[© 2004 ZWAGA.COM,  vrij te gebruiken, mits deze bron wordt vermeld. De door ons gebruikte bronnen dienen ook vermeld te worden]

[ terug]
NTFS tabel definities

 

Attribute headers

Geen naam, resident
Offset Grootte Waarde Uitleg
0x00 4   Attribuut Type (b.v. 0x10, 0x60)
0x04 4   Lengte (inclusief deze header)
0x08 1 0x00 Niet-resident vlag
0x09 1 0x00 Lengte naam
0x0A 2 0x00 Offset naar de naam
0x0C 2 0x00
Vlag Uitleg
0x0001 Gecomprimeerd
0x4000 Encrypt
0x8000 Sparse
0x0E 2   Attribuut IDentificatie
0x10 4 X Lengte van het Attribuut
0x14 2 0x18 Offset naar het Attribuut
0x16 1   Geïndexeerd vlag
0x17 1 0x00 opvulling
0x18 X   Het attribuut
Benoemd, residient
Offset Grootte Waarde Uitleg
0x00 4   Attribuut Type (b.v. 0x90, 0xB0)
0x04 4   Lengte (inclusief deze header)
0x08 1 0x00 Niet-resident vlag
0x09 1 N Lengte naam
0x0A 2 0x18 Offset naar de naam
0x0C 2 0x00
Vlag Uitleg
0x0001 Gecomprimeerd
0x4000 Encrypt
0x8000 Sparse
0x0E 2   Attribuut IDentificatie
0x10 4 X Lengte van het Attribuut
0x14 2 2N+0x18 Offset naar het Attribuut
0x16 1   Geïndexeerd vlag
0x17 1 0x00 Opvulling
0x18 2N Unicode Naam van het Attribuut
2N+0x18 X   Het Attribuut (veelvoud van 4)
Geen naam, niet resident
Offset Grootte Waarde Uitleg
0x00 4   Attribuut Type (bv. 0x20, 0x80)
0x04 4   Lengte (inclusief deze header)
0x08 1 0x01 Niet-resident vlag
0x09 1 0x00 Lengte naam
0x0A 2 0x00 Offset naar de Naam
0x0C 2  
Vlag Uitleg
0x0001 Gecomprimeerd
0x4000 Encrypt
0x8000 Sparse
0x0E 2   Attribuut IDentificatie
0x10 8   Eerste VCN
0x18 8   Laatste VCN
0x20 2 0x40 Offset naar de Data Runs
0x22 2   Grootte compressie eenheid

(0=niet gecomprimeerd)
0x24 4 0x00 Opvulling
0x28 8   Aantal clusters wat het attribuut in beslag neemt
0x30 8   Werkelijke grootte van het attribuut
0x38 8   Geïnitialiseerde afmeting van de stream
0x40 ...   Data Runs
Benoemd, niet resident
Offset Grootte Waarde Uitleg
0x00 4   Attribuut Type (bv. 0x80, 0xA0)
0x04 4   Lengte (inclusief deze header)
0x08 1 0x01 Niet-resident vlag
0x09 1 N Lengte naam
0x0A 2 0x40 Offset naar de Naam
0x0C 2  
Vlag Uitleg
0x0001 Gecomprimeerd
0x4000 Encrypt
0x8000 Sparse
0x0E 2   Attribuut IDentificatie
0x10 8   Eerste VCN
0x18 8   Laatste VCN
0x20 2 2N+0x40 Offset naar de Data Runs
0x22 2   Grootte compressie eenheid

(0=niet gecomprimeerd)
0x24 4 0x00 Opvulling
0x28 8   Aantal clusters wat het attribuut in beslag neemt
0x30 8   Werkelijke grootte van het attribuut
0x38 8   Geïnitialiseerde afmeting van de stream
0x40 2N Unicode Naam van het Attribuut
2N+0x40 ...   Data Runs

 

Attributen

Type Naam   Opbouw
0x10 $Standard_Information resident
Offset Grootte

Beschrijving
~ ~ Standard Attribuut Header
0x00 8 C Time - File gemaakt
0x08 8 A Time - File gewijzigd
0x10 8 M Time - MFT gewijzigd
0x18 8 R Time - File gelezen
0x20 4 DOS File Permissies
Vlag Uitleg
0x0001 Alleen lezen
0x0002 Verborgen
0x0004 Systeem
0x0020 Archief
0x0040 Apparaat
0x0080 Normaal
0x0100 Tijdelijk
0x0200 Sparse File
0x0400 Reparse Point
0x0800 Gecomprimeerd
0x1000 Offline
0x2000 Inhoud niet geïndexeerd
0x4000 Encrypt
0x24 4 Maximum aantal versies
0x28 4 Versie Nummer
0x2C 4 Class ID
0x30 4 Eigenaar ID
0x34 4 Security ID
0x38 8 Quota belasting
0x40 8 Unique Sequence Number (USN)
0x20 $Attribute_List  
Offset Grootte

Beschrijving
~ ~ Standaard Attribuut Header
0x00 4 Type
0x04 2 Record lengte
0x06 1 Name lengte
0x07 1 Offset naar Name
0x08 8 Eerste VCN
0x10 8 Base File referentie van het attribuut
0x18 2 Attribuut ID
0x1A 2N Naam in Unicode (als lengte > 0)
0x30 $File_Name resident
Offset Grootte

Beschrijving
~ ~ Standaard Attribuut Header
0x00 8 File referentie naar parent folder.
0x08 8 C Time - File gemaakt
0x10 8 A Time - File gewijzigd
0x18 8 M Time - MFT gewijzigd
0x20 8 R Time - File gelezen
0x28 8 Toegewezen grootte van de file
0x30 8 Echte grootte van de file
0x38 4
Vlag Uitleg
0x0001 Alleen lezen
0x0002 Verborgen
0x0004 Systeem
0x0020 Archief
0x0040 Apparaat
0x0080 Normaal
0x0100 Tijdelijk
0x0200 Sparse File
0x0400 Reparse Point
0x0800 Gecomprimeerd
0x1000 Offline
0x2000 Inhoud niet geïndexeerd
0x4000 Encrypt
0x10000000 Folder (kopie van bijbehorende bit in het MFT record)
0x20000000 Index View (kopie van bijbehorend bit in het MFT record)
0x3c 4 Gebruikt door EA's en Reparse
0x40 1 Filenaam lengte in tekens (=L)
0x41 1 Filenaam naamruimte
0x42 2L Filenaam in Unicode (niet afgesloten met null)
0x40 $Object_ID  
Offset Grootte Naam Beschrijving
~ ~ Standaard Attribuut Header  
0x00 16 GUID Object ID Aan file toegewezen uniek ID
0x10 16 GUID Volume ID bij aanmaak Volume waar file was gemaakt
0x20 16 Oorspronkelijk GUID Object ID Oorspronkelijke Object ID van file
0x30 16 GUID Domain ID Domein waar object was gemaakt
0x50 $Security_Descriptor  
Onderdeel Beschrijving
Header Offsets naar verschillende structuren
Offset Grootte Beschrijving
0x00 1 Revisie
0x01 1 Opvulling
0x02 2
Vlag Uitleg
0x0001 Eigenaar Defaulted
0x0002 Groep Defaulted
0x0004 DACL aanwezig
0x0008 DACL Defaulted
0x0010 SACL aanwezig
0x0020 SACL Defaulted
0x0100 DACL Auto erf verzoek
0x0200 SACL Auto erf verzoek
0x0400 DACL Auto geërfd
0x0800 SACL Auto geërfd
0x1000 DACL beschermd
0x2000 SACL beschermd
0x4000 RM Control Valid
0x8000 Self Relative
0x04 4 Offset naar User SID
0x08 4 Offset naar Group SID
0x0C 4 Offset naar SACL
0x10 4 Offset naar DACL
SACL ACE SID ACEs voor de Security ACL (audits)
DACL ACE SID ACEs voor de Discretionary ACL (permissies)
ACE SID
ACE SID
SID (User) De eigenaar van dit object
SID (Group)
ACL
Offset Grootte

Beschrijving
0x00 1 ACL revisie nr
0x01 1 Opvulling (0x00)
0x02 2 ACL grootte
0x04 2 ACE aantal
0x06 2 Opvulling (0x0000)
ACE
Offset Grootte

Beschrijving
0x00 1 Type
Waarde Beschrijving
0x00 Toegang toegestaan
0x01 Toegang geweigerd
0x02 Systeem Audit
0x01 1 Vlaggen afhankelijk van type

Allowed/

Denied
Waarde

Beschrijving
0x01 Object erft ACE
0x02 Container erft ACE
0x04 'Erft ACE' niet naar onderliggende objecten
0x08 Erft alleen ACE

Audit
Waarde

Beschrijving
0x40 Audit bij Success
0x80 Audit bij Failure
0x02 2 Grootte
0x04 4 Toegangs masker
Bits  Uitleg  
0 - 15 Object specifieke toegangs rechten Read data, Execute, Append data
16 - 22 Standaard toegangs rechten Delete, Write ACL, Write Owner
23 SACL toegankelijk  
24 - 27 Gereserveerd  
28 Generiek ALLES (Read, Write, Execute) Alles onderliggend
29 Generiek Execute Alles wat nodig is om een programma uit te voeren
30 Generiek Write Alles wat nodig is om naar een file te schrijven
31 Generiek Read Alles wat nodig is om een file te lezen
0x08 V SID
SID

S-a-b-c-d-e-f-g

(Bijv. S-1-5-21-646518322-1873620750-619646970-1110 )

S Security
a Revisie nummer (op dit moment 1)
b NT Authority. Onderverdeeld in bytes (48 bit big-endian nummer).
c - g NT Sub-authoriteiten (veel mogelijkheden)
0x60 $Volume_Name  
Offset Grootte

Beschrijving
~ ~ Standaard attribuut header
0x00  

Unicode naam
0x70 $Volume_Information  
Offset Grootte

Beschrijving
~ ~ Standaard attribuut header
0x00 8 nul?
0x08 1 Hoofd versienummer
OS NTFS Version
Windows NT 1.2
Windows 2000 3.0
Windows XP 3.1
0x09 1 sub versienummer
0x0A 2
Vlag Uitleg
0x0001 Dirty (Chkdsk nodig)
0x0002 Pas gootte LogFile aan
0x0004 Upgrade bij Mounten
0x0008 Gemount door NT4
0x0010 Wis gelijk USN
0x0020 repareer object ID's
0x8000 Gewijzigd door chkdsk
0x0C 4 altijd 0
0x80 $Data  
Offset Grootte

Beschrijving
~ ~ Standaard attribuut header
0x00   data
datastream Uitleg
geen naam Het data attribuut van een file heeft meestal geen naam. Files kunnen echter wel benoemde datastreams naast de normale data hebben.
benoemd
Type Uitleg

Naam
0x80 $DATA icon
0x80 $DATA auteur
0x80 $DATA {4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
0x80 $DATA ^EDocumentSummaryInformation
0x80 $DATA ^ESebiesnrMkudrfcoIaamtykdDa
0x80 $DATA ^ESummaryInformation

 

Data Stream Samenvatting Veld Data Type Code
^EDocumentSummaryInformation   Numeric? 0x00
  Numeric 0x01
Categorie ASCII 0x02
^ESebiesnrMkudrfcoIaamtykdDa   Numeric? 0x00
  Numeric? 0x01
bron Unicode 0x04
^ESummaryInformation   Numeric? 0x00
  Numeric? 0x01
Titel ASCII 0x02
Subject ASCII 0x03
Auteur ASCII 0x04
Sleutelwoorden ASCII 0x05
Commentaar ASCII 0x06
Revisie Nummer ASCII 0x09
$MountMgrDatabase Data Stream
Offset Grootte

Beschrijving
0x00 4 Grootte
0x04 4 Vlaggen?
0x08 2 Offset naar UNC pad
0x0A 2 Grootte van UNC pad
0x0C 2 Offset naar data
0x0E 2 Grootte van data
$Bad  
$SDS
Offset Grootte

Beschrijving
0x00 4 Hash van Security Descriptor
0x04 4 Security ID
0x08 8 Offset van deze entry in deze file
0x10 4 Grootte van deze entry
0x04 V Self-relative Security Descriptor
V+0x04 P16 Opvulling
$J
Offset Grootte

Beschrijving
0x00 4 Grootte van entry
0x04 2 Hoofd Versie
0x06 2 Sub versie
0x08 8 MFT referentie
0x10 8 Parent MFT Referentie
0x18 8 Offset van deze entry in $J
0x20 8 Timestamp
0x28 4 Reden
0x2B 4 Broninfo
0x30 4 SecurityID
0x34 4 File attributen
0x38 2 Grootte van filenaam (in bytes)
0x3A 2 Offset naar filenaam
0x3C V Filenaam
V+0x3C P Opvulling tot 8 bytes
SMax
Offset Grootte Beschrijving
0x00 8 Maximum grootte
0x08 8 Allocation Delta ?
0x10 8 USN ID
0x18 8 Laagst geldige USN
0x90 $Index_Root resident

Offset

Grootte

Beschrijving

~

~

Standaard attribuut header

0x00

4

Attribuut type

0x04

4

Collatie regel

0x08

4

Grootte van index allocation entry (bytes)

0x0C

1

Clusters per Index Record

0x0D

3

opvulling tot 8 bytes

Wordt gevolgd door een Index Header

Offset

Grootte

Beschrijving

0x00

4

Offset naar de eerste index entry

0x04

4

Totale grootte van de index entries

0x08

4

Toegewezen grootte of the index entries

0x0C

1

Vlag

Beschrijving

0x00

Kleine index (past in Index Root)

0x01

Grote index (Index toewijzing nodig)

0x0D

3

opvulling tot 8 bytes

en deze bestaat uit Index Entries

Normale indexen:

Naam Index van Gebruikt door
$I30 Filenaamn Directories
$SDH Security Descriptors $Secure
$SII Security ID's $Secure
$O Object ID's $ObjID
$O Owner ID's $Quota
$Q Quotas $Quota
$R Reparse Points $Reparse
0xA0 $Index_Allocation  
Offset Grootte

Beschrijving
~ ~ Standaard attribuut header
0x00 ... Data runs

Index Entry

Offset Grootte

Beschrijving
~ ~ Standaard attribuut header
Het volgend veld is alleen geldig als de laatste entry-vlag niet is gezet
0x00 8 File referentie
0x08 2 L = Lengte van de index entry
0x0A 2 M = Lengte van de stream
0x0C 1
Vlag

Beschrijving
0x01 Index entry points naar een sub-knoop
0x02 Laatste index entry in knooppunt
Het volgend veld is alleen aanwezig als de laatste entry-vlag niet is gezet
0x10 M Stream
Het volgende veld is alleen aanwezig als de sub-knoop vlag is gezet
L - 8 8 VCN van het sub-knooppunt in het index allocation attribuut
0xB0 $Bitmap  
Offset Grootte

Beschrijving
~ ~ Standaard attribuut header
0x00   Bit veld
0xC0 $Reparse_Point  
Offset Grootte

Microsoft Reparse point
~ ~ Standaard attribuut header
0x00 4

Reparse Type (en Vlaggen)

Vlag

Beschrijving
0x20000000 Is alias
0x40000000 Is high latency
0x80000000 Is Microsoft
0x68000005 NSS
0x68000006 NSS recover
0x68000007 SIS
0x68000008 DFS
0x88000003 Mount point
0xA8000004 HSM
0xE8000000 Symbolic link
0x04 2 Reparse data lengte
0x06 2 Opvulling tot 8 bytes
0x08 V Reparse Data, afhankelijk van type:
Offset Grootte

Type Symbolic Link
0x00 2 Vervangende naam offset
0x02 2 Vervangende naam lengte
0x04 2 Print naam offset
0x08 2 Print naam lengte
0x10 V Pad buffer
Offset Grootte

Type volume link
0x00 2 Vervangende naam offset
0x02 2 Vervangende naam lengte
0x04 2 Print naam offset
0x08 2 Print naam lengte
0x10 V Pad buffer
Offset Grootte

3th party Reparse Point
~ ~ Standaard attribuut header
0x00 4 Reparse type (en Vlaggen)
0x04 2 Reparse data lengte
0x06 2 Opvulling tot 8 bytes
0x08 16 Reparse GUID
0x18 V Reparse Data
0xD0 $EA_Information  
Offset Grootte

Beschrijving
~ ~ Standaard attribuut header
0x00 2 Grootte van de packed Extended Attributes
0x02 2 Aantal van de Extended Attributes welke  NEED_EA Vlag hebben gezet
0x04 4 Grootte van de unpacked Extended Attributes

Wordt niet meer ondersteund, was voor compatibiliteit met OS/2
0xE0 $EA  
Offset Grootte

Beschrijving
~ ~ Standaard attribuut header
0x00 4 Offset naar Extended Attribute
0x04 1
Vlag Beschrijving
0x80 EA nodig
0x05 1 Naam lengte (N)
0x06 2 Waarde lengte (V)
0x08 N Naam
N+0x08 V Waarde

Wordt niet meer ondersteund, was voor compatibiliteit met OS/2
0xF0 $Property_Set   Niet meer in gebruik
0x100 $Logged_Utility Stream / $EFS  
Wordt nog aan gewerkt
Offset Grootte

Beschrijving
~ ~ Standaard attribuut header
0x00   Checksum
    DDF Key entries
    DDF Key entry x
Grootte Beschrijving
16 User SID
  Container naam
86 Provider naam
  EFS certificate hash
  Encryted FEK
    DRF Key entries
    DRF Key x

 

Metadata files (met hun attributen)

$MFT
Type

Beschrijving

Naam
0x10 $STANDARD_INFORMATION  
0x30 $FILE_NAME $MFT
0x80 $DATA [Geen naam]
0xB0 $BITMAP [Geen naam]

De MFT heeft ook een rij (record) voor zichzelf. De eerste 24 zijn gereserveerd voor metadata.
$MFTMirr
Type Beschrijving Naam
0x10 $STANDARD_INFORMATION  
0x30 $FILE_NAME $MFTMirr
0x80 $DATA [Geen naam]

Een kopie van de $MFT van minstens de eerste 4 rijen (records).
$LogFile
Type Beschrijving Naam
0x10 $STANDARD_INFORMATION  
0x30 $FILE_NAME $LogFile
0x80 $DATA [Geen naam]
$Volume
Type Beschrijving Naam
0x10 $STANDARD_INFORMATION  
0x30 $FILE_NAME $Volume
0x50 $SECURITY_DESCRIPTOR  
0x60 $VOLUME_NAME  
0x70 $VOLUME_INFORMATION  
0x80 $DATA [Geen naam]
$AttrDef
Type Beschrijving Naam
0x10 $STANDARD_INFORMATION  
0x30 $FILE_NAME $AttrDef
0x50 $SECURITY_DESCRIPTOR  
0x80 $DATA [Geen naam]
Offset Size Beschrijving
0x00 128 Label in Unicode
0x80 4 Type
0x84 4 Display rule (=0)
0x88 4 Collation rule
Vlag Beschrijving
0x00 Binair
0x01 Filenaam
0x02 Unicode String
0x10 Unsigned Long
0x11 SID
0x12 Security Hash
0x13 Meerdere Unsigned Longs
0x8C 4
Vlag Beschrijving
0x02 Geïndexeerd
0x40 Resident (altijd)
0x80 Niet-Resident (toegestaan)
0x90 8 Minimale grootte
0x98 8 Maximale grootte

Voorbeeld in Windows 2000 en Windows XP (omvang 2560 bytes voor 16 attributen, waarvan 1 niet wordt gebruikt.)

Type Name Vlaggen IRN Min grootte Max grootte
0x10 $STANDARD_INFORMATION 0x40 R 0x30 0x48
0x20 $ATTRIBUTE_LIST 0x80 N - -
0x30 $FILE_NAME 0x42 IR 0x44 0x242
0x40 $OBJECT_ID 0x40 R - 0x100
0x50 $SECURITY_DESCRIPTOR 0x80 N - -
0x60 $VOLUME_NAME 0x40 R 0x2 0x100
0x70 $VOLUME_INFORMATION 0x40 R 0xC 0xC
0x80 $DATA 0x00   - -
0x90 $INDEX_ROOT 0x40 R - -
0xA0 $INDEX_ALLOCATION 0x80 N - -
0xB0 $BITMAP 0x80 N - -
0xC0 $REPARSE_POINT 0x80 N - 0x4000
0xD0 $EA_INFORMATION 0x40 R 0x8 0x8
0xE0 $EA 0x00   - 0x10000
0xF0 $PROPERTY_SET ? ? ? ?
0x100 $LOGGED_UTILITY_STREAM 0x80 N - 0x10000
$\.

(Root)
Type Beschrijving Naam
0x10 $STANDARD_INFORMATION  
0x30 $FILE_NAME .
0x50 $SECURITY_DESCRIPTOR  
0x80 $DATA $MountMgrDatabase
Offset Grootte Beschrijving
0x00 4 Grootte van entry
0x04 4 Vlaggen? (bitveld)
0x08 2 Offset naar UNC pad
0x0A 2 Grootte van UNC pad
0x0C 2 Offset naar data
0x0E 2 Grootte van data

aanwezig als er reparse points zijn
0x90 $INDEX_ROOT $I30
0xA0 $INDEX_ALLOCATION $I30
0xB0 $BITMAP $I30
$Bitmap
Type Beschrijving Naam
0x10 $STANDARD_INFORMATION  
0x30 $FILE_NAME $Bitmap
0x80 $DATA [Geen naam]
Bit LCN
000000012 0
000000102 1
000001002 2
... etc
$Boot
Type Beschrijving Naam
0x10 $STANDARD_INFORMATION  
0x30 $FILE_NAME $Boot
0x50 $SECURITY_DESCRIPTOR  
0x80 $DATA [Geen naam]
Offset Grootte Beschrijving
0x0000 3 Jump-instructie naar de boot loader routine
0x0003 8 Systeem ID: "NTFS    "
0x000B 2 Bytes per sector
0x000D 1 Sectors per cluster
0x000E 7 Ongebruikt
0x0015 1 Media descriptor (a)
0x0016 2 Ongebruikt
0x0018 2 Sectors per track
0x001A 2 Aantal heads
0x001C 8 Ongebruikt
0x0024 4 meestal 80 00 80 00
0x0028 8 Aantal sectoren in het volume
0x0030 8 LCN van VCN 0 van de $MFT
0x0038 8 LCN van VCN 0 van de $MFTMirr
0x0040 4 Clusters per MFT Record
0x0044 4 Clusters per Index Record
0x0048 8 Volume serie nummer
~ ~ ~
0x0200   Windows NT Loader
$BadClus
Type Beschrijving Name
0x10 $STANDARD_INFORMATION  
0x30 $FILE_NAME $BadClus
0x80 $DATA [Geen naam]
0x80 $DATA $Bad
$Quota(1)

(NT4)
Type Beschrijving Naam
0x10 $STANDARD_INFORMATION  
0x30 $FILE_NAME $Quota
0x90 $INDEX_ROOT $O
Offset Grootte Waarde Beschrijving
~ ~ ~ Standard Index Header
0x00 2 0x1C Offset naar data
0x02 2 0x04 Grootte van data
0x04 4 0x00 Opvulling
0x08 2 0x20 Grootte van Index Entry
0x0A 2 0x0C Grootte van Index Key (K)
0x0C 2   Vlaggen
0x0E 2 0x00 Opvulling
0x10 K   Key SID
K+0x10 4   Data ID Eigenaar
K+0x14 P   Data Opvulling tot 8 bytes
0x90 $INDEX_ROOT $Q
Offset Groote Waarde Beschrijving
~ ~ ~ Standard Index Header
0x00 2 0x14 Offset naar data
0x02 2   Grootte van data
0x04 4 0x00 Opvulling
0x08 2   Grootte van Index Entry
0x0A 2 0x04 Grootte van Index Key
0x0C 4 0x00 Opvulling
0x10 4   Key ID eigenaar
0x14 4 0x02 Data Versie
0x18 4   Data
Vlag Beschrijving
0x0001 Standaard limieten
0x0002 Limiet bereikt
0x0004 ID gewist
0x0010 Tracking staat aan
0x0020 Enforcement staat aan
0x0040 Tracking verzocht
0x0080 Log Threshold
0x0100 Log limiet
0x0200 Out of date
0x0400 Corrupt
0x0800 Pending deletes
0x1C 8   Data Ongebruikte bytes
0x24 8   Data Tijd van wijziging
0x2C 8   Data Waarschuwings limiet
0x34 8   Data Harde limiet
0x3C 8   Data Overschreden tijd
0x44 V   Data

SID (als vlag = Default Limits, dan geen SID)
V+0x44 P 0x00 Data Opvulling tot 8 bytes
0xA0 $INDEX_ALLOCATION $O
0xA0 $INDEX_ALLOCATION $Q
0xB0 $BITMAP $O
0xB0 $BITMAP $Q
$Secure
Type Beschrijving Naam
0x10 $STANDARD_INFORMATION  
0x30 $FILE_NAME $Secure
0x80 $DATA $SDS
Offset Grootte Beschrijving
0x00 4 Hash van Security Descriptor
0x04 4 Security ID
0x08 8 Offset van deze entry in deze file
0x10 4 Grootte van deze entry
0x04 V Self-relative Security Descriptor
V+0x04 P16 Opvulling
0x90 $INDEX_ROOT $SDH
Offset Grootte Waarde Beschrijving
~ ~ ~ Standard Index Header
0x00 2 0x18 Offset naar data
0x02 2 0x14 Grootte van data
0x04 4 0x00 Opvulling
0x08 2 0x30 Grootte van Index Entry
0x0A 2 0x08 Grootte van Index Key
0x0C 2   Vlaggen
0x0E 2 0x00 Opvulling
0x10 4   Key Hash van Security Descriptor
0x14 4   Key Security ID
0x18 4   Data Hash van Security Descriptor
0x1C 4   Data Security ID
0x20 8   Data Offset naar Security Descriptor (in $SDS)
0x28 4   Data Grootte van Security Descriptor (in $SDS)
0x2C P8   Data Opvulling
0x90 $INDEX_ROOT $SII
Offset Grootte Waarde Beschrijving
~ ~ ~ Standard Index Header
0x00 2 0x14 Offset naar data
0x02 2 0x14 Grootte van data
0x04 4 0x00 Opvulling
0x08 2 0x28 Grootte van Index Entry
0x0A 2 0x04 Grootte van Index Key
0x0C 2   Vlaggen
0x0E 2 0x00 Opvulling
0x10 4   Key Security ID
0x14 4   Data Hash of Security Descriptor
0x18 4   Data Security ID
0x1C 8   Data Offset naar Security Descriptor (in $SDS)
0x24 4   Data Grootte van Security Descriptor (in $SDS)
0xA0 $INDEX_ALLOCATION $SDH
0xA0 $INDEX_ALLOCATION $SII
0xB0 $BITMAP $SDH
0xB0 $BITMAP $SII
$Upcase
Type Beschrijving Naam
0x10 $STANDARD_INFORMATION  
0x30 $FILE_NAME $UpCase
0x80 $DATA [Geen naam]
Offset Teken
~ ~
0x82 A
0x84 B
0x86 C
~ ~
$Extend
Type Beschrijving Naam
0x10 $STANDARD_INFORMATION  
0x30 $FILE_NAME $Extend
0x90 $INDEX_ROOT $I30
$ObjID
Type Beschrijving Naam
0x10 $STANDARD_INFORMATION  
0x30 $FILE_NAME $ObjID
0x90 $INDEX_ROOT $O
Offset Grootte Waarde Beschrijving
~ ~ ~ Standard Index Header
0x00 2 0x20 Offset naar data
0x02 2 0x38 Grootte van data
0x04 4 0x00 Opvulling
0x08 2 0x58 Grootte van Index Entry
0x0A 2 0x10 Grootte van Index Key
0x0C 2  
Vlag Beschrijving
0x01 Entry heeft subnodes
0x02 Laatste entry
0x0E 2 0x00 Opvulling
0x10 16   Key GUID Object ID
0x20 8   Data MFT Reference
0x28 16   Data GUID Birth Volume ID
0x38 16   Data GUID Birth Object ID
0x48 16   Data GUID Domain ID
0xA0 $INDEX_ALLOCATION $O
0xB0 $BITMAP $O
$Quota(2)

(W2K)
Type Beschrijving Naam
0x10 $STANDARD_INFORMATION  
0x30 $FILE_NAME $Quota
0x90 $INDEX_ROOT $O
Offset Grootte Waarde Beschrijving
~ ~ ~ Standard Index Header
0x00 2 0x1C Offset to data
0x02 2 0x04 Grootte van data
0x04 4 0x00 Opvulling
0x08 2 0x20 Grootte van Index Entry
0x0A 2 0x0C Grootte van Index Key (K)
0x0C 2   Vlaggen
0x0E 2 0x00 Opvulling
0x10 K   Key SID
K+0x10 4   Data Owner ID
K+0x14 P   Data Opvulling tot 8 bytes
0x90 $INDEX_ROOT $Q
Offset Grootte Waarde Beschrijving
~ ~ ~ Standard Index Header
0x00 2 0x14 Offset to data
0x02 2   Grootte van data
0x04 4 0x00 Opvulling
0x08 2   Grootte van Index Entry
0x0A 2 0x04 Grootte van Index Key
0x0C 4 0x00 Opvulling
0x10 4   Key Owner ID
0x14 4 0x02 Data Versie
0x18 4   Data
Vlag Beschrijving
0x0001 Standaard limieten
0x0002 Limiet bereikt
0x0004 ID gewist
0x0010 Tracking staat aan
0x0020 Enforcement staat aan
0x0040 Tracking verzocht
0x0080 Log Threshold
0x0100 Log limiet
0x0200 Out of Date
0x0400 Corrupt
0x0800 Pending deletes
0x1C 8   Data Bytes gebruikt
0x24 8   Data Tijd van wijziging
0x2C 8   Data Waarschuwings limiet
0x34 8   Data Harde limiet
0x3C 8   Data Overschreden tijd
0x44 V   Data SID
V+0x44 P 0x00 Data Opvulling tot 8 bytes
0xA0 $INDEX_ALLOCATION $O
0xA0 $INDEX_ALLOCATION $Q
0xB0 $BITMAP $O
0xB0 $BITMAP $Q
$Reparse
Type Beschrijving Naam
0x10 $STANDARD_INFORMATION  
0x30 $FILE_NAME $Reparse
0x90 $INDEX_ROOT $R
Offset Grootte Waarde Beschrijving
~ ~ ~ Standard Index Header
0x00 2 0x1C Offset naar data
0x02 2 0x00 Grootte van data
0x04 4 0x00 Opvulling
0x08 2 0x20 Grootte van Index Entry
0x0A 2 0x0C Grootte van Index Key
0x0C 2   Vlaggen
0x0E 2 0x00 Opvulling
0x10 4   Key Reparse Tag (en vlaggen)
0x14 8   Key MFT Reference van Reparse Point
0x1C 4 0x00 Key Opvulling (align to 8 bytes)
0xA0 $INDEX_ALLOCATION $R
0xB0 $BITMAP $R
$USNJrnl
Type Beschrijving Naam
0x10 $STANDARD_INFORMATION  
0x30 $FILE_NAME $UsnJrnl
0x80 $DATA $J
Offset Grootte Beschrijving
0x00 4 Grootte van entry
0x04 2 Hoofdversienr (2. 2.0
0x06 2 Subversienr     0)
0x08 8 MFT referentie
0x10 8 Parent MFT referentie
0x18 8 Offset naar deze entry in $J
0x20 8 Timestamp
0x28 4 Reden
Vlag Beschrijving
0x01 Data in één of meer benoemde data streams van de file was overschreven.
0x02 De file of folder was toegevoegd aan.
0x04 De file of folder was afgekapt.
0x10 Data in één of meer benoemde data streams van de file was overschreven.
0x20 Eén of meer benoemde data streams van the file waren toegevoegd aan.
0x40 Eén of meer benoemde data streams van de file waren afgekapt.
0x100 De file of folder was voor het eerst gemaakt.
0x200 De file of folder was gewist.
0x400 Een user heeft de extended attributes gewijzigd van de file of folder. Deze NTFS attributen zijn niet toegankelijk voor Windowsapplicaties.
0x800 De permissies van de file of folder zijn gewijzigd.
0x1000 De file of folder was hernoemd en de filenaam in deze structuur is de vorige naam.
0x2000 De file of folder was hernoemd en de filenaam in deze structuur is de nieuwe naam.
0x4000 Een user heeft de FILE_ATTRIBUTE_NOT_CONTENT_INDEXED attribute gewijzigd. De file kan daardoor wel of juist niet meer geïndexeerd worden op inhoud.
0x8000 Een user heeft ofwel één of meer file/folder attributen ofwel  één of meer  timestamps gewijzijgd.
0x10000 Een NTFS hard link is toegevoegd of verwijderd van een file of folder
0x20000 De compressiestatus van de file/folder is gewijzigd van of naar compressed.
0x40000 De file/folder is encrypt of decrypt
0x80000 De objectidentificatie van de file/folder is gewijzigd.
0x100000 Het reparse point in the file/folder is gewijzigd, of toegevoegd, of gewist.
0x200000 Een benoemde datastream is toegevoegd, verwijderd aan/van de file, of hernoemd.
0x80000000 De file/folder is gesloten.
0x2B 4 BronInfo
Vlag Beschrijving
0x01 De bewerking levert informatie over de wijziging van een file/folder door het OS.
0x02 The bewerking voegt een private data stream toe aan een file/folder.
0x04 De bewerking maakt of wijzigt de inhoud van een gerepliceerde file.
0x30 4 SecurityID
0x34 4 Fileattributen
0x38 2 Grootte van filenaam (in bytes)
0x3A 2 Offset naar filenaam
0x3C V Filenaam
V+0x3C P Opvulling tot 8 bytes
0x80 $DATA $Max
Offset Grootte Beschrijving
0x00 8 Maximale grootte
0x08 8 Allocation Delta
0x10 8 USN ID
0x18 8 Laagst geldige USN

Sources:

http://linux-ntfs.sourceforge.net/ntfs

http://www.ntfs.com