• Der erste Sektor des Dateisystems entspricht dem ersten Sektor vom Cluster 0.
• Jedes Cluster gehört zu einer Datei.
• NTFS speichert Daten als Attribute innerhalb der MFT.
• Nicht-Resident-Attribute zeigen auf Cluster.

$BITMAP - Inhaltsdaten

• Der $BITMAP-Eintrag enthält den Allokierungs-Status der Cluster, d.h. ob ein Cluster allokiert (1) oder nicht-allokiert (0) ist.
• Der Eintrag gibt den Allokierungszustand jeder Cluster in Bit-Form.

$BADCLUS - Inhaltsdaten

• $BADCLUS enthält Informationen über beschädigte Cluster, d.h. Cluster, die nicht mehr weiter genutzt werden dürfen.
• $BADCLUS enthält die Adressen dieser Cluster.

$STANDARD_INFORMATION-Attribut

• Beinhaltet Kerninformationen über den jeweiligen Eintrag in der MFT (Zeitstempel, Erstellung, Änderung, Zugriffe).

$FILE_NAME-Attribut

• Enthält Verweise auf den jeweiligen Elternordner.
• Enthält den korrekten Dateinamen in UTF-16 Kodierung.
• Beinhaltet entsprechende Informationen zum Namen der Datei, welche mit Flags im $STANDARD_INFORMATION- und $FILE_NAME-Attribut gekennzeichnet ist.

$DATA-Attribut

• Wird verwendet, um jegliche Art von Daten zu speichern.
• Besitzt kein festlegtes Format.
• Mehrere Attribute dieses Typs können durch Alternate Data Streams existieren.

Allokierungsstrategie eines MFT-Eintrags

• Allokierungstrategie des MFT-Eintrages, First Available (ab Eintrag 24) und durch Flag angegeben.

Dateinamen und Ordnernamen

• Dateinamen werden im $FILE_NAME-Attribut in UTF-16 kodiert gespeichert.
• Ordnerattribute werden durch flags im $STANDARD_INFORMATION und $FILE_NAME-Attribut definiert.

Ordner und Root Directory

• Ordner sind Dateien im MFT.
• Weitere wichtige Attribute von Ordnern sind $INDEX_ROOT, $INDEX_ALLOCATION und $BITMAP.
• Root Directory ist MFT-Eintrag 5.

Überblick - Anwendungsdaten

• Quotas begrenzen den Nutzbaren Speicherplatz für Nutzer.
• Logging/Journaling ermöglicht die Wiederherstellung eines korrupten Dateisystems.
• Change Journal speichert Zeiten der Eintragänderung.

Erstellen einer Datei

• Die Schritte zum Erstellen einer Datei beinhalten die Auslesung des Boot-Sektors, Analysieren des MFT-Eintrags zum Auffinden freier Speicherplätze, Initialisieren des korrekten MFT-Eintrags, Clusterfindung und Allokierung, Einfügen in die richtige Ordnerstruktur durch Indexeinträge usw.

Löschen einer Datei

• Das Löschen einer Datei beinhaltet die Schritte, den Ordner im Index zu finden, die Datei in der Ordnerstruktur zu finden (d.h. den Eintrag von 'file1.dat'), die Datei aus der Ordnerstruktur zu entfernen (den MFT-Eintrag von 'file1.dat' zu löschen) und das MFT zu aktualisieren (d.h. den Eintrag-Status aus MFT aktualisieren)

Description

Teste dein Wissen über die Struktur und die Attribute von MFT-Einträgen im NTFS-Dateisystem. Beantworte Fragen zu den definierten Headern, dem Dateiinhaltsattribut und den spezifischen Eigenschaften von MFT-Einträgen. Ideal für Studierende und Fachleute im Bereich Computerwissenschaften.