1. Раздел NTFS состоит из кластеров, они пронумерованы от 0 (кластер — это непрерывная последовательность секторов заданного фиксированного размера).
2. В разделе NTFS все хранится в виде файлов (каталоги, программы, данные ...). Системная нформация для работы файловой системы — хранится в виде метафайлов (системных файлов), имена их начинаются со знака $ (см. рис. 3) и они недоступны пользователю с помощью обычных средств операционной системы.
3. Файл в разделе NTFS состоит из экстентов (экстент — это непрерывная последовательность кластеров различного размера (см. рис. 2). Размер экстента задается номером начального кластера и количеством кластеров в экстенте).
4. Основой для организации хранения информации в виде файлов является метафайл $MFT. Файл $MFT состоит из записей фиксированного размера (обычно 1 Кбайт), и каждая запись определяет соответствующий ей файл (либо маленький файл находится внутри записи в Атрибуте 80 (рис. 1), либо файл состоит из экстентов, которые определяются последовательностью блоков VCN (рис. 2) в Атрибуте 80).
5. Блок VCN (рис. 2) содержит номер начального кластера экстента и количество кластеров в экстенте.
6. Нужную запись файла $MFT находят через каталог по имени файла (рис. 3,4). Номер записи находится в шести начальных байтах каталожного блока (имя файла находится в конце каталожного блока и занимает различное количество байтов).
Рис. 1.
Рис. 2.
Рис. 3.
Рис. 4.