2、记录文件信息的数据流
不同于Vista,Windows 7只能安装在NTFS分区中,这应该是出于对其安全可靠性的考虑。在NTFS卷上的每个文件都有其相关的数据流,这些数据流记录了文件的详细信息,相当于该文件的“名片”。其实所谓的数据流,就是包含在文件内容中的一系列字节的内容,数据流分为主数据流和可命令数据流。主数据流是未命名的,并且只能被文件系统查看。命名数据流中包含了与该文件有关的额外信息,例如自定义的属性和摘要信息。这样,我们就可以给文件关联额外的信息,但文件和信息仍将作为一个整体。
在创建命名数据流并将其关联给文件后,任何知道如何处理命名数据流的应用程序都可以通过名称读取数据流,并读取额外信息。例如,我们熟悉的Microsoft Office是可以读取数据流的。这样我们就可以为Word文档设置摘要信息,例如标题、主题、作者,并将这些信息和文件一起保存。
通常情况下,我们要查看文件的数据流信息,可用鼠标右键单击保存NTFS分区中的任何文件,选择“属性”,并切换到“详细信息”选项卡,都可以看到关联到文件的数据流信息。一般来说,关联到文件的命名数据流可用于设置其属性选项卡的名称,以及生成这些选项卡下显示的信息。因为某些类型的文档可能包含额外的选项卡,例如我们可以看到是文件略缩图就保存在文件中。当然,在文件属性对话框的“详细信息”选项卡下,我们可以选择性地删除关联到文件的属性及其个人信息。只需单击“删除属性和个人信息”链接,并选择相应的删除方式,系统就会通过从文件相关的数据流中删除相应的值来实现我们的目的。(图2)
在Windows 7中,NTFS分区具有文件变动信息的记录功能。变动日志可以针对卷的所有操作记录完整的日志,记录的内容可包含添加、删除和修改操作,无论那个用户进行的操作,或者进行的添加、删除和修改操作都会记录在案。这和系统日志类似,变动日志是持续的,因此就算是关闭或重启系统,这些内容依旧可以保留。当发生NTFS检查点事件后,系统就会将记录写入到NTFS变动日志中,检查点会告诉系统写入变动,以便让NTFS可以在发生故障后恢复到特定的检查点状态下。
要了解有关变动日志功能的摘要信息,我们只需在命令行下运行“fsutil usn queryjournal DriveDesignator”命令即可,其中DriveDesignator的我们要查询的卷。例如我们要查看C盘的变动日志摘要,可运行命令“fsutil usn queryjournal c:”。在笔者的Windows 7中,命令的输出结果如下:
Usn Journal ID : 0x01c9cb581f565250
First Usn : 0x00000000004c0000
Next Usn : 0x000000000224be08
Lowest Valid Usn : 0x0000000000000000
Max Usn : 0x7fffffffffff0000
Maximum Size : 0x0000000002000000
Allocation Delta : 0x0000000000400000
“Usn Journal ID”是USN日志ID,这是该变动日志的唯一标识符。“First Usn”是第一个USN,这是日志中的第一个USN。“Next Usn”是下一个USN,这时变动日志下一个可以被写入的USN。“Lowest Valid Usn”是最低有效USN,这是可以被写入变动日志的最低有效USN。“Max Usn”是最大USN,这是可以被分配的最大USN。“Maximum Size ”是最大值,这是变动日志可以使用的字节最大值,如果变动日志超过该值,以前的项目就会被覆盖。“Allocation Delta”是分配差,这是当变动日志装满后,可以被添加到日志的末尾,或者从日志的开头处删除的,被分配的内容空间大小。 9 7 3 1 2 3 4 8 :
本文来源:华军资讯 作者:佚名