Что такое mft на жестком диске

Обновлено: 03.07.2024

Основная таблица файлов (MFT) хранит сведения, необходимые для извлечения файлов из раздела NTFS.

Файл может иметь одну или несколько записей MFT и может содержать один или несколько атрибутов. В файловой системе NTFS ссылка на файл является ссылкой на сегмент MFT основной записи файла. Дополнительные сведения см. в статье _ _ Справочник по сегментам MFT.

MFT содержит сегменты записей файлов; первые 16 из них зарезервированы для специальных файлов, например следующих:

  • 0: MFT ($Mft)
  • 5: корневой каталог ( \ )
  • 6: файл выделения кластера тома ($Bitmap)
  • 8: Bad — файл кластера ($BadClus)

Каждый сегмент записи файла начинается с заголовка сегмента записи файла. Дополнительные сведения см. в разделе _ _ _ заголовок сегмента записи файла. За каждым сегментом записи файла следуют один или несколько атрибутов. Каждый атрибут начинается с заголовка записи атрибута. Дополнительные сведения см. в разделе _ _ заголовок записи атрибута. Запись атрибута включает тип атрибута (например, $DATA или $BITMAP), необязательное имя и значение атрибута. Пользовательский поток данных — это атрибут, как и все потоки. Список атрибутов завершается с параметром 0xFFFFFFFF ($END).

Ниже приведены некоторые примеры атрибутов.

  • Файл $Mft содержит неименованный $DATA атрибут, который представляет собой последовательность сегментов записи MFT в порядке.
  • Файл $Mft содержит неименованный атрибут $BITMAP, который указывает, какие записи MFT используются.
  • Файл $Bitmap содержит неименованный $DATA атрибут, указывающий, какие кластеры используются.
  • Файл $BadClus содержит атрибут $DATA с именем $BAD, который содержит запись, соответствующую каждому поврежденному кластеру.

Если больше нет места для хранения атрибутов в сегменте записи файла, то дополнительные сегменты записи файла выделяются и вставляются в первый (или базовый) сегмент записи файла в атрибуте, который называется списком атрибутов. Список атрибутов указывает, где можно найти каждый атрибут, связанный с файлом. Сюда входят все атрибуты в записи базового файла, за исключением самого списка атрибутов. Дополнительные сведения см. в разделе _ _ элемент списка атрибутов.

В предыдущих статьях мы неоднократно затрагивали тему повреждений HDD. Но что случится, если эти повреждения приобретут массовый характер во всего лишь одном накопителе? Такое развитие событий приведет к неизбежному сбою главной таблицы файлов диска и ряду других неприятных последствий.

Что такое главная таблица файлов?

Главная или Общая таблица файлов диска (Master File Table, MFT) — документ, хранящийся исключительно в файловой системе NTFS. Он является важнейшим винтиком в механизме работы данной системы, поскольку хранит в себе такую информацию как размер, дату и время записи, содержимое файлов.

Любой документ, загружаемый в NTFS, будет записан и в MFT. В случае удаления, файловое пространство будет помечено как свободное и находящееся в ожидании дальнейшей перезаписи. Если же главная таблица файлов была повреждена, все документы в разделе NTFS станут недоступными.

Симптомы повреждения

Как и в случае с любой другой ошибкой, повреждения MFT также не проходят бесследно. Они проявляются следующим образом:

The type of the file system is NTFS.
Volume label Work Folder.
Corrupt master file table. Windows will attempt to recover master file table from disk.
Windows cannot recover master file table. CHKDSK aborted.

Примечание:
Volume label (метка тома) — это название диска, которое в вашем случае может отличаться.

Причины ошибки

В большинстве случаев, повреждение раздела NTFS смело свидетельствует о наличии сбоя главной таблицы файлов. Причин, способных спровоцировать возникновение неполадки, существует множество, но мы разберем самые основные:

  • Сбой в работе операционной системы. Например, BSOD (синий экран смерти).
  • Вирус, предназначенный для повреждения MFT.
  • Неправильное извлечение диска (вы могли отключить его в момент неполного завершения работы компьютера).
  • Сбой приложения.
  • Наличие битых секторов.

Вне зависимости от причины возникновения неполадки, всегда есть шанс на восстановление диска и данных на нем. Каждая из приведенных ниже инструкций позволит своей простотой существенно сэкономить ваше личное время с большой долей вероятности вернуть HDD к жизни. Приступим!

Восстановление поврежденной таблицы файлов

Дефрагментация диска

В некоторых случаях причиной отказа работы MFT и, как следствие, всей системы NTFS является чрезмерное фрагментирование диска. Решить этот вопрос можно следующим образом:

1. Откройте Мой компьютер .

2. Щелкните правой кнопкой по логическому разделу или физическому диску, с которым предстоит работать, и перейдите в Свойства .

Любой пользователь компьютера сталкивается с «засорением» операционной системы. За продолжительный срок своей работы «Виндовс» бережно хранит файлы и служебные папки. В итоге он начинает тормозить и свободного места на диске не остается. С помощью утилиты Ccleaner можно очистить компьютер от лишнего мусора.

Что это такое

Ccleaner – программное обеспечение, направленное на комплексное очищение компьютера. Она имеет массу возможностей и функций, правильно применяя которые можно добиться отличной производительности ПК.

MFT — основная файловая таблица. В ней хранятся файлы существующие сегодня и находившиеся ранее.

Но с перезаписью в MFT данных о файлах, которые лежали когда-то на свободном месте нет. Кроме того, их невозможно восстановить, так как нет информации о том, где они находились и что в них содержалось.

Записи MFT применяются для описания файлов, которым они соответствуют. Вся информация о файле, включая его размер и содержимое, хранятся в записях MFT или в другом месте, не относящемся к нему, но указанном в его записи.

Очистка представляет собой затирание этого места файлами нулевого размера. Когда появляются новые файлы, то в MFT прибавляются новые записи, таким образом, его размер становится выше. Если удалить записи из NTFS, то соответствующие в MFT помечаются, как свободные и могут быть применены повторно, но размер MFT при этом меньше не станет.

ToVm

Таким образом, дисковое пространство, применяемое для таких записей, остается недоступным. Функция Ccleaner «Очистить свободное место MFT» позволяет удалить ненужные записи в MFT. После удаления восстановить данные станет практически невозможно.

Справка: многие пользователи ПК считают, что при очистке будут удалены все личные и важные данные. Но в утилите Ccleaner есть функция многоуровневой проверки файлов, поэтому такие опасения напрасны.

Как проводить освобождение диска от мусора

Очищение диска от мусора с помощью MFT может оказаться длительным процессом. Оно зависит от объема пространства на диске и указанного количества проходов при перезаписи данных.

Прежде чем чистить диск от мусора, нужно провести анализ и выяснить, какие именно файлы на ПК занимают много места. Считается, что на системном разделе диска пространства в свободном доступе должно быть не меньше 15% от его общего объема. Это необходимо, чтобы «Виндовс» функционировала полноценно, без торможений и подвисаний.

Функционал «Анализ» в утилите не уступает подобным возможностям, реализованных в отдельных программах.

  1. В окне программы Ccleaner нужно выбрать раздел «Сервис» и перейти на вкладку «Анализирование дисков». Если это необходимо, то можно прибавить файлы из архивов и электронной почты.
  2. Далее нужно выбрать диск компьютера С, D, E и нажать на кнопку «Анализ».
  3. По итогам анализа слишком большие файлы можно перенести с системного диска на несистемный. Для этого нужно выбрать необходимый файл, вызвать контекстное меню и нажать «Открыть папку». Откроется окно проводника, где можно будет убрать файл с диска или удалить его навсегда.

Часто на ПК скапливаются файлы-дубликаты. Они находятся в разных папках. Смысла хранить дубли нет, они только засоряют диск.

  1. Чтобы удалить дубликаты, нужно открыть меню «Сервис», найти позицию «Поиск дубликатов», запустить ее.
  2. Далее необходимо задать места поиска повторяющихся файлов, а также задать исключения — папки из ранее указанной области, которые программа не будет просматривать.
  3. Затем нужно отметить предназначенные для удаления документы и нажать «Удалить выделенные».
Удалять дубликаты файлов нужно внимательно. Не следует удалять дубликаты системных и рабочих файлов. Они могут иметь одинаковые технические названия, но расположены в разных папках, поэтому служат целям разных программ.

После того как будет проведен анализ и удалены все дубликаты, можно приступить к очищению диска.

  1. Для этого нужно в Ccleaner выбрать вкладку «Сервис» и далее «Стирание дисков».
  2. В первой вкладке выбрать «Только свободное место».Если выбрать весь диск, то утилита сотрет его, включая все программы, файлы и документы.
  3. В поле «Способ» нужно выбрать алгоритм DOD три раза.
  4. В поле «Диски» нужно выбрать, на каких дисках требуется очистка, и нажать на вкладку «Стереть».


Из видео узнаете о стирании свободного места на диске с помощью программы CCleaner:

Многократное стирание файлов на диске с помощью Ccleaner

В жизни бывает так, что требуется удалить некоторые данные без возможности их восстановить. Но даже форматирование на низком уровне не дает гарантий полного и безвозвратного удаления данных.

Уничтоженный файл с диска никуда не пропадает и его легко восстановить до тех пор, пока сверху на него не будет записана какая-нибудь новая информация. Но даже двух или трех циклов перезаписи мало и данные можно извлечь.

В утилите Ccleaner есть функция «Очистка свободного места». Ее работа заключается не в очищении мусора для освобождения свободного места, а в очищении самого свободного места. Другими словами, очистка — перезапись пустых областей, где когда-то находились удаленные данные. Чтобы запустить эту функцию, нужно запустить Ccleaner.

  1. Далее нужно сначала удалить ненужные файлы обычными методами, не забыв почистить корзину.
  2. Затем запустить утилиту. Перейти в настройки и в графе «Режим очистки» нажать на кружок «Безвозвратное удаление» и выбрать количество циклов перезаписи таким образом, чтобы информацию никто не восстановил.
  3. Отметить места, на которых была стерта информация. Поставить галочку «Очистить свободное место MFT».
  4. Перейти на вкладку «Очистка» и здесь поставить галочку «Очистка свободного места».
  5. Дальше нажать на кнопку «Очистка» и подождать.
На будущее – если нужно держать определенные данные скрытно, то лучше создать логический диск и на нем держать все необходимые личные файлы.

Теперь вы знаете, что такое очистка свободного места в MFT Ccleaner, поэтому можете применить эту возможность и без опасения удалить определенный системный файл.

В Таблица основных файлов специфичен для NTFS, что похоже на бортовой журнал. Он ведет учет всех файлов, доступных на этом устройстве хранения. Помимо этого, другая информация, такая как его размер, отметки времени и даты, разрешения и содержимое данных, хранится либо в MFT.

По мере того, как добавляется все больше и больше файлов, объем продолжает расти. Это основная причина, по которой ОС резервирует часть хранилища, которая меньше всего доступного пространства.

Когда файл удаляется, запись все еще существует, как и файл. Однако в MFT запись для файла помечается как свободная. Таким образом, когда поступает новый файл, место можно использовать повторно.

До тех пор данные остаются там, как есть, и именно так работает программа восстановления. Они посмотрят на таблицу MFT и покажут вам удаленные файлы, а также позволят вам восстановить их.

Как протереть жесткий диск и очистить MFT

Итак, теперь, когда вы знаете, как это работает, есть два способа предотвратить восстановление. Вы можете полностью очистить свой жесткий диск, используя какое-нибудь безопасное программное обеспечение для удаления, так что в конечном итоге таблица MFT не будет ничего обнаруживать.

Давайте взглянем на два бесплатных программного обеспечения, которые могут вам в этом помочь. Хотя вы можете выполнять эти операции часто, на SSD это, скорее всего, сократит срок службы SSD.

1.Cyrobo Prevent Recovery

Как очистить жесткие диски, чтобы предотвратить восстановление удаленных файлов

Интерфейс прост. Запустите программу, и она обнаружит разделы, подключенные к компьютеру.

  • Выберите раздел, для которого вы хотите запустить операции защиты от восстановления.
  • На следующем экране вы можете выбрать вариант перезаписи данных с использованием пробелов, случайных символов, случайных чисел и специальных технических знаков.
  • Затем вам нужно выбрать тип безопасности, но, поскольку это бесплатная версия, вы не можете. Так что жмите Далее.
  • Наконец, вы можете выбрать очистку таблиц MFT в процентах от свободного диска, подлежащего перезаписи. Рекомендуется 100%.
  • Опубликуйте это, программное обеспечение будет искать удаленные файлы, перезаписывать их, а также очищать записи MFT.

Время, необходимое для этого, будет зависеть от скорости жесткого диска. На одну перезапись на моем жестком диске ушло около 50 минут.

Перезапись файлов с предотвращением восстановления

Программное обеспечение утверждает, что они используют 12 алгоритмов безопасности, чтобы даже службам безопасности было сложно восстановить данные с существующего диска.

2.CCleaner Wipe MFT Free Space

Очистить диски свободного места

Когда вы настраиваете это, CCleaner продолжает удалять файлы безвозвратно, используя технику свободного пространства MFT, каждый раз, когда вы удаляете файл.

Как протереть жесткий диск и очистить MFT

Привод стеклоочистителя

Это полезно, когда вы передаете свой компьютер кому-то другому или если у вас не была включена вышеупомянутая опция ранее.

CCleaner Wiipe Free Space Drive

    • Перейдите в Инструменты> Очиститель диска.
    • Выберите Free Space only под Wipe.
    • Выберите тип протирания безопасности, который может быть от одного до тридцати пяти раз.
    • Выберите один или несколько дисков
    • Затем нажмите на Вытирать чтобы запустить процесс.

    Работает ли удаление основной таблицы файлов?

    Это сложный вопрос, потому что действительно важно, какой алгоритм безопасности использовался для удаления данных.

    Существует высококлассное программное обеспечение, которое может извлекать данные, даже если вы их однажды стерли, или может нарушить алгоритм, который использовался для очистки данных.

    Мы протестировали его с помощью программы восстановления, которую я часто использую для тестирования восстановления, и я убедился, что она работает. Однако на этот раз восстановить данные при сканировании не удалось.

    Cyrobo Prevent Recovery результат

    Cyrobo Prevent Recovery Result

    Мы видели сотни файлов во временной папке и корзине, но ни один из них не мог быть просмотрен после восстановления. Расширенное сканирование не смогло восстановить ни один файл, но оно показало имена файлов кое-где.

    Результат CCleaner Wipe MFT Free Space

    Результат CCleaner с использованием Recovery

    Результаты CCleaner, где мы использовали функцию Wipe Driv e (только свободное пространство), были интересными. Все, что мы могли видеть, это тонны файлов с именем ZZZZ как при быстром, так и при расширенном сканировании. Похоже, CCleaner справился намного лучше, чем Cyrobo Prevent Recovery.


    Стандарт файловой системы NTFS версии 3.1 появился в 2001 году с выходом на рынок Windows XP и с тех пор не претерпел фундаментальных изменений. В Windows 10 также используется NTFS v3.1. Архитектуру и особенности внутреннего устройства этой файловой системы Крис Касперски подробно описал в своей книге «Восстановление данных», которая сейчас готовится к переизданию. Мы публикуем отрывок из этой книги, где Крис рассказывает о том, что представляет собой NTFS изнутри.

    NTFS с высоты птичьего полета

    Основным структурным элементом всякой файловой системы является том (volume), в случае с FAT совпадающий с разделом (partition). NTFS поддерживает тома, состоящие из нескольких разделов (см. рис.). Будем для простоты считать, что том представляет собой отформатированный раздел (то есть раздел, содержащий служебные структуры файловой системы).

    Большинство файловых систем трактуют том как совокупность файлов, свободного дискового пространства и служебных структур файловой системы, но в NTFS все служебные структуры представлены файлами, которые (как это и положено файлам) могут находиться в любом месте тома, при необходимости фрагментируя себя на несколько частей.

    Основным служебным файлом является главная файловая таблица, $MFT (Master File Table) — своеобразная база данных, хранящая информацию обо всех файлах тома: их именах, атрибутах, способе и порядке размещения на диске. Каталог также является файлом особого типа, со списком принадлежащих ему файлов и вложенных подкаталогов. Важно подчеркнуть, что в MFT присутствуют все файлы, находящиеся во всех подкаталогах тома, поэтому для восстановления диска наличия файла $MFT будет вполне достаточно.

    Остальные служебные файлы, называемые метафайлами (metafiles) или метаданными (metadata), всегда имеют имена, начинающиеся со знака доллара ( $ ), и носят сугубо вспомогательный характер, интересный только самой файловой системе. К ним в первую очередь относится: $LogFile — файл транзакций, $Bitmap — карта свободного/занятого пространства, $BadClust — перечень плохих кластеров. Текущие версии Windows блокируют доступ к служебным файлам с прикладного уровня (даже с правами администратора!), и всякая попытка открытия или создания такого файла в корневом каталоге обречена на неудачу.

    Классическое определение, данное в учебниках информатики, отождествляет файл с именованной записью на диске. Большинство файловых систем добавляет к этому понятие атрибута (attribute) — некоторой вспомогательной характеристики, описывающей время создания, права доступа и так далее. В NTFS имя файла, данные файла и его атрибуты полностью уравнены в правах. Иначе говоря, всякий файл NTFS представляет собой совокупность атрибутов, каждый из которых хранится как отдельный поток байтов. Поэтому, во избежание путаницы, атрибуты, хранящие данные файла, часто называют потоками (streams).

    Каждый атрибут состоит из тела (body) и заголовка (header). Атрибуты подразделяются на резидентные (resident) и нерезидентные (non-resident). Резидентные атрибуты хранятся непосредственно в $MFT , что существенно уменьшает грануляцию дискового пространства и сокращает время доступа. Нерезидентные атрибуты хранят в $MFT лишь свой заголовок, описывающий порядок размещения атрибута на диске.

    Назначение атрибута определяется его типом (type), представляющим собой четырехбайтное шестнадцатеричное значение. При желании атрибуту можно дать еще и имя (name), состоящее из символов, входящих в соответствующее пространство имен (namespace). Подавляющее большинство файлов имеет по меньшей мере три атрибута. К их числу относится стандартная информация о файле (время создания, модификации, последнего доступа, права доступа), которая хранится в атрибуте типа 10h , условно обозначаемом $STANDARD_INFORMATION . Ранние версии Windows NT позволяли обращаться к атрибутам по их условным обозначениям, но начиная с Windows 2000 мы лишены этой возможности. Полное имя файла (не путать с путем!) хранится в атрибуте типа 30h ( $FILE_NAME ).

    Если у файла есть одно или несколько альтернативных имен, таких атрибутов может быть и несколько. Здесь же хранится ссылка (file reference) на родительский каталог, позволяющая разобраться, к какому каталогу принадлежит данный файл или подкаталог. По умолчанию данные файла хранятся в безымянном атрибуте типа 80h ( $DATA ). Однако при желании прикладные программы могут создавать дополнительные потоки данных, отделяя имя атрибута от имени файла знаком двоеточия (например: ECHO xxx > file:attr1; ECHO yyy > file:attr2; more < file:attr1; more < file:attr2 ).

    Изначально в NTFS была заложена способность индексации любых атрибутов, значительно сокращающая время поиска файла по заданному списку критериев (например, времени последнего доступа). Индексы хранятся в виде двоичных деревьев, поэтому среднее время выполнения запроса оценивается как O(lg n) . На практике в большинстве драйверов NTFS реализована индексация лишь по имени файла. Как уже говорилось ранее, каталог представляет собой файл особого типа — файл индексов. В отличие от FAT, где файл каталога представляет собой единственный источник данных об организации файлов, в NTFS файл каталога используется лишь для ускорения доступа к содержимому каталога. Он не является обязательным, так как ссылка на родительский каталог всякого файла в обязательном порядке присутствует в атрибуте его имени ( $FILE_NAME ).

    Продолжение доступно только участникам

    Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

    Вариант 2. Открой один материал

    Крис Касперски

    Известный российский хакер. Легенда ][, ex-редактор ВЗЛОМа. Также известен под псевдонимами мыщъх, nezumi (яп. 鼠, мышь), n2k, elraton, souriz, tikus, muss, farah, jardon, KPNC.

    Читайте также: