2.NTFS与FAT等的比较
3.能说明其特性的测试小程序,代码分析示例(能提供此项优秀资料,小弟愿追加全部可用分数)
以上资料需中文,E文不好,也可以是相关资料的有用出处(链接,Ebook),最好是图文并貌,若能提供较好的资源,小弟愿意另开贴散分!!!
在此先谢过各位大侠拉!!!
17 个解决方案
#1
自己用google搜索阿,很多的
这我以前收集的:
http://www.gb.tomshardware.com/article_000074505.html
这我以前收集的:
http://www.gb.tomshardware.com/article_000074505.html
#2
NTFS分区方式的优点。
自从Windows2000开始,微软开始推荐大家使用NTFS的磁盘格式,其后推出的XP更是要配合这种磁盘格式才能发挥其最大的性能优势。不仅仅是微软推广的缘故,NTFS的磁盘格式由于其自身的技术优势,配合目前硬件、网络发展的趋势的作用,正逐渐被广大用户接受。
1、大硬盘带来的影响。
现在的硬盘容量正以倍数在增长,每半年就增加一倍甚至更多,价格却在降低。这样基于传统的FAT文件系统的分区方式,就将逐步体现出其先天不足之处了——我们先来看看FAT32,FAT32是FAT文件系统的增强版本,可用在容量为512MB到2TB的驱动器上,虽然如此,以FAT32的格式,如果划分太大的分区空间,由于其磁盘的簇相对过大,在储存多个小文件的时候,将造成空间利用上的极大浪费。
相对而言,NTFS的磁盘格式的簇相当地细,就能有效地利用磁盘空间,而且不容易产生碎片。另外,NTFS的磁盘格式在处理单个巨大的文件的时候如进行视频捕捉、编辑的时候,也比FAT系统有优势。随着海量硬盘的发展,使用NTFS的分区格式将越来越必要——你总不希望把分区数划分满24个字母的盘符来迁就分区容量吧?所以,微软推荐使用NTFS而不是FAT32文件系统格式化大于32GB的分区是有其道理的。
2、新一代Windows操作系统的影响
随着时间的推移,新一代Windows的过渡,微软很可能会采取放弃兼容DOS的安装和维护操作系统的方式,即光盘启动后直接采用全新的直接图形化界面进行下几代Windows的安装,这样可以避开DOS模式的内存配置环境对安装Windows造成的负面影响,也可让很多破解其激活设置的程序失效(DOS环境下内存配置对新手来说比较复杂,很多人安装XP失败除了硬件兼容问题外,是由于这个原因);同时对最终用户来说,新的安装模式可在安装的时候更好地分析用户的硬件系统,提供更多的友好提示和更强的故障解决功能。使用图形界面直接管理安装任务的话,基于第一点叙述的原因,Windows很可能会要求用户用NTFS先格式化新一代海量硬盘超过32G的分区,才能继续进行安装。也可能通过在新的操作系统里去掉对FAT系统的支持,来强行推广NTFS磁盘格式。
3、联网和多PC连接导致的用户安全和管理问题
以后的电脑进行在线工作和娱乐是不可逆转的趋势,随着互联网在世界各地进一步普及,在线的电脑的安全和管理问题日益突出,而且很多人家里由于升级,已经有超过了一台的电脑。只有使用NTFS,Windows系统的安全性能和可管理性才能真正得到保障。无论是接入INTERNET还是用户自己在家里组建局域网,NTFS都将使用户更灵活地配置和管理计算机资源。NTFS的磁盘配额、用户权限和个人文件加密等等功能、和网络应用方面的优势,已经有很多资料介绍了,此处不再重复。
另外,NTFS支持基于UNIX服务的POSIX标准,可移植性也很强。这保证了它和其他网络平台的兼容性。
当然,这一切的前提是Windows还是占垄断地位的操作系统。从目前情况看,微软保持其软件业龙头的地位还是不成问题的。超过500G的海量硬盘在明年年底或是后年初就可能会出现了,这是推动NTFS磁盘格式成为主流分区格式的最强大动力之一。
由以上的几点可看出,针对家用PC而言,使用NTFS的最大的好处是第一点,也就是NTFS对大硬盘有着更好的支持与利用,第三点主要是针对商业型用户,这里我也想对那些入门级用户说一声,如果你使用了NTFS且对NTFS的磁盘配额、用户权限和个人文件加密等等功能不是很了解,最好不要随意设置目录的权限,不然可能会有着意想不到的后果
自从Windows2000开始,微软开始推荐大家使用NTFS的磁盘格式,其后推出的XP更是要配合这种磁盘格式才能发挥其最大的性能优势。不仅仅是微软推广的缘故,NTFS的磁盘格式由于其自身的技术优势,配合目前硬件、网络发展的趋势的作用,正逐渐被广大用户接受。
1、大硬盘带来的影响。
现在的硬盘容量正以倍数在增长,每半年就增加一倍甚至更多,价格却在降低。这样基于传统的FAT文件系统的分区方式,就将逐步体现出其先天不足之处了——我们先来看看FAT32,FAT32是FAT文件系统的增强版本,可用在容量为512MB到2TB的驱动器上,虽然如此,以FAT32的格式,如果划分太大的分区空间,由于其磁盘的簇相对过大,在储存多个小文件的时候,将造成空间利用上的极大浪费。
相对而言,NTFS的磁盘格式的簇相当地细,就能有效地利用磁盘空间,而且不容易产生碎片。另外,NTFS的磁盘格式在处理单个巨大的文件的时候如进行视频捕捉、编辑的时候,也比FAT系统有优势。随着海量硬盘的发展,使用NTFS的分区格式将越来越必要——你总不希望把分区数划分满24个字母的盘符来迁就分区容量吧?所以,微软推荐使用NTFS而不是FAT32文件系统格式化大于32GB的分区是有其道理的。
2、新一代Windows操作系统的影响
随着时间的推移,新一代Windows的过渡,微软很可能会采取放弃兼容DOS的安装和维护操作系统的方式,即光盘启动后直接采用全新的直接图形化界面进行下几代Windows的安装,这样可以避开DOS模式的内存配置环境对安装Windows造成的负面影响,也可让很多破解其激活设置的程序失效(DOS环境下内存配置对新手来说比较复杂,很多人安装XP失败除了硬件兼容问题外,是由于这个原因);同时对最终用户来说,新的安装模式可在安装的时候更好地分析用户的硬件系统,提供更多的友好提示和更强的故障解决功能。使用图形界面直接管理安装任务的话,基于第一点叙述的原因,Windows很可能会要求用户用NTFS先格式化新一代海量硬盘超过32G的分区,才能继续进行安装。也可能通过在新的操作系统里去掉对FAT系统的支持,来强行推广NTFS磁盘格式。
3、联网和多PC连接导致的用户安全和管理问题
以后的电脑进行在线工作和娱乐是不可逆转的趋势,随着互联网在世界各地进一步普及,在线的电脑的安全和管理问题日益突出,而且很多人家里由于升级,已经有超过了一台的电脑。只有使用NTFS,Windows系统的安全性能和可管理性才能真正得到保障。无论是接入INTERNET还是用户自己在家里组建局域网,NTFS都将使用户更灵活地配置和管理计算机资源。NTFS的磁盘配额、用户权限和个人文件加密等等功能、和网络应用方面的优势,已经有很多资料介绍了,此处不再重复。
另外,NTFS支持基于UNIX服务的POSIX标准,可移植性也很强。这保证了它和其他网络平台的兼容性。
当然,这一切的前提是Windows还是占垄断地位的操作系统。从目前情况看,微软保持其软件业龙头的地位还是不成问题的。超过500G的海量硬盘在明年年底或是后年初就可能会出现了,这是推动NTFS磁盘格式成为主流分区格式的最强大动力之一。
由以上的几点可看出,针对家用PC而言,使用NTFS的最大的好处是第一点,也就是NTFS对大硬盘有着更好的支持与利用,第三点主要是针对商业型用户,这里我也想对那些入门级用户说一声,如果你使用了NTFS且对NTFS的磁盘配额、用户权限和个人文件加密等等功能不是很了解,最好不要随意设置目录的权限,不然可能会有着意想不到的后果
#3
1、什么是NTFS-新(N)技术(T)文件(F)系统(S)?
想要了解NTFS,我们首先应该认识一下FAT。FAT(File Allocation Table)是“文件分配表”的意思。对我们来说,它的意义在于对硬盘分区的管理。FAT16、FAT32、NTFS是目前最常见的三种文件系统。
FAT16:我们以前用的DOS、Windows 95都使用FAT16文件系统,现在常用的Windows 98/2000/XP等系统均支持FAT16文件系统。它最大可以管理大到2GB的分区,但每个分区最多只能有65525个簇(簇是磁盘空间的配置单位)。随着硬盘或分区容量的增大,每个簇所占的空间将越来越大,从而导致硬盘空间的浪费。
FAT32:随着大容量硬盘的出现,从Windows 98开始,FAT32开始流行。它是FAT16的增强版本,可以支持大到2TB(2048G的分区。FAT32使用的簇比FAT16小,从而有效地节约了硬盘空间。
NTFS:微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。随着以NT为内核的Windows 2000/XP的普及,很多个人用户开始用到了NTFS。NTFS也是以簇为单位来存储数据文件,但NTFS中簇的大小并不依赖于磁盘或分区的大小。簇尺寸的缩小不但降低了磁盘空间的浪费,还减少了产生磁盘碎片的可能。NTFS支持文件加密管理功能,可为用户提供更高层次的安全保证。
2、什么系统可以支持NTFS文件系统?
只有Windows NT/2000/XP才能识别NTFS系统,Windows 9x/Me以及DOS等操作系统都不能支持、识别NTFS格式的磁盘。由于DOS系统不支持NTFS系统,所以最好不要将C:盘制作为NTFS系统,这样在系统崩溃后便于在DOS系统下修复。
NTFS与操作系统支持情况如下:
FAT16 windows 95/98/me/nt/2000/xp unix,linux,dos
FAT32 windows 95/98/me/2000/xp
NTFS windows nt/2000/xp
3、我们需要NTFS吗?
Windows 2000/XP在文件系统上是向下兼容的,它可以很好地支持FAT16/FAT32和NTFS,其中NTFS是Windows NT/2000/XP专用格式,它能更充分有效地利用磁盘空间、支持文件级压缩、具备更好的文件安全性。如果你只安装Windows 2000/XP,建议选择NTFS文件系统。如果多重引导系统,则系统盘(C盘)必须为FAT16或FAT32,否则不支持多重引导。当然,其他分区的文件系统可以为NTFS。
4、如何将FAT分区转换为NTFS?
Windows 2000/XP提供了分区格式转换工具“Convert.exe”。Convert.exe是Windows 2000附带的一个DOS命令行程序,通过这个工具可以直接在不破坏FAT文件系统的前提下,将FAT转换为NTFS。它的用法很简单,先在Windows 2000环境下切换到DOS命令行窗口,在提示符下键入:D:\>convert 需要转换的盘符 /FS:NTFS。如系统E盘原来为FAT16/32,现在 需要转换为NTFS,可使用如下格式:D:\>convert e: /FS:NTFS。所有的转换将在系统重新启动后完成。本人推荐使用此法进行转换!
此外,你还可以使用专门的转换工具,如著名的硬盘无损分区工具Powerquest Partition Magic 7.0,软件下载页面http://soft.km169.net/soft/html/1964.htm,使用它完成磁盘文件格式的转换也是非常容易的。首先在界面中的磁盘分区列表中选择需要转换的分区。从界面按钮条中选择“Convert Partition”按钮,或者是从界面菜单条“Operations”项下拉菜单中选择“Convert”命令。激活该项功能界面。在界面中选择转换输出为“NTFS”,之后单击“OK”按钮返回程序主界面。单击界面右下角的“Apply”添加设置。此后系统会重新引导启动,并完成分区格式的转换操作。
5、如何在NTFS格式分区下找回意外删除丢失的文件?
你可以使用专门的软件,如Final Data for NTFS,或者是Get Data Back for NTFS 1.04。这两个软件的文件恢复效果都不错。本人推荐使用数据恢复功能强大、速度快的Get Data Back for FAT 1.05/NTFS 1.04(是2个软件),下载地址http://download-tipp.de/cgi-bin/suchen.cgi?mh=10&query=support_europe@runtime.org&type=phrase&bool=and。如果在文件删除后没有任何文件操作,恢复率接近100%。所以不要等到文件删除后才安装这个软件,最好是与Windows系统一起安装,并在出现文件误删除后立刻执行恢复操作,一般可以将删除的文件恢复回来。
6、如果Windows 2000/XP安装在C盘(NTFS格式),当Windows崩溃时在DOS状态下不能进入C盘,怎么办?
你可以使用Windows 2000/XP的安装光盘启动来修复Windows,或者是制作Windows 2000/XP的安装启动应急盘。注意:Windows 2000的安装盘制作程序在程序的安装光盘中,而Windows XP的应急盘制作是独立提供的,需要从微软的网站下载。
7、Final Data for NTFS或Get Data Back for NTFS可以修复被意外格式化的硬盘吗?
这两个软件都可以恢复格式化删除的数据(低级格式化除外)。常规格式化删除的只是数据信息,低级格式化则删除全部数据区,当硬盘技术还不像现在这样发达的时候,磁盘表面很容易磨损。硬盘使用者对经常出现的读错误,往往采用低级格式化。修复被格式化的硬盘,只能将这个硬盘拆下来,安装到其他的计算机中,之后执行文件修复操作。Final Data甚至可以修复由CIH病毒破坏的硬盘。
8、Windows 98(FAT系统)下如何直接读写NTFS文件系统?
当电脑安装有Windows 98和Windows 2000/XP两个操作系统,如何在FAT系统下直接读写NTFS文件系统?虽然FAT系统可以转换为NTFS系统,但是有时我们需要在机器中同时安装Windows 98和Windows 2000/XP。此时的麻烦就来了,由于Windows 98不能读取Windows 2000的NTFS,那么如何进行数据交换呢?实际上我们只需要使用一个小小的软件NTFS for Windows 98就可以让Windows 98轻松读取、甚至写入NTFS分区。首先,到该工具的下载网址http://down.hothost.com/list.asp?id=514下载NTFS for Windows 98 1.07版(能读、写!)。解压缩后,请把CR整个目录(里边有7个读取NTFS文件系统必须使用到Windows 2000/XP的系统文件,其它3个是注释文件)COPY到C盘(也可改名为NTFS_FILES,我是这样改的),安装结束后会出现一个配置界面,在该界面中的“NTFS System Files”项中需要设置的是程序可以借用的Windows 2000/XP系统的相关文件保存路径,你就选择刚才COPY到盘的CR目录即可,然后其它什么都不必去操作,到此设置完成,单击OK按钮保存设置并退出。重启后就可以在Windows 98下访问NTFS分区了!经过实际使用,证明安装此软件后,在NTFS分区上能读、写!
以上内容本人在WIN98SE+WINXP_PROCN+WINXP_PROEN及WINME+WINXP_PROCN+WINXP_PROEN上验证通过!(2台机)
下面的内容仅供参考,建议你不要实施,至少我是这样做的。
[Drive Letter Assignments”项中提供的设置是设置允许可以识别的NTFS分区盘符,设置的依据可以参考在Windows 2000/XP下的盘符顺序。如果单击界面中的“Advanced”按钮,在关联界面中提供了针对设置的NTFS分区高级设置,其中包括设置为只读属性“Read-Only”、允许写入“Write-Through”。对于检查点间隔“Checkpoint Interval”和写回间隔“Writeback nterval”,使用程序提供的默认设置即可。]
9、如何在DOS系统下直接读写NTFS文件系统?
Winternals Software LP 公司提供了工具软件解决了这个问题。用一张MS-DOS启动盘就可以作到以前不可能作到的事,修改,删除,更新 NTFS上的文件,实际 NTFSDOS pro 是在 Windows NT 出问题时的一个修复工具。下载页面http://soft.winzheng.com/searchengine.asp,键入“NTFS”查找该站软件,就可以找出NTFSDOS PRO 4.0,最好选择服务器2下载。具体安装过程并不复杂,按照提示做好启动盘即可。
10、在NTFS系统下,如何保护自己的文件、文件夹?
由于NTFS文件分区格式具有良好的安全性,如果你不希望自己在硬盘中的文件被其他人调用或查看,使用权限控制方式加密是非常有效的方法。设置方法非常简单:以系统管理员身份登录,使用鼠标右键单击需要加密的文件夹,选择“Properties”,切换到“Security”选项卡。在“Group of user names”项中设置允许访问的用户只有Administrator和自己。删除其他的所有用户。保存设置退出即可。此后,其他用户将不能访问该文件夹。使用这项功能需要注意的是:一定要保证只有你一个人知道Administrator密码,并且设置其他用户不能属于Administrator。此外,你还可以详细的给每个用户设置权限,包括设置读取权限、写入权限、删除权限等,这样使用起来就更加灵活。你还可以设置权限,控制一个磁盘,或者磁盘分区只为自己使用,这样其他人就不能看到你的任何东西了。
想要了解NTFS,我们首先应该认识一下FAT。FAT(File Allocation Table)是“文件分配表”的意思。对我们来说,它的意义在于对硬盘分区的管理。FAT16、FAT32、NTFS是目前最常见的三种文件系统。
FAT16:我们以前用的DOS、Windows 95都使用FAT16文件系统,现在常用的Windows 98/2000/XP等系统均支持FAT16文件系统。它最大可以管理大到2GB的分区,但每个分区最多只能有65525个簇(簇是磁盘空间的配置单位)。随着硬盘或分区容量的增大,每个簇所占的空间将越来越大,从而导致硬盘空间的浪费。
FAT32:随着大容量硬盘的出现,从Windows 98开始,FAT32开始流行。它是FAT16的增强版本,可以支持大到2TB(2048G的分区。FAT32使用的簇比FAT16小,从而有效地节约了硬盘空间。
NTFS:微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。随着以NT为内核的Windows 2000/XP的普及,很多个人用户开始用到了NTFS。NTFS也是以簇为单位来存储数据文件,但NTFS中簇的大小并不依赖于磁盘或分区的大小。簇尺寸的缩小不但降低了磁盘空间的浪费,还减少了产生磁盘碎片的可能。NTFS支持文件加密管理功能,可为用户提供更高层次的安全保证。
2、什么系统可以支持NTFS文件系统?
只有Windows NT/2000/XP才能识别NTFS系统,Windows 9x/Me以及DOS等操作系统都不能支持、识别NTFS格式的磁盘。由于DOS系统不支持NTFS系统,所以最好不要将C:盘制作为NTFS系统,这样在系统崩溃后便于在DOS系统下修复。
NTFS与操作系统支持情况如下:
FAT16 windows 95/98/me/nt/2000/xp unix,linux,dos
FAT32 windows 95/98/me/2000/xp
NTFS windows nt/2000/xp
3、我们需要NTFS吗?
Windows 2000/XP在文件系统上是向下兼容的,它可以很好地支持FAT16/FAT32和NTFS,其中NTFS是Windows NT/2000/XP专用格式,它能更充分有效地利用磁盘空间、支持文件级压缩、具备更好的文件安全性。如果你只安装Windows 2000/XP,建议选择NTFS文件系统。如果多重引导系统,则系统盘(C盘)必须为FAT16或FAT32,否则不支持多重引导。当然,其他分区的文件系统可以为NTFS。
4、如何将FAT分区转换为NTFS?
Windows 2000/XP提供了分区格式转换工具“Convert.exe”。Convert.exe是Windows 2000附带的一个DOS命令行程序,通过这个工具可以直接在不破坏FAT文件系统的前提下,将FAT转换为NTFS。它的用法很简单,先在Windows 2000环境下切换到DOS命令行窗口,在提示符下键入:D:\>convert 需要转换的盘符 /FS:NTFS。如系统E盘原来为FAT16/32,现在 需要转换为NTFS,可使用如下格式:D:\>convert e: /FS:NTFS。所有的转换将在系统重新启动后完成。本人推荐使用此法进行转换!
此外,你还可以使用专门的转换工具,如著名的硬盘无损分区工具Powerquest Partition Magic 7.0,软件下载页面http://soft.km169.net/soft/html/1964.htm,使用它完成磁盘文件格式的转换也是非常容易的。首先在界面中的磁盘分区列表中选择需要转换的分区。从界面按钮条中选择“Convert Partition”按钮,或者是从界面菜单条“Operations”项下拉菜单中选择“Convert”命令。激活该项功能界面。在界面中选择转换输出为“NTFS”,之后单击“OK”按钮返回程序主界面。单击界面右下角的“Apply”添加设置。此后系统会重新引导启动,并完成分区格式的转换操作。
5、如何在NTFS格式分区下找回意外删除丢失的文件?
你可以使用专门的软件,如Final Data for NTFS,或者是Get Data Back for NTFS 1.04。这两个软件的文件恢复效果都不错。本人推荐使用数据恢复功能强大、速度快的Get Data Back for FAT 1.05/NTFS 1.04(是2个软件),下载地址http://download-tipp.de/cgi-bin/suchen.cgi?mh=10&query=support_europe@runtime.org&type=phrase&bool=and。如果在文件删除后没有任何文件操作,恢复率接近100%。所以不要等到文件删除后才安装这个软件,最好是与Windows系统一起安装,并在出现文件误删除后立刻执行恢复操作,一般可以将删除的文件恢复回来。
6、如果Windows 2000/XP安装在C盘(NTFS格式),当Windows崩溃时在DOS状态下不能进入C盘,怎么办?
你可以使用Windows 2000/XP的安装光盘启动来修复Windows,或者是制作Windows 2000/XP的安装启动应急盘。注意:Windows 2000的安装盘制作程序在程序的安装光盘中,而Windows XP的应急盘制作是独立提供的,需要从微软的网站下载。
7、Final Data for NTFS或Get Data Back for NTFS可以修复被意外格式化的硬盘吗?
这两个软件都可以恢复格式化删除的数据(低级格式化除外)。常规格式化删除的只是数据信息,低级格式化则删除全部数据区,当硬盘技术还不像现在这样发达的时候,磁盘表面很容易磨损。硬盘使用者对经常出现的读错误,往往采用低级格式化。修复被格式化的硬盘,只能将这个硬盘拆下来,安装到其他的计算机中,之后执行文件修复操作。Final Data甚至可以修复由CIH病毒破坏的硬盘。
8、Windows 98(FAT系统)下如何直接读写NTFS文件系统?
当电脑安装有Windows 98和Windows 2000/XP两个操作系统,如何在FAT系统下直接读写NTFS文件系统?虽然FAT系统可以转换为NTFS系统,但是有时我们需要在机器中同时安装Windows 98和Windows 2000/XP。此时的麻烦就来了,由于Windows 98不能读取Windows 2000的NTFS,那么如何进行数据交换呢?实际上我们只需要使用一个小小的软件NTFS for Windows 98就可以让Windows 98轻松读取、甚至写入NTFS分区。首先,到该工具的下载网址http://down.hothost.com/list.asp?id=514下载NTFS for Windows 98 1.07版(能读、写!)。解压缩后,请把CR整个目录(里边有7个读取NTFS文件系统必须使用到Windows 2000/XP的系统文件,其它3个是注释文件)COPY到C盘(也可改名为NTFS_FILES,我是这样改的),安装结束后会出现一个配置界面,在该界面中的“NTFS System Files”项中需要设置的是程序可以借用的Windows 2000/XP系统的相关文件保存路径,你就选择刚才COPY到盘的CR目录即可,然后其它什么都不必去操作,到此设置完成,单击OK按钮保存设置并退出。重启后就可以在Windows 98下访问NTFS分区了!经过实际使用,证明安装此软件后,在NTFS分区上能读、写!
以上内容本人在WIN98SE+WINXP_PROCN+WINXP_PROEN及WINME+WINXP_PROCN+WINXP_PROEN上验证通过!(2台机)
下面的内容仅供参考,建议你不要实施,至少我是这样做的。
[Drive Letter Assignments”项中提供的设置是设置允许可以识别的NTFS分区盘符,设置的依据可以参考在Windows 2000/XP下的盘符顺序。如果单击界面中的“Advanced”按钮,在关联界面中提供了针对设置的NTFS分区高级设置,其中包括设置为只读属性“Read-Only”、允许写入“Write-Through”。对于检查点间隔“Checkpoint Interval”和写回间隔“Writeback nterval”,使用程序提供的默认设置即可。]
9、如何在DOS系统下直接读写NTFS文件系统?
Winternals Software LP 公司提供了工具软件解决了这个问题。用一张MS-DOS启动盘就可以作到以前不可能作到的事,修改,删除,更新 NTFS上的文件,实际 NTFSDOS pro 是在 Windows NT 出问题时的一个修复工具。下载页面http://soft.winzheng.com/searchengine.asp,键入“NTFS”查找该站软件,就可以找出NTFSDOS PRO 4.0,最好选择服务器2下载。具体安装过程并不复杂,按照提示做好启动盘即可。
10、在NTFS系统下,如何保护自己的文件、文件夹?
由于NTFS文件分区格式具有良好的安全性,如果你不希望自己在硬盘中的文件被其他人调用或查看,使用权限控制方式加密是非常有效的方法。设置方法非常简单:以系统管理员身份登录,使用鼠标右键单击需要加密的文件夹,选择“Properties”,切换到“Security”选项卡。在“Group of user names”项中设置允许访问的用户只有Administrator和自己。删除其他的所有用户。保存设置退出即可。此后,其他用户将不能访问该文件夹。使用这项功能需要注意的是:一定要保证只有你一个人知道Administrator密码,并且设置其他用户不能属于Administrator。此外,你还可以详细的给每个用户设置权限,包括设置读取权限、写入权限、删除权限等,这样使用起来就更加灵活。你还可以设置权限,控制一个磁盘,或者磁盘分区只为自己使用,这样其他人就不能看到你的任何东西了。
#4
关于NTFS文件系统中的数据流问题
在NTFS文件系统里存在的数据流形式已经是几年前的事情了,而防病毒供应商
没有充分的检查这一方面的文件,这样导致病毒扫描程序发现不了而已代码或者
病毒扫描程序本身就会有可能破坏文件系统的文件。
NTFS分区的数据流是一个子文件系统允许额外的数据连接到一个特别的文件中,
现在的FAT文件系统格式是不支持数据流格式的。我们可以看看下面的例子来
了解下NTFS的数据流是怎样工作的:
WINDOWS操作系统中使用NTFS文件系统,我们建立下面的一个文件:
echo "this is the main file" > file1.txt
上面这个命令会建立一个叫file1.txt的文本文件并在文件中存在文本字符串
"this is the main file",你可以使用下面的命令验证文件是否成功建立:
type file1.txt
edit file1.txt
notepad file1.txt
使用dir命令就会显示大约26字节大小的文件,上面文件成功建立是因为你存储
到文件系统的有名流分区(the named stream portion of the file system)。
下面我们来建立一个刚才预备的数据文件,在提示符下运行下面的命令:
echo "this is the stream" > file1.txt:stream1.txt
这上面的一个命令可以成功的完成而且没有任何错误显示,其中":"号就是你
指定关联一个流文件。在你尝试运行下面的命令:
type file1.txt:stream1.txt
edit file1.txt:stream1.txt
notepad file1.txt:stream1.txt
除了Notepad,你可以发现所有上面的命令退出的时候会出现某中种形式的错误,
这是由于其中的一些WINDOWS工具对处理有关数据流文件的能力不是很强,因为
在当时写有关NTFS文件系统的数据流存储的时候很多WINDOWS工具没有相应的
更新。OK,现在我们关联一个大的数据流到file1.txt文件中,并俩看看现在
的dir出现的情况,查看文件的字节大小之间的区别:
dir c:\winnt\* > file1.txt:stream2.txt
命令可以成功的执行,但我们建立的数据流文件中增加了将近6,500字节的数据,
可是dir显示的file1.txt显示的仍然只有26个字节,如果我们使用WINDOWS的
资源管理器检查我们照样看到的26个字节的误报数。
为了证实你确实增加了6,500字节的信息,你可以执行下面的命令:
notepad file1.txt:stream2.txt
你可以看到一个包含WINNT 目录的目录列表的文本文件,现在你试试选择
文件-->另存为,你会接受到错误的对话框信息。这是因为notepad有能力
打开和建立流文件,但它不能浏览NTFS这方面的范围。
上面是关联一个文件为流文件,但有趣的是你也可以直接创建一个流文件,
请用下面的命令测试:
echo "this is a stream file" > :file3.txt
OK,这样创建了的流对于dir或者资源浏览器是完全不可见的,就是说是隐藏的,
其中流文件也不能被del文件删除:
del file1.txt:stream2.txt
del :stream3.txt
上面两个删除命令都失败了,这是因为del命令是另一个没有升级到能处理流的
工具,唯一的方法删除挂付的流只能是删除前面的一个主文件,这样的操作就会
自动删除了所追加的流。:stream3.txt的情况你就必须上删除整个目录来删除
这个文件,呵呵。
其中关于流的最大的问题是难于鉴别它们是否存在,编程人员可以使用API函数
CreateFile()来查看一个数据流文件是否存在,但这是假定编程人员在知道
数据流名字的前提下才能操作,例如:在上面的实践中我们能打开数据流文件是
因为我们提供给notepad相应的文件名,但你从上面应该知道,当我们使用"另存
为"的操作时我们失败了,因为"另存为"的操作需要浏览文件系统数据流部分的能力。
CreateFile()只是当你给它提供特定的信息的时候才能工作。
这就出现了一个有趣的问题,"是否存在一种方法,当你不知道文件名的时候也
能鉴别数据流的存在?"经过研究,发现只有API函数中的BackupRead()有能力
发现数据流的存在,不幸的是,很少有工具使用了这个功能。
关于讨论NTFS文件系统的数据流存在问题不是一个新的问题了,在BUGTRAQ上也
讨论过这个问题,见URL:http://www.securityfocus.com/templates/archive.pike?
list=1&date=1998-03-15&msg=Pine.SUN.3.94.980320114349.19659S-100000@dfw.dfw.net
当然微软公司也有关于流这方面的信息和它们怎样的工作,参考URL如下:
http://www.securityfocus.com/templates/archive.pike?list=1&date=
1998-03-15&msg=Pine.SUN.3.94.980320114349.19659S-100000@dfw.dfw.net
Advisory Details
我们测试了最新三个主要病毒扫描开发商的最新版本的病毒扫描程序,所有程序
都不能很好的鉴别存在于数据流中的病毒。例如你建立一个MyResume.doc:ILOVEYOU.vbs
和在数据流文件中保存了I LOVE YOU病毒内容的WORD文件,没有一个测试的病毒
扫描程序在扫描整个磁盘的时候有能力发现这个病毒,即使是选择了"check all files"
选项。这表示一个恶意变成人员可以使用数据流文件系统来隐藏恶意代码来逃避
病毒扫描程序的检查。
当然也存在检测出病毒的可能,前提是驻留在你的内存里的病毒扫描存在必须能
设置成检查所有文件(但这势必要增加资源的负担),这样,当有名的流文件(the
named stream)里的内存读入存在的时候,其中的数据流也会被读到内存里,这
时候驻留在内存中的病毒扫描程序就能探测到有已知病毒特征串的病毒,呵呵,
但这种情况对于新的病毒,没有已知病毒特征串的病毒就无能为力了,而且要知道
的是现在的大多数病毒扫描程序为了减少对系统的负担,病毒扫描程序一般
不设置检查全部文件的选项,驻留内存的病毒扫描程序一般仅仅检查一些带有特定
后缀名如.com,.exe,.vbs等的有名文件流(the named stream)。
所以因为大多数扫描程序没有包括对.ini文件的检查,一个编程人员可以关联一个
带有恶意代码而且不会被检查的文件类型写入到磁盘,在加上编的新病毒如果没有
使用已知的特征串就很难被驻留在内存里的病毒扫描程序发现。
但是问病毒扫描开发商为何没有对数据流文件进行处理?回答的答案是”数据流
可以插入,但你不能直接执行数据流文件,所以是没有威胁的"。这是回答是正确的,
你如果使用命令打开resume.doc:NastyEvilVirus.com所附的病毒码是不会被执行的。
但是如果病毒制作者把病毒代码和执行的代码--(简单的调用和处理的命令)追加到流
文件中,就有破坏系统的可能,下面解释如下:
大家知道病毒扫描程序的扫描是基于特征字符串的,这表示扫描程序检查病毒
代码中的唯一类型来区别其他的文件,如果病毒扫描程序没有能力检查使用数据流
的文件,那病毒扫描程序可以控制使用流数据文件的唯一方法就是控制存在在
流文件系统的中的执行代码部分。
所以一个攻击者可以写一段新的病毒程序,可以执行破坏的任务,他没有马上
发表出来,而是装载一个WORM或者其他投递程序中,这个WORM只是简单的并病毒
代码作为数据流追加到到NTFS文件系统中一些很重要的文件中,如cmd.exe,
Poledit.exe,Regedt32.exe或者其他的。
过几星期后,攻击者再发布了这个病毒代码,其作用就是写入到有名数据流中,
这样病毒供应商就回响应并产生此类病毒的特征字符串记性更新并让用户下载,
然后到第一次被插入数据流的文件被执行的时候,驻留在内存里的病毒扫描程序
就探测到这个装入到内存处的恶意代码。这样,病毒扫描程序就简单的把它作为
了有名数据文件,而不是更改了的数据流,然后就根据其设置提示相应的措施:
如"delete infected files"被选择了的话,一些被插入数据流的重要文件将被
删除,如果选择了"move infected files",那这个重要文件系统就会被移到一个
默认的位置,使系统处于不可操作的状态。如果"prompt for user intervention"
被选择了的话,就会停止执行这个文件并让用户手工删除。因此无论这个病毒
生成的数据流文件有没有执行以后的危害,都会使病毒扫描程序检测为不正常
文件,而使系统处于不稳定的状态。
那么到底有什么方法可以对付这些流文件系统呢?
1,对NTFS文件系统的数据流做一些常规的检查,NTOBJECTive开发了一个很好的
工具Sfind.exe可以很好的找到被更改了的数据流。其地址可以在这里找到:
http://www.ntobjectives.com/,你可以通过AT命令定时的来执行。
2,根据第一步所做的,如果你检查到一个新的数据流,就应该值得可疑,因为
测试情况下默认的NT和WIN2000的安装没有建立任何数据流文件。当然也可能是
第三放的软件造成的,如当一个Macintosh volume建立的时候,流会用来保存
派生的文件信息。因此你在NT系统中存储Macinitosh文件就可以看到数据流。
3,如果你找到可疑的数据流并想从系统中清除出去,第一步执行一个文件的
备份操作。注意你要知道这个备份文件是否支持流文件系统。如果数据流没有
备份,你可以map一驱动盘在一个远程的NTFS分区中并COPY文件到远程系统中。
然后在要把清理的数据流简单的拷贝到non-NTFS分区中,如使用FAT的系统,
WIN98系统或者LINUX,然后在拷贝到本地系统上,因此当你把带有数据流的文
件移到或则拷贝到远程系统里的时候,其中追加的数据流是不会被保存的。
要注意的上述移动会更改一些重要文件的权限,所以为了保证你文档的属性,你
最好使用FileStat或者其他工具来移动文件,这个工具也可以到NTOBJECTIVE里
找到。
当然有扫描程序的供应商进行支持是最好的方法,呵呵。
上面所有东西我本人觉得最有趣的是可以建立一个隐藏的文件,这个问题我记得
ADAM讨论这个情况,大家也可以向他请教。呵呵.....
在NTFS文件系统里存在的数据流形式已经是几年前的事情了,而防病毒供应商
没有充分的检查这一方面的文件,这样导致病毒扫描程序发现不了而已代码或者
病毒扫描程序本身就会有可能破坏文件系统的文件。
NTFS分区的数据流是一个子文件系统允许额外的数据连接到一个特别的文件中,
现在的FAT文件系统格式是不支持数据流格式的。我们可以看看下面的例子来
了解下NTFS的数据流是怎样工作的:
WINDOWS操作系统中使用NTFS文件系统,我们建立下面的一个文件:
echo "this is the main file" > file1.txt
上面这个命令会建立一个叫file1.txt的文本文件并在文件中存在文本字符串
"this is the main file",你可以使用下面的命令验证文件是否成功建立:
type file1.txt
edit file1.txt
notepad file1.txt
使用dir命令就会显示大约26字节大小的文件,上面文件成功建立是因为你存储
到文件系统的有名流分区(the named stream portion of the file system)。
下面我们来建立一个刚才预备的数据文件,在提示符下运行下面的命令:
echo "this is the stream" > file1.txt:stream1.txt
这上面的一个命令可以成功的完成而且没有任何错误显示,其中":"号就是你
指定关联一个流文件。在你尝试运行下面的命令:
type file1.txt:stream1.txt
edit file1.txt:stream1.txt
notepad file1.txt:stream1.txt
除了Notepad,你可以发现所有上面的命令退出的时候会出现某中种形式的错误,
这是由于其中的一些WINDOWS工具对处理有关数据流文件的能力不是很强,因为
在当时写有关NTFS文件系统的数据流存储的时候很多WINDOWS工具没有相应的
更新。OK,现在我们关联一个大的数据流到file1.txt文件中,并俩看看现在
的dir出现的情况,查看文件的字节大小之间的区别:
dir c:\winnt\* > file1.txt:stream2.txt
命令可以成功的执行,但我们建立的数据流文件中增加了将近6,500字节的数据,
可是dir显示的file1.txt显示的仍然只有26个字节,如果我们使用WINDOWS的
资源管理器检查我们照样看到的26个字节的误报数。
为了证实你确实增加了6,500字节的信息,你可以执行下面的命令:
notepad file1.txt:stream2.txt
你可以看到一个包含WINNT 目录的目录列表的文本文件,现在你试试选择
文件-->另存为,你会接受到错误的对话框信息。这是因为notepad有能力
打开和建立流文件,但它不能浏览NTFS这方面的范围。
上面是关联一个文件为流文件,但有趣的是你也可以直接创建一个流文件,
请用下面的命令测试:
echo "this is a stream file" > :file3.txt
OK,这样创建了的流对于dir或者资源浏览器是完全不可见的,就是说是隐藏的,
其中流文件也不能被del文件删除:
del file1.txt:stream2.txt
del :stream3.txt
上面两个删除命令都失败了,这是因为del命令是另一个没有升级到能处理流的
工具,唯一的方法删除挂付的流只能是删除前面的一个主文件,这样的操作就会
自动删除了所追加的流。:stream3.txt的情况你就必须上删除整个目录来删除
这个文件,呵呵。
其中关于流的最大的问题是难于鉴别它们是否存在,编程人员可以使用API函数
CreateFile()来查看一个数据流文件是否存在,但这是假定编程人员在知道
数据流名字的前提下才能操作,例如:在上面的实践中我们能打开数据流文件是
因为我们提供给notepad相应的文件名,但你从上面应该知道,当我们使用"另存
为"的操作时我们失败了,因为"另存为"的操作需要浏览文件系统数据流部分的能力。
CreateFile()只是当你给它提供特定的信息的时候才能工作。
这就出现了一个有趣的问题,"是否存在一种方法,当你不知道文件名的时候也
能鉴别数据流的存在?"经过研究,发现只有API函数中的BackupRead()有能力
发现数据流的存在,不幸的是,很少有工具使用了这个功能。
关于讨论NTFS文件系统的数据流存在问题不是一个新的问题了,在BUGTRAQ上也
讨论过这个问题,见URL:http://www.securityfocus.com/templates/archive.pike?
list=1&date=1998-03-15&msg=Pine.SUN.3.94.980320114349.19659S-100000@dfw.dfw.net
当然微软公司也有关于流这方面的信息和它们怎样的工作,参考URL如下:
http://www.securityfocus.com/templates/archive.pike?list=1&date=
1998-03-15&msg=Pine.SUN.3.94.980320114349.19659S-100000@dfw.dfw.net
Advisory Details
我们测试了最新三个主要病毒扫描开发商的最新版本的病毒扫描程序,所有程序
都不能很好的鉴别存在于数据流中的病毒。例如你建立一个MyResume.doc:ILOVEYOU.vbs
和在数据流文件中保存了I LOVE YOU病毒内容的WORD文件,没有一个测试的病毒
扫描程序在扫描整个磁盘的时候有能力发现这个病毒,即使是选择了"check all files"
选项。这表示一个恶意变成人员可以使用数据流文件系统来隐藏恶意代码来逃避
病毒扫描程序的检查。
当然也存在检测出病毒的可能,前提是驻留在你的内存里的病毒扫描存在必须能
设置成检查所有文件(但这势必要增加资源的负担),这样,当有名的流文件(the
named stream)里的内存读入存在的时候,其中的数据流也会被读到内存里,这
时候驻留在内存中的病毒扫描程序就能探测到有已知病毒特征串的病毒,呵呵,
但这种情况对于新的病毒,没有已知病毒特征串的病毒就无能为力了,而且要知道
的是现在的大多数病毒扫描程序为了减少对系统的负担,病毒扫描程序一般
不设置检查全部文件的选项,驻留内存的病毒扫描程序一般仅仅检查一些带有特定
后缀名如.com,.exe,.vbs等的有名文件流(the named stream)。
所以因为大多数扫描程序没有包括对.ini文件的检查,一个编程人员可以关联一个
带有恶意代码而且不会被检查的文件类型写入到磁盘,在加上编的新病毒如果没有
使用已知的特征串就很难被驻留在内存里的病毒扫描程序发现。
但是问病毒扫描开发商为何没有对数据流文件进行处理?回答的答案是”数据流
可以插入,但你不能直接执行数据流文件,所以是没有威胁的"。这是回答是正确的,
你如果使用命令打开resume.doc:NastyEvilVirus.com所附的病毒码是不会被执行的。
但是如果病毒制作者把病毒代码和执行的代码--(简单的调用和处理的命令)追加到流
文件中,就有破坏系统的可能,下面解释如下:
大家知道病毒扫描程序的扫描是基于特征字符串的,这表示扫描程序检查病毒
代码中的唯一类型来区别其他的文件,如果病毒扫描程序没有能力检查使用数据流
的文件,那病毒扫描程序可以控制使用流数据文件的唯一方法就是控制存在在
流文件系统的中的执行代码部分。
所以一个攻击者可以写一段新的病毒程序,可以执行破坏的任务,他没有马上
发表出来,而是装载一个WORM或者其他投递程序中,这个WORM只是简单的并病毒
代码作为数据流追加到到NTFS文件系统中一些很重要的文件中,如cmd.exe,
Poledit.exe,Regedt32.exe或者其他的。
过几星期后,攻击者再发布了这个病毒代码,其作用就是写入到有名数据流中,
这样病毒供应商就回响应并产生此类病毒的特征字符串记性更新并让用户下载,
然后到第一次被插入数据流的文件被执行的时候,驻留在内存里的病毒扫描程序
就探测到这个装入到内存处的恶意代码。这样,病毒扫描程序就简单的把它作为
了有名数据文件,而不是更改了的数据流,然后就根据其设置提示相应的措施:
如"delete infected files"被选择了的话,一些被插入数据流的重要文件将被
删除,如果选择了"move infected files",那这个重要文件系统就会被移到一个
默认的位置,使系统处于不可操作的状态。如果"prompt for user intervention"
被选择了的话,就会停止执行这个文件并让用户手工删除。因此无论这个病毒
生成的数据流文件有没有执行以后的危害,都会使病毒扫描程序检测为不正常
文件,而使系统处于不稳定的状态。
那么到底有什么方法可以对付这些流文件系统呢?
1,对NTFS文件系统的数据流做一些常规的检查,NTOBJECTive开发了一个很好的
工具Sfind.exe可以很好的找到被更改了的数据流。其地址可以在这里找到:
http://www.ntobjectives.com/,你可以通过AT命令定时的来执行。
2,根据第一步所做的,如果你检查到一个新的数据流,就应该值得可疑,因为
测试情况下默认的NT和WIN2000的安装没有建立任何数据流文件。当然也可能是
第三放的软件造成的,如当一个Macintosh volume建立的时候,流会用来保存
派生的文件信息。因此你在NT系统中存储Macinitosh文件就可以看到数据流。
3,如果你找到可疑的数据流并想从系统中清除出去,第一步执行一个文件的
备份操作。注意你要知道这个备份文件是否支持流文件系统。如果数据流没有
备份,你可以map一驱动盘在一个远程的NTFS分区中并COPY文件到远程系统中。
然后在要把清理的数据流简单的拷贝到non-NTFS分区中,如使用FAT的系统,
WIN98系统或者LINUX,然后在拷贝到本地系统上,因此当你把带有数据流的文
件移到或则拷贝到远程系统里的时候,其中追加的数据流是不会被保存的。
要注意的上述移动会更改一些重要文件的权限,所以为了保证你文档的属性,你
最好使用FileStat或者其他工具来移动文件,这个工具也可以到NTOBJECTIVE里
找到。
当然有扫描程序的供应商进行支持是最好的方法,呵呵。
上面所有东西我本人觉得最有趣的是可以建立一个隐藏的文件,这个问题我记得
ADAM讨论这个情况,大家也可以向他请教。呵呵.....
#5
哈哈,好东西,,收藏~
#6
网上搜吧,太多了,实在不行的话,微软也有许多这样的教材呀
#7
到那里可以找到微软的教材
#8
到那里可以找到微软的教材
^^^^^^^^^^^^^^^^^^^^^^^^^^
http://www.microsoft.com,到这里找,一定有您需要的。
^^^^^^^^^^^^^^^^^^^^^^^^^^
http://www.microsoft.com,到这里找,一定有您需要的。
#9
这个资料好
==========================
回复人: jin0706(small(努力&开心everyday,有事PM我^_^)) ( ) 信誉:186 2005-04-03 22:55:00 得分: 0
自己用google搜索阿,很多的
这我以前收集的:
http://www.gb.tomshardware.com/article_000074505.html
==========================
回复人: jin0706(small(努力&开心everyday,有事PM我^_^)) ( ) 信誉:186 2005-04-03 22:55:00 得分: 0
自己用google搜索阿,很多的
这我以前收集的:
http://www.gb.tomshardware.com/article_000074505.html
#10
网络搜索最好
#11
上网搜下
#12
google上搜索
#13
楼上的那个网站我也收藏了!
#14
大家的资料以前有人发过了,我也看过了,有没有其他的?不过还是要谢谢大家,分是一定要散的.
还想问一下上网搜用什么关键词可以搜到好一些的资料?
还想问一下上网搜用什么关键词可以搜到好一些的资料?
#15
????????????
#16
还想问一下上网搜用什么关键词可以搜到好一些的资料?
------------------------
www.google.com
至于关键词,你想了解什么输入什么呗,想了解结构,就输入“ntfs 结构”
也建议你直接到www.microsoft.com,微软的网站上去搜
------------------------
www.google.com
至于关键词,你想了解什么输入什么呗,想了解结构,就输入“ntfs 结构”
也建议你直接到www.microsoft.com,微软的网站上去搜
#17
头晕了,怎么这么多啊,学习中!!
#1
自己用google搜索阿,很多的
这我以前收集的:
http://www.gb.tomshardware.com/article_000074505.html
这我以前收集的:
http://www.gb.tomshardware.com/article_000074505.html
#2
NTFS分区方式的优点。
自从Windows2000开始,微软开始推荐大家使用NTFS的磁盘格式,其后推出的XP更是要配合这种磁盘格式才能发挥其最大的性能优势。不仅仅是微软推广的缘故,NTFS的磁盘格式由于其自身的技术优势,配合目前硬件、网络发展的趋势的作用,正逐渐被广大用户接受。
1、大硬盘带来的影响。
现在的硬盘容量正以倍数在增长,每半年就增加一倍甚至更多,价格却在降低。这样基于传统的FAT文件系统的分区方式,就将逐步体现出其先天不足之处了——我们先来看看FAT32,FAT32是FAT文件系统的增强版本,可用在容量为512MB到2TB的驱动器上,虽然如此,以FAT32的格式,如果划分太大的分区空间,由于其磁盘的簇相对过大,在储存多个小文件的时候,将造成空间利用上的极大浪费。
相对而言,NTFS的磁盘格式的簇相当地细,就能有效地利用磁盘空间,而且不容易产生碎片。另外,NTFS的磁盘格式在处理单个巨大的文件的时候如进行视频捕捉、编辑的时候,也比FAT系统有优势。随着海量硬盘的发展,使用NTFS的分区格式将越来越必要——你总不希望把分区数划分满24个字母的盘符来迁就分区容量吧?所以,微软推荐使用NTFS而不是FAT32文件系统格式化大于32GB的分区是有其道理的。
2、新一代Windows操作系统的影响
随着时间的推移,新一代Windows的过渡,微软很可能会采取放弃兼容DOS的安装和维护操作系统的方式,即光盘启动后直接采用全新的直接图形化界面进行下几代Windows的安装,这样可以避开DOS模式的内存配置环境对安装Windows造成的负面影响,也可让很多破解其激活设置的程序失效(DOS环境下内存配置对新手来说比较复杂,很多人安装XP失败除了硬件兼容问题外,是由于这个原因);同时对最终用户来说,新的安装模式可在安装的时候更好地分析用户的硬件系统,提供更多的友好提示和更强的故障解决功能。使用图形界面直接管理安装任务的话,基于第一点叙述的原因,Windows很可能会要求用户用NTFS先格式化新一代海量硬盘超过32G的分区,才能继续进行安装。也可能通过在新的操作系统里去掉对FAT系统的支持,来强行推广NTFS磁盘格式。
3、联网和多PC连接导致的用户安全和管理问题
以后的电脑进行在线工作和娱乐是不可逆转的趋势,随着互联网在世界各地进一步普及,在线的电脑的安全和管理问题日益突出,而且很多人家里由于升级,已经有超过了一台的电脑。只有使用NTFS,Windows系统的安全性能和可管理性才能真正得到保障。无论是接入INTERNET还是用户自己在家里组建局域网,NTFS都将使用户更灵活地配置和管理计算机资源。NTFS的磁盘配额、用户权限和个人文件加密等等功能、和网络应用方面的优势,已经有很多资料介绍了,此处不再重复。
另外,NTFS支持基于UNIX服务的POSIX标准,可移植性也很强。这保证了它和其他网络平台的兼容性。
当然,这一切的前提是Windows还是占垄断地位的操作系统。从目前情况看,微软保持其软件业龙头的地位还是不成问题的。超过500G的海量硬盘在明年年底或是后年初就可能会出现了,这是推动NTFS磁盘格式成为主流分区格式的最强大动力之一。
由以上的几点可看出,针对家用PC而言,使用NTFS的最大的好处是第一点,也就是NTFS对大硬盘有着更好的支持与利用,第三点主要是针对商业型用户,这里我也想对那些入门级用户说一声,如果你使用了NTFS且对NTFS的磁盘配额、用户权限和个人文件加密等等功能不是很了解,最好不要随意设置目录的权限,不然可能会有着意想不到的后果
自从Windows2000开始,微软开始推荐大家使用NTFS的磁盘格式,其后推出的XP更是要配合这种磁盘格式才能发挥其最大的性能优势。不仅仅是微软推广的缘故,NTFS的磁盘格式由于其自身的技术优势,配合目前硬件、网络发展的趋势的作用,正逐渐被广大用户接受。
1、大硬盘带来的影响。
现在的硬盘容量正以倍数在增长,每半年就增加一倍甚至更多,价格却在降低。这样基于传统的FAT文件系统的分区方式,就将逐步体现出其先天不足之处了——我们先来看看FAT32,FAT32是FAT文件系统的增强版本,可用在容量为512MB到2TB的驱动器上,虽然如此,以FAT32的格式,如果划分太大的分区空间,由于其磁盘的簇相对过大,在储存多个小文件的时候,将造成空间利用上的极大浪费。
相对而言,NTFS的磁盘格式的簇相当地细,就能有效地利用磁盘空间,而且不容易产生碎片。另外,NTFS的磁盘格式在处理单个巨大的文件的时候如进行视频捕捉、编辑的时候,也比FAT系统有优势。随着海量硬盘的发展,使用NTFS的分区格式将越来越必要——你总不希望把分区数划分满24个字母的盘符来迁就分区容量吧?所以,微软推荐使用NTFS而不是FAT32文件系统格式化大于32GB的分区是有其道理的。
2、新一代Windows操作系统的影响
随着时间的推移,新一代Windows的过渡,微软很可能会采取放弃兼容DOS的安装和维护操作系统的方式,即光盘启动后直接采用全新的直接图形化界面进行下几代Windows的安装,这样可以避开DOS模式的内存配置环境对安装Windows造成的负面影响,也可让很多破解其激活设置的程序失效(DOS环境下内存配置对新手来说比较复杂,很多人安装XP失败除了硬件兼容问题外,是由于这个原因);同时对最终用户来说,新的安装模式可在安装的时候更好地分析用户的硬件系统,提供更多的友好提示和更强的故障解决功能。使用图形界面直接管理安装任务的话,基于第一点叙述的原因,Windows很可能会要求用户用NTFS先格式化新一代海量硬盘超过32G的分区,才能继续进行安装。也可能通过在新的操作系统里去掉对FAT系统的支持,来强行推广NTFS磁盘格式。
3、联网和多PC连接导致的用户安全和管理问题
以后的电脑进行在线工作和娱乐是不可逆转的趋势,随着互联网在世界各地进一步普及,在线的电脑的安全和管理问题日益突出,而且很多人家里由于升级,已经有超过了一台的电脑。只有使用NTFS,Windows系统的安全性能和可管理性才能真正得到保障。无论是接入INTERNET还是用户自己在家里组建局域网,NTFS都将使用户更灵活地配置和管理计算机资源。NTFS的磁盘配额、用户权限和个人文件加密等等功能、和网络应用方面的优势,已经有很多资料介绍了,此处不再重复。
另外,NTFS支持基于UNIX服务的POSIX标准,可移植性也很强。这保证了它和其他网络平台的兼容性。
当然,这一切的前提是Windows还是占垄断地位的操作系统。从目前情况看,微软保持其软件业龙头的地位还是不成问题的。超过500G的海量硬盘在明年年底或是后年初就可能会出现了,这是推动NTFS磁盘格式成为主流分区格式的最强大动力之一。
由以上的几点可看出,针对家用PC而言,使用NTFS的最大的好处是第一点,也就是NTFS对大硬盘有着更好的支持与利用,第三点主要是针对商业型用户,这里我也想对那些入门级用户说一声,如果你使用了NTFS且对NTFS的磁盘配额、用户权限和个人文件加密等等功能不是很了解,最好不要随意设置目录的权限,不然可能会有着意想不到的后果
#3
1、什么是NTFS-新(N)技术(T)文件(F)系统(S)?
想要了解NTFS,我们首先应该认识一下FAT。FAT(File Allocation Table)是“文件分配表”的意思。对我们来说,它的意义在于对硬盘分区的管理。FAT16、FAT32、NTFS是目前最常见的三种文件系统。
FAT16:我们以前用的DOS、Windows 95都使用FAT16文件系统,现在常用的Windows 98/2000/XP等系统均支持FAT16文件系统。它最大可以管理大到2GB的分区,但每个分区最多只能有65525个簇(簇是磁盘空间的配置单位)。随着硬盘或分区容量的增大,每个簇所占的空间将越来越大,从而导致硬盘空间的浪费。
FAT32:随着大容量硬盘的出现,从Windows 98开始,FAT32开始流行。它是FAT16的增强版本,可以支持大到2TB(2048G的分区。FAT32使用的簇比FAT16小,从而有效地节约了硬盘空间。
NTFS:微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。随着以NT为内核的Windows 2000/XP的普及,很多个人用户开始用到了NTFS。NTFS也是以簇为单位来存储数据文件,但NTFS中簇的大小并不依赖于磁盘或分区的大小。簇尺寸的缩小不但降低了磁盘空间的浪费,还减少了产生磁盘碎片的可能。NTFS支持文件加密管理功能,可为用户提供更高层次的安全保证。
2、什么系统可以支持NTFS文件系统?
只有Windows NT/2000/XP才能识别NTFS系统,Windows 9x/Me以及DOS等操作系统都不能支持、识别NTFS格式的磁盘。由于DOS系统不支持NTFS系统,所以最好不要将C:盘制作为NTFS系统,这样在系统崩溃后便于在DOS系统下修复。
NTFS与操作系统支持情况如下:
FAT16 windows 95/98/me/nt/2000/xp unix,linux,dos
FAT32 windows 95/98/me/2000/xp
NTFS windows nt/2000/xp
3、我们需要NTFS吗?
Windows 2000/XP在文件系统上是向下兼容的,它可以很好地支持FAT16/FAT32和NTFS,其中NTFS是Windows NT/2000/XP专用格式,它能更充分有效地利用磁盘空间、支持文件级压缩、具备更好的文件安全性。如果你只安装Windows 2000/XP,建议选择NTFS文件系统。如果多重引导系统,则系统盘(C盘)必须为FAT16或FAT32,否则不支持多重引导。当然,其他分区的文件系统可以为NTFS。
4、如何将FAT分区转换为NTFS?
Windows 2000/XP提供了分区格式转换工具“Convert.exe”。Convert.exe是Windows 2000附带的一个DOS命令行程序,通过这个工具可以直接在不破坏FAT文件系统的前提下,将FAT转换为NTFS。它的用法很简单,先在Windows 2000环境下切换到DOS命令行窗口,在提示符下键入:D:\>convert 需要转换的盘符 /FS:NTFS。如系统E盘原来为FAT16/32,现在 需要转换为NTFS,可使用如下格式:D:\>convert e: /FS:NTFS。所有的转换将在系统重新启动后完成。本人推荐使用此法进行转换!
此外,你还可以使用专门的转换工具,如著名的硬盘无损分区工具Powerquest Partition Magic 7.0,软件下载页面http://soft.km169.net/soft/html/1964.htm,使用它完成磁盘文件格式的转换也是非常容易的。首先在界面中的磁盘分区列表中选择需要转换的分区。从界面按钮条中选择“Convert Partition”按钮,或者是从界面菜单条“Operations”项下拉菜单中选择“Convert”命令。激活该项功能界面。在界面中选择转换输出为“NTFS”,之后单击“OK”按钮返回程序主界面。单击界面右下角的“Apply”添加设置。此后系统会重新引导启动,并完成分区格式的转换操作。
5、如何在NTFS格式分区下找回意外删除丢失的文件?
你可以使用专门的软件,如Final Data for NTFS,或者是Get Data Back for NTFS 1.04。这两个软件的文件恢复效果都不错。本人推荐使用数据恢复功能强大、速度快的Get Data Back for FAT 1.05/NTFS 1.04(是2个软件),下载地址http://download-tipp.de/cgi-bin/suchen.cgi?mh=10&query=support_europe@runtime.org&type=phrase&bool=and。如果在文件删除后没有任何文件操作,恢复率接近100%。所以不要等到文件删除后才安装这个软件,最好是与Windows系统一起安装,并在出现文件误删除后立刻执行恢复操作,一般可以将删除的文件恢复回来。
6、如果Windows 2000/XP安装在C盘(NTFS格式),当Windows崩溃时在DOS状态下不能进入C盘,怎么办?
你可以使用Windows 2000/XP的安装光盘启动来修复Windows,或者是制作Windows 2000/XP的安装启动应急盘。注意:Windows 2000的安装盘制作程序在程序的安装光盘中,而Windows XP的应急盘制作是独立提供的,需要从微软的网站下载。
7、Final Data for NTFS或Get Data Back for NTFS可以修复被意外格式化的硬盘吗?
这两个软件都可以恢复格式化删除的数据(低级格式化除外)。常规格式化删除的只是数据信息,低级格式化则删除全部数据区,当硬盘技术还不像现在这样发达的时候,磁盘表面很容易磨损。硬盘使用者对经常出现的读错误,往往采用低级格式化。修复被格式化的硬盘,只能将这个硬盘拆下来,安装到其他的计算机中,之后执行文件修复操作。Final Data甚至可以修复由CIH病毒破坏的硬盘。
8、Windows 98(FAT系统)下如何直接读写NTFS文件系统?
当电脑安装有Windows 98和Windows 2000/XP两个操作系统,如何在FAT系统下直接读写NTFS文件系统?虽然FAT系统可以转换为NTFS系统,但是有时我们需要在机器中同时安装Windows 98和Windows 2000/XP。此时的麻烦就来了,由于Windows 98不能读取Windows 2000的NTFS,那么如何进行数据交换呢?实际上我们只需要使用一个小小的软件NTFS for Windows 98就可以让Windows 98轻松读取、甚至写入NTFS分区。首先,到该工具的下载网址http://down.hothost.com/list.asp?id=514下载NTFS for Windows 98 1.07版(能读、写!)。解压缩后,请把CR整个目录(里边有7个读取NTFS文件系统必须使用到Windows 2000/XP的系统文件,其它3个是注释文件)COPY到C盘(也可改名为NTFS_FILES,我是这样改的),安装结束后会出现一个配置界面,在该界面中的“NTFS System Files”项中需要设置的是程序可以借用的Windows 2000/XP系统的相关文件保存路径,你就选择刚才COPY到盘的CR目录即可,然后其它什么都不必去操作,到此设置完成,单击OK按钮保存设置并退出。重启后就可以在Windows 98下访问NTFS分区了!经过实际使用,证明安装此软件后,在NTFS分区上能读、写!
以上内容本人在WIN98SE+WINXP_PROCN+WINXP_PROEN及WINME+WINXP_PROCN+WINXP_PROEN上验证通过!(2台机)
下面的内容仅供参考,建议你不要实施,至少我是这样做的。
[Drive Letter Assignments”项中提供的设置是设置允许可以识别的NTFS分区盘符,设置的依据可以参考在Windows 2000/XP下的盘符顺序。如果单击界面中的“Advanced”按钮,在关联界面中提供了针对设置的NTFS分区高级设置,其中包括设置为只读属性“Read-Only”、允许写入“Write-Through”。对于检查点间隔“Checkpoint Interval”和写回间隔“Writeback nterval”,使用程序提供的默认设置即可。]
9、如何在DOS系统下直接读写NTFS文件系统?
Winternals Software LP 公司提供了工具软件解决了这个问题。用一张MS-DOS启动盘就可以作到以前不可能作到的事,修改,删除,更新 NTFS上的文件,实际 NTFSDOS pro 是在 Windows NT 出问题时的一个修复工具。下载页面http://soft.winzheng.com/searchengine.asp,键入“NTFS”查找该站软件,就可以找出NTFSDOS PRO 4.0,最好选择服务器2下载。具体安装过程并不复杂,按照提示做好启动盘即可。
10、在NTFS系统下,如何保护自己的文件、文件夹?
由于NTFS文件分区格式具有良好的安全性,如果你不希望自己在硬盘中的文件被其他人调用或查看,使用权限控制方式加密是非常有效的方法。设置方法非常简单:以系统管理员身份登录,使用鼠标右键单击需要加密的文件夹,选择“Properties”,切换到“Security”选项卡。在“Group of user names”项中设置允许访问的用户只有Administrator和自己。删除其他的所有用户。保存设置退出即可。此后,其他用户将不能访问该文件夹。使用这项功能需要注意的是:一定要保证只有你一个人知道Administrator密码,并且设置其他用户不能属于Administrator。此外,你还可以详细的给每个用户设置权限,包括设置读取权限、写入权限、删除权限等,这样使用起来就更加灵活。你还可以设置权限,控制一个磁盘,或者磁盘分区只为自己使用,这样其他人就不能看到你的任何东西了。
想要了解NTFS,我们首先应该认识一下FAT。FAT(File Allocation Table)是“文件分配表”的意思。对我们来说,它的意义在于对硬盘分区的管理。FAT16、FAT32、NTFS是目前最常见的三种文件系统。
FAT16:我们以前用的DOS、Windows 95都使用FAT16文件系统,现在常用的Windows 98/2000/XP等系统均支持FAT16文件系统。它最大可以管理大到2GB的分区,但每个分区最多只能有65525个簇(簇是磁盘空间的配置单位)。随着硬盘或分区容量的增大,每个簇所占的空间将越来越大,从而导致硬盘空间的浪费。
FAT32:随着大容量硬盘的出现,从Windows 98开始,FAT32开始流行。它是FAT16的增强版本,可以支持大到2TB(2048G的分区。FAT32使用的簇比FAT16小,从而有效地节约了硬盘空间。
NTFS:微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。随着以NT为内核的Windows 2000/XP的普及,很多个人用户开始用到了NTFS。NTFS也是以簇为单位来存储数据文件,但NTFS中簇的大小并不依赖于磁盘或分区的大小。簇尺寸的缩小不但降低了磁盘空间的浪费,还减少了产生磁盘碎片的可能。NTFS支持文件加密管理功能,可为用户提供更高层次的安全保证。
2、什么系统可以支持NTFS文件系统?
只有Windows NT/2000/XP才能识别NTFS系统,Windows 9x/Me以及DOS等操作系统都不能支持、识别NTFS格式的磁盘。由于DOS系统不支持NTFS系统,所以最好不要将C:盘制作为NTFS系统,这样在系统崩溃后便于在DOS系统下修复。
NTFS与操作系统支持情况如下:
FAT16 windows 95/98/me/nt/2000/xp unix,linux,dos
FAT32 windows 95/98/me/2000/xp
NTFS windows nt/2000/xp
3、我们需要NTFS吗?
Windows 2000/XP在文件系统上是向下兼容的,它可以很好地支持FAT16/FAT32和NTFS,其中NTFS是Windows NT/2000/XP专用格式,它能更充分有效地利用磁盘空间、支持文件级压缩、具备更好的文件安全性。如果你只安装Windows 2000/XP,建议选择NTFS文件系统。如果多重引导系统,则系统盘(C盘)必须为FAT16或FAT32,否则不支持多重引导。当然,其他分区的文件系统可以为NTFS。
4、如何将FAT分区转换为NTFS?
Windows 2000/XP提供了分区格式转换工具“Convert.exe”。Convert.exe是Windows 2000附带的一个DOS命令行程序,通过这个工具可以直接在不破坏FAT文件系统的前提下,将FAT转换为NTFS。它的用法很简单,先在Windows 2000环境下切换到DOS命令行窗口,在提示符下键入:D:\>convert 需要转换的盘符 /FS:NTFS。如系统E盘原来为FAT16/32,现在 需要转换为NTFS,可使用如下格式:D:\>convert e: /FS:NTFS。所有的转换将在系统重新启动后完成。本人推荐使用此法进行转换!
此外,你还可以使用专门的转换工具,如著名的硬盘无损分区工具Powerquest Partition Magic 7.0,软件下载页面http://soft.km169.net/soft/html/1964.htm,使用它完成磁盘文件格式的转换也是非常容易的。首先在界面中的磁盘分区列表中选择需要转换的分区。从界面按钮条中选择“Convert Partition”按钮,或者是从界面菜单条“Operations”项下拉菜单中选择“Convert”命令。激活该项功能界面。在界面中选择转换输出为“NTFS”,之后单击“OK”按钮返回程序主界面。单击界面右下角的“Apply”添加设置。此后系统会重新引导启动,并完成分区格式的转换操作。
5、如何在NTFS格式分区下找回意外删除丢失的文件?
你可以使用专门的软件,如Final Data for NTFS,或者是Get Data Back for NTFS 1.04。这两个软件的文件恢复效果都不错。本人推荐使用数据恢复功能强大、速度快的Get Data Back for FAT 1.05/NTFS 1.04(是2个软件),下载地址http://download-tipp.de/cgi-bin/suchen.cgi?mh=10&query=support_europe@runtime.org&type=phrase&bool=and。如果在文件删除后没有任何文件操作,恢复率接近100%。所以不要等到文件删除后才安装这个软件,最好是与Windows系统一起安装,并在出现文件误删除后立刻执行恢复操作,一般可以将删除的文件恢复回来。
6、如果Windows 2000/XP安装在C盘(NTFS格式),当Windows崩溃时在DOS状态下不能进入C盘,怎么办?
你可以使用Windows 2000/XP的安装光盘启动来修复Windows,或者是制作Windows 2000/XP的安装启动应急盘。注意:Windows 2000的安装盘制作程序在程序的安装光盘中,而Windows XP的应急盘制作是独立提供的,需要从微软的网站下载。
7、Final Data for NTFS或Get Data Back for NTFS可以修复被意外格式化的硬盘吗?
这两个软件都可以恢复格式化删除的数据(低级格式化除外)。常规格式化删除的只是数据信息,低级格式化则删除全部数据区,当硬盘技术还不像现在这样发达的时候,磁盘表面很容易磨损。硬盘使用者对经常出现的读错误,往往采用低级格式化。修复被格式化的硬盘,只能将这个硬盘拆下来,安装到其他的计算机中,之后执行文件修复操作。Final Data甚至可以修复由CIH病毒破坏的硬盘。
8、Windows 98(FAT系统)下如何直接读写NTFS文件系统?
当电脑安装有Windows 98和Windows 2000/XP两个操作系统,如何在FAT系统下直接读写NTFS文件系统?虽然FAT系统可以转换为NTFS系统,但是有时我们需要在机器中同时安装Windows 98和Windows 2000/XP。此时的麻烦就来了,由于Windows 98不能读取Windows 2000的NTFS,那么如何进行数据交换呢?实际上我们只需要使用一个小小的软件NTFS for Windows 98就可以让Windows 98轻松读取、甚至写入NTFS分区。首先,到该工具的下载网址http://down.hothost.com/list.asp?id=514下载NTFS for Windows 98 1.07版(能读、写!)。解压缩后,请把CR整个目录(里边有7个读取NTFS文件系统必须使用到Windows 2000/XP的系统文件,其它3个是注释文件)COPY到C盘(也可改名为NTFS_FILES,我是这样改的),安装结束后会出现一个配置界面,在该界面中的“NTFS System Files”项中需要设置的是程序可以借用的Windows 2000/XP系统的相关文件保存路径,你就选择刚才COPY到盘的CR目录即可,然后其它什么都不必去操作,到此设置完成,单击OK按钮保存设置并退出。重启后就可以在Windows 98下访问NTFS分区了!经过实际使用,证明安装此软件后,在NTFS分区上能读、写!
以上内容本人在WIN98SE+WINXP_PROCN+WINXP_PROEN及WINME+WINXP_PROCN+WINXP_PROEN上验证通过!(2台机)
下面的内容仅供参考,建议你不要实施,至少我是这样做的。
[Drive Letter Assignments”项中提供的设置是设置允许可以识别的NTFS分区盘符,设置的依据可以参考在Windows 2000/XP下的盘符顺序。如果单击界面中的“Advanced”按钮,在关联界面中提供了针对设置的NTFS分区高级设置,其中包括设置为只读属性“Read-Only”、允许写入“Write-Through”。对于检查点间隔“Checkpoint Interval”和写回间隔“Writeback nterval”,使用程序提供的默认设置即可。]
9、如何在DOS系统下直接读写NTFS文件系统?
Winternals Software LP 公司提供了工具软件解决了这个问题。用一张MS-DOS启动盘就可以作到以前不可能作到的事,修改,删除,更新 NTFS上的文件,实际 NTFSDOS pro 是在 Windows NT 出问题时的一个修复工具。下载页面http://soft.winzheng.com/searchengine.asp,键入“NTFS”查找该站软件,就可以找出NTFSDOS PRO 4.0,最好选择服务器2下载。具体安装过程并不复杂,按照提示做好启动盘即可。
10、在NTFS系统下,如何保护自己的文件、文件夹?
由于NTFS文件分区格式具有良好的安全性,如果你不希望自己在硬盘中的文件被其他人调用或查看,使用权限控制方式加密是非常有效的方法。设置方法非常简单:以系统管理员身份登录,使用鼠标右键单击需要加密的文件夹,选择“Properties”,切换到“Security”选项卡。在“Group of user names”项中设置允许访问的用户只有Administrator和自己。删除其他的所有用户。保存设置退出即可。此后,其他用户将不能访问该文件夹。使用这项功能需要注意的是:一定要保证只有你一个人知道Administrator密码,并且设置其他用户不能属于Administrator。此外,你还可以详细的给每个用户设置权限,包括设置读取权限、写入权限、删除权限等,这样使用起来就更加灵活。你还可以设置权限,控制一个磁盘,或者磁盘分区只为自己使用,这样其他人就不能看到你的任何东西了。
#4
关于NTFS文件系统中的数据流问题
在NTFS文件系统里存在的数据流形式已经是几年前的事情了,而防病毒供应商
没有充分的检查这一方面的文件,这样导致病毒扫描程序发现不了而已代码或者
病毒扫描程序本身就会有可能破坏文件系统的文件。
NTFS分区的数据流是一个子文件系统允许额外的数据连接到一个特别的文件中,
现在的FAT文件系统格式是不支持数据流格式的。我们可以看看下面的例子来
了解下NTFS的数据流是怎样工作的:
WINDOWS操作系统中使用NTFS文件系统,我们建立下面的一个文件:
echo "this is the main file" > file1.txt
上面这个命令会建立一个叫file1.txt的文本文件并在文件中存在文本字符串
"this is the main file",你可以使用下面的命令验证文件是否成功建立:
type file1.txt
edit file1.txt
notepad file1.txt
使用dir命令就会显示大约26字节大小的文件,上面文件成功建立是因为你存储
到文件系统的有名流分区(the named stream portion of the file system)。
下面我们来建立一个刚才预备的数据文件,在提示符下运行下面的命令:
echo "this is the stream" > file1.txt:stream1.txt
这上面的一个命令可以成功的完成而且没有任何错误显示,其中":"号就是你
指定关联一个流文件。在你尝试运行下面的命令:
type file1.txt:stream1.txt
edit file1.txt:stream1.txt
notepad file1.txt:stream1.txt
除了Notepad,你可以发现所有上面的命令退出的时候会出现某中种形式的错误,
这是由于其中的一些WINDOWS工具对处理有关数据流文件的能力不是很强,因为
在当时写有关NTFS文件系统的数据流存储的时候很多WINDOWS工具没有相应的
更新。OK,现在我们关联一个大的数据流到file1.txt文件中,并俩看看现在
的dir出现的情况,查看文件的字节大小之间的区别:
dir c:\winnt\* > file1.txt:stream2.txt
命令可以成功的执行,但我们建立的数据流文件中增加了将近6,500字节的数据,
可是dir显示的file1.txt显示的仍然只有26个字节,如果我们使用WINDOWS的
资源管理器检查我们照样看到的26个字节的误报数。
为了证实你确实增加了6,500字节的信息,你可以执行下面的命令:
notepad file1.txt:stream2.txt
你可以看到一个包含WINNT 目录的目录列表的文本文件,现在你试试选择
文件-->另存为,你会接受到错误的对话框信息。这是因为notepad有能力
打开和建立流文件,但它不能浏览NTFS这方面的范围。
上面是关联一个文件为流文件,但有趣的是你也可以直接创建一个流文件,
请用下面的命令测试:
echo "this is a stream file" > :file3.txt
OK,这样创建了的流对于dir或者资源浏览器是完全不可见的,就是说是隐藏的,
其中流文件也不能被del文件删除:
del file1.txt:stream2.txt
del :stream3.txt
上面两个删除命令都失败了,这是因为del命令是另一个没有升级到能处理流的
工具,唯一的方法删除挂付的流只能是删除前面的一个主文件,这样的操作就会
自动删除了所追加的流。:stream3.txt的情况你就必须上删除整个目录来删除
这个文件,呵呵。
其中关于流的最大的问题是难于鉴别它们是否存在,编程人员可以使用API函数
CreateFile()来查看一个数据流文件是否存在,但这是假定编程人员在知道
数据流名字的前提下才能操作,例如:在上面的实践中我们能打开数据流文件是
因为我们提供给notepad相应的文件名,但你从上面应该知道,当我们使用"另存
为"的操作时我们失败了,因为"另存为"的操作需要浏览文件系统数据流部分的能力。
CreateFile()只是当你给它提供特定的信息的时候才能工作。
这就出现了一个有趣的问题,"是否存在一种方法,当你不知道文件名的时候也
能鉴别数据流的存在?"经过研究,发现只有API函数中的BackupRead()有能力
发现数据流的存在,不幸的是,很少有工具使用了这个功能。
关于讨论NTFS文件系统的数据流存在问题不是一个新的问题了,在BUGTRAQ上也
讨论过这个问题,见URL:http://www.securityfocus.com/templates/archive.pike?
list=1&date=1998-03-15&msg=Pine.SUN.3.94.980320114349.19659S-100000@dfw.dfw.net
当然微软公司也有关于流这方面的信息和它们怎样的工作,参考URL如下:
http://www.securityfocus.com/templates/archive.pike?list=1&date=
1998-03-15&msg=Pine.SUN.3.94.980320114349.19659S-100000@dfw.dfw.net
Advisory Details
我们测试了最新三个主要病毒扫描开发商的最新版本的病毒扫描程序,所有程序
都不能很好的鉴别存在于数据流中的病毒。例如你建立一个MyResume.doc:ILOVEYOU.vbs
和在数据流文件中保存了I LOVE YOU病毒内容的WORD文件,没有一个测试的病毒
扫描程序在扫描整个磁盘的时候有能力发现这个病毒,即使是选择了"check all files"
选项。这表示一个恶意变成人员可以使用数据流文件系统来隐藏恶意代码来逃避
病毒扫描程序的检查。
当然也存在检测出病毒的可能,前提是驻留在你的内存里的病毒扫描存在必须能
设置成检查所有文件(但这势必要增加资源的负担),这样,当有名的流文件(the
named stream)里的内存读入存在的时候,其中的数据流也会被读到内存里,这
时候驻留在内存中的病毒扫描程序就能探测到有已知病毒特征串的病毒,呵呵,
但这种情况对于新的病毒,没有已知病毒特征串的病毒就无能为力了,而且要知道
的是现在的大多数病毒扫描程序为了减少对系统的负担,病毒扫描程序一般
不设置检查全部文件的选项,驻留内存的病毒扫描程序一般仅仅检查一些带有特定
后缀名如.com,.exe,.vbs等的有名文件流(the named stream)。
所以因为大多数扫描程序没有包括对.ini文件的检查,一个编程人员可以关联一个
带有恶意代码而且不会被检查的文件类型写入到磁盘,在加上编的新病毒如果没有
使用已知的特征串就很难被驻留在内存里的病毒扫描程序发现。
但是问病毒扫描开发商为何没有对数据流文件进行处理?回答的答案是”数据流
可以插入,但你不能直接执行数据流文件,所以是没有威胁的"。这是回答是正确的,
你如果使用命令打开resume.doc:NastyEvilVirus.com所附的病毒码是不会被执行的。
但是如果病毒制作者把病毒代码和执行的代码--(简单的调用和处理的命令)追加到流
文件中,就有破坏系统的可能,下面解释如下:
大家知道病毒扫描程序的扫描是基于特征字符串的,这表示扫描程序检查病毒
代码中的唯一类型来区别其他的文件,如果病毒扫描程序没有能力检查使用数据流
的文件,那病毒扫描程序可以控制使用流数据文件的唯一方法就是控制存在在
流文件系统的中的执行代码部分。
所以一个攻击者可以写一段新的病毒程序,可以执行破坏的任务,他没有马上
发表出来,而是装载一个WORM或者其他投递程序中,这个WORM只是简单的并病毒
代码作为数据流追加到到NTFS文件系统中一些很重要的文件中,如cmd.exe,
Poledit.exe,Regedt32.exe或者其他的。
过几星期后,攻击者再发布了这个病毒代码,其作用就是写入到有名数据流中,
这样病毒供应商就回响应并产生此类病毒的特征字符串记性更新并让用户下载,
然后到第一次被插入数据流的文件被执行的时候,驻留在内存里的病毒扫描程序
就探测到这个装入到内存处的恶意代码。这样,病毒扫描程序就简单的把它作为
了有名数据文件,而不是更改了的数据流,然后就根据其设置提示相应的措施:
如"delete infected files"被选择了的话,一些被插入数据流的重要文件将被
删除,如果选择了"move infected files",那这个重要文件系统就会被移到一个
默认的位置,使系统处于不可操作的状态。如果"prompt for user intervention"
被选择了的话,就会停止执行这个文件并让用户手工删除。因此无论这个病毒
生成的数据流文件有没有执行以后的危害,都会使病毒扫描程序检测为不正常
文件,而使系统处于不稳定的状态。
那么到底有什么方法可以对付这些流文件系统呢?
1,对NTFS文件系统的数据流做一些常规的检查,NTOBJECTive开发了一个很好的
工具Sfind.exe可以很好的找到被更改了的数据流。其地址可以在这里找到:
http://www.ntobjectives.com/,你可以通过AT命令定时的来执行。
2,根据第一步所做的,如果你检查到一个新的数据流,就应该值得可疑,因为
测试情况下默认的NT和WIN2000的安装没有建立任何数据流文件。当然也可能是
第三放的软件造成的,如当一个Macintosh volume建立的时候,流会用来保存
派生的文件信息。因此你在NT系统中存储Macinitosh文件就可以看到数据流。
3,如果你找到可疑的数据流并想从系统中清除出去,第一步执行一个文件的
备份操作。注意你要知道这个备份文件是否支持流文件系统。如果数据流没有
备份,你可以map一驱动盘在一个远程的NTFS分区中并COPY文件到远程系统中。
然后在要把清理的数据流简单的拷贝到non-NTFS分区中,如使用FAT的系统,
WIN98系统或者LINUX,然后在拷贝到本地系统上,因此当你把带有数据流的文
件移到或则拷贝到远程系统里的时候,其中追加的数据流是不会被保存的。
要注意的上述移动会更改一些重要文件的权限,所以为了保证你文档的属性,你
最好使用FileStat或者其他工具来移动文件,这个工具也可以到NTOBJECTIVE里
找到。
当然有扫描程序的供应商进行支持是最好的方法,呵呵。
上面所有东西我本人觉得最有趣的是可以建立一个隐藏的文件,这个问题我记得
ADAM讨论这个情况,大家也可以向他请教。呵呵.....
在NTFS文件系统里存在的数据流形式已经是几年前的事情了,而防病毒供应商
没有充分的检查这一方面的文件,这样导致病毒扫描程序发现不了而已代码或者
病毒扫描程序本身就会有可能破坏文件系统的文件。
NTFS分区的数据流是一个子文件系统允许额外的数据连接到一个特别的文件中,
现在的FAT文件系统格式是不支持数据流格式的。我们可以看看下面的例子来
了解下NTFS的数据流是怎样工作的:
WINDOWS操作系统中使用NTFS文件系统,我们建立下面的一个文件:
echo "this is the main file" > file1.txt
上面这个命令会建立一个叫file1.txt的文本文件并在文件中存在文本字符串
"this is the main file",你可以使用下面的命令验证文件是否成功建立:
type file1.txt
edit file1.txt
notepad file1.txt
使用dir命令就会显示大约26字节大小的文件,上面文件成功建立是因为你存储
到文件系统的有名流分区(the named stream portion of the file system)。
下面我们来建立一个刚才预备的数据文件,在提示符下运行下面的命令:
echo "this is the stream" > file1.txt:stream1.txt
这上面的一个命令可以成功的完成而且没有任何错误显示,其中":"号就是你
指定关联一个流文件。在你尝试运行下面的命令:
type file1.txt:stream1.txt
edit file1.txt:stream1.txt
notepad file1.txt:stream1.txt
除了Notepad,你可以发现所有上面的命令退出的时候会出现某中种形式的错误,
这是由于其中的一些WINDOWS工具对处理有关数据流文件的能力不是很强,因为
在当时写有关NTFS文件系统的数据流存储的时候很多WINDOWS工具没有相应的
更新。OK,现在我们关联一个大的数据流到file1.txt文件中,并俩看看现在
的dir出现的情况,查看文件的字节大小之间的区别:
dir c:\winnt\* > file1.txt:stream2.txt
命令可以成功的执行,但我们建立的数据流文件中增加了将近6,500字节的数据,
可是dir显示的file1.txt显示的仍然只有26个字节,如果我们使用WINDOWS的
资源管理器检查我们照样看到的26个字节的误报数。
为了证实你确实增加了6,500字节的信息,你可以执行下面的命令:
notepad file1.txt:stream2.txt
你可以看到一个包含WINNT 目录的目录列表的文本文件,现在你试试选择
文件-->另存为,你会接受到错误的对话框信息。这是因为notepad有能力
打开和建立流文件,但它不能浏览NTFS这方面的范围。
上面是关联一个文件为流文件,但有趣的是你也可以直接创建一个流文件,
请用下面的命令测试:
echo "this is a stream file" > :file3.txt
OK,这样创建了的流对于dir或者资源浏览器是完全不可见的,就是说是隐藏的,
其中流文件也不能被del文件删除:
del file1.txt:stream2.txt
del :stream3.txt
上面两个删除命令都失败了,这是因为del命令是另一个没有升级到能处理流的
工具,唯一的方法删除挂付的流只能是删除前面的一个主文件,这样的操作就会
自动删除了所追加的流。:stream3.txt的情况你就必须上删除整个目录来删除
这个文件,呵呵。
其中关于流的最大的问题是难于鉴别它们是否存在,编程人员可以使用API函数
CreateFile()来查看一个数据流文件是否存在,但这是假定编程人员在知道
数据流名字的前提下才能操作,例如:在上面的实践中我们能打开数据流文件是
因为我们提供给notepad相应的文件名,但你从上面应该知道,当我们使用"另存
为"的操作时我们失败了,因为"另存为"的操作需要浏览文件系统数据流部分的能力。
CreateFile()只是当你给它提供特定的信息的时候才能工作。
这就出现了一个有趣的问题,"是否存在一种方法,当你不知道文件名的时候也
能鉴别数据流的存在?"经过研究,发现只有API函数中的BackupRead()有能力
发现数据流的存在,不幸的是,很少有工具使用了这个功能。
关于讨论NTFS文件系统的数据流存在问题不是一个新的问题了,在BUGTRAQ上也
讨论过这个问题,见URL:http://www.securityfocus.com/templates/archive.pike?
list=1&date=1998-03-15&msg=Pine.SUN.3.94.980320114349.19659S-100000@dfw.dfw.net
当然微软公司也有关于流这方面的信息和它们怎样的工作,参考URL如下:
http://www.securityfocus.com/templates/archive.pike?list=1&date=
1998-03-15&msg=Pine.SUN.3.94.980320114349.19659S-100000@dfw.dfw.net
Advisory Details
我们测试了最新三个主要病毒扫描开发商的最新版本的病毒扫描程序,所有程序
都不能很好的鉴别存在于数据流中的病毒。例如你建立一个MyResume.doc:ILOVEYOU.vbs
和在数据流文件中保存了I LOVE YOU病毒内容的WORD文件,没有一个测试的病毒
扫描程序在扫描整个磁盘的时候有能力发现这个病毒,即使是选择了"check all files"
选项。这表示一个恶意变成人员可以使用数据流文件系统来隐藏恶意代码来逃避
病毒扫描程序的检查。
当然也存在检测出病毒的可能,前提是驻留在你的内存里的病毒扫描存在必须能
设置成检查所有文件(但这势必要增加资源的负担),这样,当有名的流文件(the
named stream)里的内存读入存在的时候,其中的数据流也会被读到内存里,这
时候驻留在内存中的病毒扫描程序就能探测到有已知病毒特征串的病毒,呵呵,
但这种情况对于新的病毒,没有已知病毒特征串的病毒就无能为力了,而且要知道
的是现在的大多数病毒扫描程序为了减少对系统的负担,病毒扫描程序一般
不设置检查全部文件的选项,驻留内存的病毒扫描程序一般仅仅检查一些带有特定
后缀名如.com,.exe,.vbs等的有名文件流(the named stream)。
所以因为大多数扫描程序没有包括对.ini文件的检查,一个编程人员可以关联一个
带有恶意代码而且不会被检查的文件类型写入到磁盘,在加上编的新病毒如果没有
使用已知的特征串就很难被驻留在内存里的病毒扫描程序发现。
但是问病毒扫描开发商为何没有对数据流文件进行处理?回答的答案是”数据流
可以插入,但你不能直接执行数据流文件,所以是没有威胁的"。这是回答是正确的,
你如果使用命令打开resume.doc:NastyEvilVirus.com所附的病毒码是不会被执行的。
但是如果病毒制作者把病毒代码和执行的代码--(简单的调用和处理的命令)追加到流
文件中,就有破坏系统的可能,下面解释如下:
大家知道病毒扫描程序的扫描是基于特征字符串的,这表示扫描程序检查病毒
代码中的唯一类型来区别其他的文件,如果病毒扫描程序没有能力检查使用数据流
的文件,那病毒扫描程序可以控制使用流数据文件的唯一方法就是控制存在在
流文件系统的中的执行代码部分。
所以一个攻击者可以写一段新的病毒程序,可以执行破坏的任务,他没有马上
发表出来,而是装载一个WORM或者其他投递程序中,这个WORM只是简单的并病毒
代码作为数据流追加到到NTFS文件系统中一些很重要的文件中,如cmd.exe,
Poledit.exe,Regedt32.exe或者其他的。
过几星期后,攻击者再发布了这个病毒代码,其作用就是写入到有名数据流中,
这样病毒供应商就回响应并产生此类病毒的特征字符串记性更新并让用户下载,
然后到第一次被插入数据流的文件被执行的时候,驻留在内存里的病毒扫描程序
就探测到这个装入到内存处的恶意代码。这样,病毒扫描程序就简单的把它作为
了有名数据文件,而不是更改了的数据流,然后就根据其设置提示相应的措施:
如"delete infected files"被选择了的话,一些被插入数据流的重要文件将被
删除,如果选择了"move infected files",那这个重要文件系统就会被移到一个
默认的位置,使系统处于不可操作的状态。如果"prompt for user intervention"
被选择了的话,就会停止执行这个文件并让用户手工删除。因此无论这个病毒
生成的数据流文件有没有执行以后的危害,都会使病毒扫描程序检测为不正常
文件,而使系统处于不稳定的状态。
那么到底有什么方法可以对付这些流文件系统呢?
1,对NTFS文件系统的数据流做一些常规的检查,NTOBJECTive开发了一个很好的
工具Sfind.exe可以很好的找到被更改了的数据流。其地址可以在这里找到:
http://www.ntobjectives.com/,你可以通过AT命令定时的来执行。
2,根据第一步所做的,如果你检查到一个新的数据流,就应该值得可疑,因为
测试情况下默认的NT和WIN2000的安装没有建立任何数据流文件。当然也可能是
第三放的软件造成的,如当一个Macintosh volume建立的时候,流会用来保存
派生的文件信息。因此你在NT系统中存储Macinitosh文件就可以看到数据流。
3,如果你找到可疑的数据流并想从系统中清除出去,第一步执行一个文件的
备份操作。注意你要知道这个备份文件是否支持流文件系统。如果数据流没有
备份,你可以map一驱动盘在一个远程的NTFS分区中并COPY文件到远程系统中。
然后在要把清理的数据流简单的拷贝到non-NTFS分区中,如使用FAT的系统,
WIN98系统或者LINUX,然后在拷贝到本地系统上,因此当你把带有数据流的文
件移到或则拷贝到远程系统里的时候,其中追加的数据流是不会被保存的。
要注意的上述移动会更改一些重要文件的权限,所以为了保证你文档的属性,你
最好使用FileStat或者其他工具来移动文件,这个工具也可以到NTOBJECTIVE里
找到。
当然有扫描程序的供应商进行支持是最好的方法,呵呵。
上面所有东西我本人觉得最有趣的是可以建立一个隐藏的文件,这个问题我记得
ADAM讨论这个情况,大家也可以向他请教。呵呵.....
#5
哈哈,好东西,,收藏~
#6
网上搜吧,太多了,实在不行的话,微软也有许多这样的教材呀
#7
到那里可以找到微软的教材
#8
到那里可以找到微软的教材
^^^^^^^^^^^^^^^^^^^^^^^^^^
http://www.microsoft.com,到这里找,一定有您需要的。
^^^^^^^^^^^^^^^^^^^^^^^^^^
http://www.microsoft.com,到这里找,一定有您需要的。
#9
这个资料好
==========================
回复人: jin0706(small(努力&开心everyday,有事PM我^_^)) ( ) 信誉:186 2005-04-03 22:55:00 得分: 0
自己用google搜索阿,很多的
这我以前收集的:
http://www.gb.tomshardware.com/article_000074505.html
==========================
回复人: jin0706(small(努力&开心everyday,有事PM我^_^)) ( ) 信誉:186 2005-04-03 22:55:00 得分: 0
自己用google搜索阿,很多的
这我以前收集的:
http://www.gb.tomshardware.com/article_000074505.html
#10
网络搜索最好
#11
上网搜下
#12
google上搜索
#13
楼上的那个网站我也收藏了!
#14
大家的资料以前有人发过了,我也看过了,有没有其他的?不过还是要谢谢大家,分是一定要散的.
还想问一下上网搜用什么关键词可以搜到好一些的资料?
还想问一下上网搜用什么关键词可以搜到好一些的资料?
#15
????????????
#16
还想问一下上网搜用什么关键词可以搜到好一些的资料?
------------------------
www.google.com
至于关键词,你想了解什么输入什么呗,想了解结构,就输入“ntfs 结构”
也建议你直接到www.microsoft.com,微软的网站上去搜
------------------------
www.google.com
至于关键词,你想了解什么输入什么呗,想了解结构,就输入“ntfs 结构”
也建议你直接到www.microsoft.com,微软的网站上去搜
#17
头晕了,怎么这么多啊,学习中!!