stringtranslate.com

Sistema operativo NTFS

NT File System ( NTFS ) (comúnmente llamado New Technology File System ) es un sistema de archivos de registro propietario desarrollado por Microsoft en la década de 1990. [11] [12] [2]

Fue desarrollado para superar la escalabilidad, seguridad y otras limitaciones con FAT . [13] NTFS agrega varias características de las que carecen FAT y HPFS , incluyendo: listas de control de acceso (ACL); cifrado del sistema de archivos; compresión transparente; archivos dispersos ; registro del sistema de archivos y copia de sombra de volumen , una característica que permite realizar copias de seguridad de un sistema mientras está en uso.

A partir de Windows NT 3.1 , es el sistema de archivos predeterminado de la familia Windows NT , reemplazando al sistema de archivos de la Tabla de asignación de archivos (FAT). [14] La compatibilidad de lectura/escritura de NTFS está disponible en Linux y BSD utilizando NTFS3 en Linux y NTFS-3G en BSD . [15] [16]

NTFS utiliza varios archivos ocultos para el usuario para almacenar metadatos sobre otros archivos almacenados en la unidad, lo que puede ayudar a mejorar la velocidad y el rendimiento al leer datos. [1]

Historia

A mediados de los años 1980, Microsoft e IBM formaron un proyecto conjunto para crear la próxima generación de sistemas operativos gráficos ; el resultado fue OS/2 y HPFS . Debido a que Microsoft no estaba de acuerdo con IBM en muchos temas importantes, finalmente se separaron; OS/2 siguió siendo un proyecto de IBM y Microsoft trabajó para desarrollar Windows NT y NTFS.

El sistema de archivos HPFS para OS/2 contenía varias características nuevas importantes. Cuando Microsoft creó su nuevo sistema operativo, tomó prestados muchos de estos conceptos para NTFS. [17] Los desarrolladores originales de NTFS fueron Tom Miller , Gary Kimura, Brian Andrew y David Goebel. [18]

Probablemente como resultado de esta ascendencia común, HPFS y NTFS utilizan el mismo código de tipo de identificación de partición de disco (07). El uso del mismo Número de registro de identificación de partición es muy inusual, ya que había docenas de números de código sin usar disponibles y otros sistemas de archivos importantes tienen sus propios códigos. Por ejemplo, FAT tiene más de nueve (uno para FAT12 , FAT16 , FAT32 , etc.). Los algoritmos que identifican el sistema de archivos en una partición de tipo 07 deben realizar comprobaciones adicionales para distinguir entre HPFS y NTFS.

Versiones

Microsoft ha lanzado cinco versiones de NTFS:

El NTFS.sysnúmero de versión (por ejemplo, v5.0 en Windows 2000) se basa en la versión del sistema operativo; no debe confundirse con el número de versión NTFS (v3.1 desde Windows XP). [22] [23]

Aunque las versiones posteriores de Windows añadieron nuevas características relacionadas con el sistema de archivos, no cambiaron el NTFS en sí. Por ejemplo, Windows Vista implementó los enlaces simbólicos NTFS , el NTFS transaccional , la reducción de particiones y la autorreparación. [24] Los enlaces simbólicos NTFS son una característica nueva en el sistema de archivos; todas las demás son nuevas características del sistema operativo que hacen uso de las características NTFS ya existentes.

Escalabilidad

NTFS está optimizado para  clústeres de 4 KB [a] , pero admite un tamaño máximo de clúster de 2 MB [a] . (Las implementaciones anteriores admiten hasta 64 KB) [6] El tamaño máximo de volumen NTFS que la especificación puede admitir es de 2 64 − 1 clústeres, pero no todas las implementaciones alcanzan este máximo teórico, como se analiza a continuación.  

El tamaño máximo de volumen NTFS implementado en Windows XP Professional es de 2 clústeres de 32 − 1 , en parte debido a las limitaciones de la tabla de particiones. Por ejemplo, utilizando  clústeres de 64 KB, el tamaño máximo del volumen NTFS de Windows XP es de 256 TB menos 64 KB . Si se utiliza el tamaño de clúster predeterminado de 4 KB, el tamaño máximo del volumen NTFS es de 16 TB menos 4 KB. Ambos son mucho más altos que el límite de 128 GB [a] en Windows XP SP1 . El tamaño de una partición en el Registro de arranque maestro (MBR) está limitado a 2 TiB con un disco duro con sectores físicos de 512 bytes, [25] [26] aunque para un sector físico de 4 KiB el límite de tamaño de la partición MBR es de 16 TiB. Una alternativa es utilizar varios volúmenes de tabla de particiones GUID (GPT o "dinámicos") para combinarlos y crear un único volumen NTFS mayor a 2 TiB. Para arrancar desde un volumen GPT a un entorno Windows de una manera compatible con Microsoft, se necesita un sistema con Interfaz de firmware extensible unificada (UEFI) y compatibilidad con 64 bits [b] . [27] Los discos de datos GPT son compatibles con sistemas con BIOS.      

El límite teórico máximo de NTFS para el tamaño de los archivos individuales es de 16 EB [a] [28] ( 16 × 1024 6 o 2 64 bytes ) menos 1 KB, lo que suma un total de 18 446 744 073 709 550 592 bytes. Con Windows 10 versión 1709 y Windows Server 2019 , el tamaño máximo de archivo implementado es de 8 PB [a] menos 2 MB o 9 007 199 252 643 840 bytes. [6]    

Interoperabilidad

Ventanas

Aunque las distintas versiones de NTFS son en su mayor parte totalmente compatibles con versiones anteriores y posteriores , existen consideraciones técnicas para montar volúmenes NTFS más nuevos en versiones anteriores de Microsoft Windows. Esto afecta al arranque dual y a los discos duros portátiles externos. Por ejemplo, intentar utilizar una partición NTFS con "versiones anteriores" ( Volume Shadow Copy ) en un sistema operativo que no la admita provocará la pérdida del contenido de esas versiones anteriores. [29] Una utilidad de línea de comandos de Windows llamada convert.exe puede convertir sistemas de archivos compatibles a NTFS, incluidos HPFS (solo en Windows NT 3.1, 3.5 y 3.51), FAT16 y FAT32 (en Windows 2000 y posteriores). [30] [31]

BSD libre

FreeBSD 3.2, publicado en mayo de 1999, incluía soporte para NTFS de sólo lectura escrito por Semen Ustimenko. [32] [33] Esta implementación fue trasladada a NetBSD por Christos Zoulas y Jaromir Dolecek y publicada con NetBSD 1.5 en diciembre de 2000. [34] La implementación de NTFS de FreeBSD también fue trasladada a OpenBSD por Julien Bordet y ofrece soporte nativo para NTFS de sólo lectura de forma predeterminada en las plataformas i386 y amd64 a partir de la versión 4.9 publicada el 1 de mayo de 2011. [35] [33]

Linux

Las versiones del kernel de Linux 2.1.74 y posteriores incluyen un controlador escrito por Martin von Löwis que tiene la capacidad de leer particiones NTFS; [36] las versiones del kernel 2.5.11 y posteriores contienen un nuevo controlador escrito por Anton Altaparmakov ( Universidad de Cambridge ) y Richard Russon que admite la lectura de archivos. [37] [38] [36] La capacidad de escribir en archivos se introdujo con la versión del kernel 2.6.15 en 2006, que permite a los usuarios escribir en archivos existentes pero no permite la creación de nuevos. [39] El controlador NTFS de Paragon (ver más abajo) se ha fusionado con la versión del kernel 5.15, y admite lectura/escritura en archivos normales, comprimidos y dispersos, así como reproducción de diario. [40]

NTFS-3G es una implementación de NTFS de FUSE con licencia GPL gratuita que fue desarrollada inicialmente como un controlador de kernel de Linux por Szabolcs Szakacsits. Fue reescrita como un programa de FUSE para funcionar en otros sistemas que FUSE admite, como macOS , FreeBSD, NetBSD, OpenBSD , [41] Solaris, QNX y Haiku [42] y permite leer y escribir en particiones NTFS. Los desarrolladores de NTFS-3G también tienen disponible una versión comercial de rendimiento mejorado de NTFS-3G, llamada " Tuxera NTFS for Mac". [43]

Captive NTFS , un controlador "encapsulado" que utiliza el controlador propio de Windows ntfs.sys , existe para Linux. Fue creado como un programa de sistema de archivos en el espacio de usuario (FUSE) y publicado bajo la licencia GPL, pero el trabajo en Captive NTFS cesó en 2006. [44]

Las versiones del kernel de Linux 5.15 en adelante incorporan NTFS3, un controlador de lectura y escritura NTFS totalmente funcional que funciona en versiones NTFS hasta 3.1 y es mantenido principalmente por Paragon Software Group .

macOS

Mac OS X 10.3 incluía la implementación de NTFS de solo lectura de Ustimenko de FreeBSD. Luego, en 2006, Apple contrató a Anton Altaparmakov para escribir una nueva implementación de NTFS para Mac OS X 10.6 . [45] El soporte nativo de escritura NTFS está incluido en 10.6 y posteriores, pero no está activado de forma predeterminada, aunque existen soluciones alternativas para habilitar la funcionalidad. Sin embargo, los informes de los usuarios indican que la funcionalidad es inestable y tiende a causar pánicos del kernel . [46]

Paragon Software Group vende un controlador de lectura y escritura llamado NTFS para Mac , [47] que también está incluido en algunos modelos de discos duros Seagate . [48]

Sistema operativo/2

El paquete NetDrive para OS/2 (y derivados como eComStation y ArcaOS ) admite un complemento que permite el acceso de lectura y escritura a volúmenes NTFS. [49] [50]

Dos

Existe un controlador de lectura/escritura gratuito para uso personal de Avira llamado " NTFS4DOS ". [51] [52]

Ahead Software desarrolló un controlador "NTFSREAD" (versión 1.200) para DR-DOS 7.0x entre 2002 y 2004. Fue parte de su software Nero Burning ROM .

Seguridad

NTFS utiliza listas de control de acceso y cifrado a nivel de usuario para ayudar a proteger los datos del usuario.

Listas de control de acceso (ACL)

Permisos del sistema de archivos NTFS en un sistema Windows moderno

En NTFS, a cada archivo o carpeta se le asigna un descriptor de seguridad que define su propietario y contiene dos listas de control de acceso (ACL). La primera ACL, llamada lista de control de acceso discrecional (DACL), define exactamente qué tipo de interacciones (por ejemplo, lectura, escritura, ejecución o eliminación) están permitidas o prohibidas por qué usuario o grupo de usuarios. Por ejemplo, los archivos de la C:\Program Filescarpeta pueden ser leídos y ejecutados por todos los usuarios, pero modificados solo por un usuario que tenga privilegios administrativos. [53] Windows Vista agrega información de control de acceso obligatoria a las DACL. Las DACL son el foco principal del Control de cuentas de usuario en Windows Vista y versiones posteriores.

La segunda ACL, llamada lista de control de acceso al sistema (SACL), define qué interacciones con el archivo o carpeta se deben auditar y si deben registrarse cuando la actividad es exitosa, fallida o ambas. Por ejemplo, se puede habilitar la auditoría en archivos sensibles de una empresa, de modo que sus administradores sepan cuándo alguien intenta eliminarlos o hacer una copia de ellos, y si lo logra. [53]

Encriptación

El sistema de cifrado de archivos (EFS) proporciona un cifrado transparente para el usuario de cualquier archivo o carpeta en un volumen NTFS. [54] EFS funciona junto con el servicio EFS, CryptoAPI de Microsoft y la biblioteca de tiempo de ejecución del sistema de archivos EFS (FSRTL). EFS funciona cifrando un archivo con una clave simétrica masiva (también conocida como clave de cifrado de archivos o FEK), que se utiliza porque lleva una cantidad de tiempo relativamente pequeña cifrar y descifrar grandes cantidades de datos que si se utiliza un cifrado de clave asimétrica . La clave simétrica que se utiliza para cifrar el archivo se cifra a continuación con una clave pública que está asociada con el usuario que cifró el archivo, y estos datos cifrados se almacenan en un flujo de datos alternativo del archivo cifrado. Para descifrar el archivo, el sistema de archivos utiliza la clave privada del usuario para descifrar la clave simétrica que está almacenada en el flujo de datos. A continuación, utiliza la clave simétrica para descifrar el archivo. Como esto se hace a nivel del sistema de archivos, es transparente para el usuario. [55] Además, en caso de que un usuario pierda el acceso a su clave, se ha incorporado en el sistema EFS soporte para claves de descifrado adicionales, de modo que un agente de recuperación aún pueda acceder a los archivos si es necesario. El cifrado proporcionado por NTFS y la compresión proporcionada por NTFS son mutuamente excluyentes; sin embargo, se puede utilizar NTFS para uno y una herramienta de terceros para el otro.

El soporte de EFS no está disponible en las versiones Basic, Home y MediaCenter de Windows, y debe activarse después de la instalación de las versiones Professional, Ultimate y Server de Windows o mediante herramientas de implementación empresarial dentro de los dominios de Windows.

Características

Diario

NTFS es un sistema de archivos con registro y utiliza el registro NTFS ( $LogFile ) para registrar los cambios de metadatos en el volumen. Es una característica que FAT no proporciona y es fundamental para que NTFS garantice que sus complejas estructuras de datos internas se mantendrán consistentes en caso de fallos del sistema o movimientos de datos realizados por la API de desfragmentación , y permita una fácil reversión de los cambios no confirmados en estas estructuras de datos críticas cuando se vuelva a montar el volumen. Las estructuras afectadas de forma notable son el mapa de bits de asignación de volumen, las modificaciones de los registros MFT como los movimientos de algunos atributos de longitud variable almacenados en los registros MFT y las listas de atributos, y los índices de directorios y descriptores de seguridad .

El formato ( $LogFile ) ha evolucionado a través de varias versiones:

La incompatibilidad de las versiones de $LogFile implementadas por Windows 8 , Windows 10 y Windows 11 impide que Windows 7 (y versiones anteriores de Windows) reconozcan la versión 2.0 de $LogFile . La compatibilidad con versiones anteriores se proporciona degradando $LogFile a la versión 1.1 cuando se desmonta correctamente un volumen NTFS. Se actualiza nuevamente a la versión 2.0 cuando se monta en una versión compatible de Windows. Sin embargo, cuando se hiberna en el disco en el estado de cierre de sesión (también conocido como Arranque híbrido o Arranque rápido, que está habilitado de forma predeterminada), los sistemas de archivos montados no se desmontan y, por lo tanto, los $LogFile de cualquier sistema de archivos activo no se degradan a la versión 1.1. La incapacidad de procesar la versión 2.0 de $LogFile por versiones de Windows anteriores a 8.0 da como resultado una invocación innecesaria de la utilidad de reparación de disco CHKDSK . Esto es particularmente preocupante en un escenario de arranque múltiple que involucra versiones anteriores y posteriores a la 8.0 de Windows, o cuando se mueve con frecuencia un dispositivo de almacenamiento entre versiones anteriores y nuevas. Existe una configuración del Registro de Windows para evitar la actualización automática de $LogFile a la versión más nueva. El problema también se puede solucionar deshabilitando el Arranque híbrido. [56]

El diario USN (Update Sequence Number Journal) es una función de administración del sistema que registra (en $Extend\$UsnJrnl ) los cambios en los archivos, flujos y directorios del volumen, así como sus diversos atributos y configuraciones de seguridad. El diario está disponible para que las aplicaciones realicen un seguimiento de los cambios en el volumen. [57] Este diario se puede habilitar o deshabilitar en volúmenes que no son del sistema. [58]

Enlaces duros

La función de enlace duro permite que distintos nombres de archivo hagan referencia directa al mismo contenido de archivo. Los enlaces duros pueden vincular únicamente a archivos del mismo volumen, porque cada volumen tiene su propia MFT. Los enlaces duros se incluyeron originalmente para dar soporte al subsistema POSIX en Windows NT. [59]

Aunque los enlaces duros utilizan el mismo registro MFT ( inode ) que registra los metadatos del archivo, como el tamaño del archivo, la fecha de modificación y los atributos, NTFS también almacena en caché estos datos en la entrada del directorio como una mejora del rendimiento. Esto significa que al enumerar el contenido de un directorio utilizando la familia de API FindFirstFile/FindNextFile (equivalentes a las API POSIX opendir/readdir), también recibirá esta información almacenada en caché, además del nombre y el inodo. Sin embargo, es posible que no vea información actualizada, ya que solo se garantiza que esta información se actualice cuando se cierra un archivo, y solo para el directorio desde el que se abrió el archivo. [60] Esto significa que cuando un archivo tiene varios nombres a través de enlaces duros, actualizar un archivo a través de un nombre no actualiza los datos almacenados en caché asociados con el otro nombre. Siempre puede obtener datos actualizados utilizando GetFileInformationByHandle (que es el verdadero equivalente de la función stat de POSIX). Esto se puede hacer usando un controlador que no tenga acceso al archivo en sí (pasando cero a CreateFile para dwDesiredAccess), y cerrar este controlador tiene el efecto incidental de actualizar la información almacenada en caché.

Windows utiliza vínculos físicos para admitir nombres de archivo cortos (8.3) en NTFS. La compatibilidad del sistema operativo es necesaria porque hay aplicaciones antiguas que solo pueden funcionar con nombres de archivo 8.3, pero la compatibilidad se puede deshabilitar. En este caso, se agrega un registro de nombre de archivo y una entrada de directorio adicionales, pero tanto el nombre de archivo 8.3 como el nombre de archivo largo se vinculan y actualizan juntos, a diferencia de un vínculo físico normal.

El sistema de archivos NTFS tiene un límite de 1024 enlaces duros en un archivo. [61]

Flujo de datos alternativo (ADS)

Los flujos de datos alternativos permiten asociar más de un flujo de datos con un nombre de archivo (una bifurcación ), utilizando el formato "nombre de archivo:nombre de flujo" (por ejemplo, "text.txt:extrastream"). Estos flujos no se muestran a los usuarios ni se pueden editar a través de ninguna aplicación GUI típica integrada en Windows de forma predeterminada, lo que oculta su existencia a la mayoría de los usuarios. Aunque están destinados a metadatos útiles , su naturaleza arcana los convierte en un posible escondite para malware, spyware, historial de navegación invisible y otra información potencialmente no deseada.

Los flujos alternativos no se enumeran en el Explorador de Windows y su tamaño no se incluye en el tamaño del archivo. Cuando el archivo se copia o se mueve a otro sistema de archivos sin compatibilidad con ADS, se advierte al usuario que no se pueden conservar los flujos de datos alternativos. Normalmente, no se proporciona dicha advertencia si el archivo se adjunta a un correo electrónico o se carga en un sitio web. Por lo tanto, el uso de flujos alternativos para datos críticos puede causar problemas. Microsoft proporciona una herramienta descargable llamada Streams [62] para ver los flujos en un volumen seleccionado. A partir de Windows PowerShell 3.0, es posible administrar ADS de forma nativa con seis cmdlets: Add-Content, Clear-Content, Get-Content, Get-Item, Remove-Item, Set-Content. [63]

Internet ExplorerZone.Identifier y la mayoría de los navegadores añaden un pequeño ADS llamado para marcar los archivos descargados de sitios externos como posiblemente no seguros para ejecutar; el shell local requeriría entonces la confirmación del usuario antes de abrirlos. [64] Cuando el usuario indica que ya no quiere este diálogo de confirmación, este ADS se elimina. Esta funcionalidad también se conoce como " Marca de la Web ". [65] [66] Sin modificaciones profundas en el código fuente, todos los navegadores web basados ​​en Chromium (por ejemplo, Google Chrome ) y Firefox también escriben el flujo en los archivos descargados. A partir de Windows 10, el contenido del flujo se estructura como un archivo INI (es decir, un almacén de clave-valor ) que incluye las claves , , y . Hasta cierto punto, estos son campos definidos por la implementación, pero normalmente contienen el nombre de dominio y la URL exacta de la ubicación de descarga en línea original, lo que potencialmente ofrece un método profundamente esotérico de seguimiento del historial de navegación con los riesgos de privacidad concomitantes. [67] Si el archivo descargado es ejecutable (por ejemplo, un instalador), el ADS se puede utilizar para la reflexión , lo que permite al programa identificar de dónde se descargó, lo que ocasionalmente se puede utilizar para fines de telemetría y/o seguridad, mediante los cuales un programa puede intentar verificar que se descargó de una fuente oficial (asumiendo que la transmisión no se ha eliminado o falsificado ) y puede transmitir la información a través de Internet (un ejemplo de esto en acción es el instalador de BiglyBT ).Zone.IdentifierZone.IdentiferHostIpAddressHostUrlReferrerUrlZone

El malware ha utilizado flujos de datos alternativos para ocultar código. [68] Desde finales de la década de 2000, algunos escáneres de malware y otras herramientas especiales buscan flujos de datos alternativos. Debido a los riesgos asociados con ADS, en particular los relacionados con la privacidad y el Zone.Identifierflujo, existe un software diseñado específicamente para eliminar los flujos de los archivos (ciertos flujos con riesgo percibido o todos ellos) de una manera fácil de usar. [69]

Los flujos NTFS se introdujeron en Windows NT 3.1 para permitir que los Servicios para Macintosh (SFM) almacenen bifurcaciones de recursos . Aunque las versiones actuales de Windows Server ya no incluyen SFM, los productos Apple Filing Protocol (AFP) de terceros (como ExtremeZ-IP de GroupLogic ) aún utilizan esta característica del sistema de archivos.

Compresión de archivos

La compresión se habilita por carpeta o por archivo configurando el atributo 'comprimido'. Cuando se habilita la compresión en una carpeta, cualquier archivo movido o guardado en esa carpeta se comprimirá automáticamente utilizando el algoritmo LZNT1 (una variante de LZ77 ). [70] El algoritmo de compresión está diseñado para admitir tamaños de clúster de hasta 4 KB; cuando el tamaño del clúster es mayor a 4 KB en un volumen NTFS, la compresión NTFS no está disponible. [71] Los datos se comprimen en fragmentos de 16 clústeres (hasta 64 KB de tamaño); si la compresión reduce 64  KB de datos a 60  KB o menos, NTFS trata las páginas innecesarias de 4  KB como clústeres de archivos dispersos vacíos : no se escriben. Esto permite tiempos de acceso aleatorio razonables ya que el sistema operativo simplemente tiene que seguir la cadena de fragmentos.

La compresión funciona mejor con archivos que tienen contenido repetitivo, rara vez se escriben, se accede a ellos de forma secuencial y no están comprimidos. Los sistemas monousuario con espacio limitado en el disco duro pueden beneficiarse de la compresión NTFS para archivos pequeños, de 4  KB a 64  KB o más, según la compresibilidad. Los archivos de menos de aproximadamente 900 bytes se almacenan dentro de la entrada de directorio de la MFT. [72]

Ventajas

Los usuarios de procesadores multinúcleo rápidos notarán mejoras en la velocidad de las aplicaciones al comprimir sus aplicaciones y datos, así como una reducción en el espacio utilizado. Incluso cuando los controladores SSD ya comprimen datos, todavía hay una reducción en las E/S, ya que se transfieren menos datos. [73]

Según una investigación del equipo de desarrollo NTFS de Microsoft, un tamaño máximo razonable para un archivo comprimido en un volumen NTFS con un tamaño de clúster (bloque) de 4 KB (predeterminado) es de entre 50 y 60 GB . Este tamaño máximo razonable disminuye drásticamente para volúmenes con tamaños de clúster más pequeños. [74]  

Desventajas

Los archivos comprimibles de gran tamaño se fragmentan en gran medida ya que cada fragmento menor a 64  KB se convierte en un fragmento. [74] [75] La memoria flash, como las unidades SSD , no tienen los retrasos en el movimiento del cabezal ni el alto tiempo de acceso de las unidades de disco duro mecánicas , por lo que la fragmentación solo tiene una penalización menor.

Si los archivos del sistema que se necesitan en el momento del arranque (como controladores, NTLDR, winload.exe o BOOTMGR) están comprimidos, el sistema puede no arrancar correctamente, porque los filtros de descompresión aún no están cargados. [76] [ verificación fallida ] Las ediciones posteriores de Windows [ which? ] no permiten comprimir archivos importantes del sistema.

Compresión del sistema

Desde Windows 10 , Microsoft ha introducido un nuevo esquema de compresión de archivos basado en el algoritmo XPRESS con tamaño de bloque 4K/8K/16K [77] y el algoritmo LZX ; [78] ambos son variantes de LZ77 actualizadas con codificación de entropía Huffman y codificación de rango , de las que carecía LZNT1. Estos algoritmos de compresión se tomaron del formato de imágenes de Windows (archivo WIM).

El nuevo esquema de compresión es utilizado por la característica CompactOS, que reduce el uso del disco al comprimir los archivos del sistema de Windows. [79] CompactOS no es una extensión de la compresión de archivos NTFS y no utiliza el atributo 'comprimido'; en su lugar, establece un punto de análisis en cada archivo comprimido con una etiqueta WOF (filtro de superposición de Windows), [80] pero los datos reales se almacenan en un flujo de datos alternativo llamado "WofCompressedData", que se descomprime sobre la marcha mediante un controlador de filtro del sistema de archivos WOF , y el archivo principal es un archivo disperso vacío . [80] Este diseño está pensado puramente para acceso de sólo lectura, por lo que cualquier escritura en archivos comprimidos da como resultado una descompresión automática. [80] [81] [82]

La compresión CompactOS está destinada a los OEM que preparan imágenes de SO con la /compactbandera de la DISMherramienta en Windows ADK , [83] pero también se puede activar manualmente por archivo con la /exebandera del compactcomando. [84] El algoritmo CompactOS evita la fragmentación de archivos al escribir datos comprimidos en fragmentos asignados de forma contigua, a diferencia de la compresión NTFS principal. [ cita requerida ]

La compresión de archivos de CompactOS es una versión mejorada de la función WIMBoot introducida en Windows 8.1 . WIMBoot reduce el uso del disco de Windows al mantener los archivos del sistema en una imagen WIM comprimida en una partición de disco oculta separada . [85] De manera similar a CompactOS, los directorios del sistema de Windows solo contienen archivos dispersos marcados por un punto de análisis con una etiqueta WOF, y el controlador de filtro de superposición de Windows descomprime el contenido de los archivos sobre la marcha desde la imagen WIM. Sin embargo, WIMBoot es menos efectivo que CompactOS, ya que las nuevas versiones actualizadas de los archivos del sistema deben escribirse en la partición del sistema, lo que consume espacio en el disco. [80]

Archivos dispersos

Un archivo disperso: no es necesario guardar los bytes vacíos, por lo que pueden representarse mediante metadatos .
Un petabyte (1.125.899.906.842.624 bytes) de archivos dispersos, 0 bytes en el disco.

Los archivos dispersos son archivos intercalados con segmentos vacíos para los cuales no se utiliza espacio de almacenamiento real. Para las aplicaciones, el archivo parece un archivo normal con regiones vacías vistas como regiones llenas de ceros; el sistema de archivos mantiene una lista interna de dichas regiones para cada archivo disperso. [86] Un archivo disperso no necesariamente incluye áreas de ceros dispersos; el atributo "archivo disperso" simplemente significa que el archivo puede tenerlos.

Las aplicaciones de bases de datos, por ejemplo, pueden utilizar archivos dispersos. [87] Al igual que con los archivos comprimidos, los tamaños reales de los archivos dispersos no se tienen en cuenta al determinar los límites de cuota. [88]

Copia de sombra de volumen

El Servicio de instantáneas de volumen (VSS) conserva versiones históricas de archivos y carpetas en volúmenes NTFS copiando datos antiguos y recientemente sobrescritos en instantáneas mediante la técnica de copia en escritura . El usuario puede solicitar posteriormente que se recupere una versión anterior. Esto también permite que los programas de copia de seguridad de datos archiven los archivos que el sistema de archivos esté utilizando actualmente.

Windows Vista también introdujo instantáneas persistentes para usar con las funciones Restaurar sistema y Versiones anteriores . Sin embargo, las instantáneas persistentes se eliminan cuando un sistema operativo más antiguo monta ese volumen NTFS. Esto sucede porque el sistema operativo más antiguo no entiende el formato más nuevo de las instantáneas persistentes. [29]

Actas

A partir de Windows Vista, las aplicaciones pueden utilizar NTFS transaccional (TxF) para agrupar varios cambios en archivos en una sola transacción. La transacción garantizará que se realicen todos los cambios o que no se realice ninguno, y que ninguna aplicación ajena a la transacción verá los cambios hasta que se confirmen. [89]

Utiliza técnicas similares a las utilizadas para las instantáneas de volumen (es decir, copia en escritura) para garantizar que los datos sobrescritos se puedan revertir de forma segura, y un registro CLFS para marcar las transacciones que aún no se han confirmado, o aquellas que se han confirmado pero aún no se han aplicado por completo (en caso de falla del sistema durante una confirmación por parte de uno de los participantes).

El NTFS transaccional no restringe las transacciones únicamente al volumen NTFS local, sino que también incluye otros datos transaccionales u operaciones en otras ubicaciones, como datos almacenados en volúmenes separados, el registro local o bases de datos SQL, o los estados actuales de los servicios del sistema o servicios remotos. Estas transacciones se coordinan en toda la red con todos los participantes mediante un servicio específico, el DTC , para garantizar que todos los participantes recibirán el mismo estado de confirmación y para transportar los cambios que hayan sido validados por cualquier participante (de modo que los demás puedan invalidar sus cachés locales para datos antiguos o revertir sus cambios en curso no confirmados). El NTFS transaccional permite, por ejemplo, la creación de sistemas de archivos distribuidos y consistentes en toda la red, incluso con sus cachés locales en vivo o fuera de línea.

Microsoft ahora recomienda no usar TxF: "Microsoft recomienda encarecidamente que los desarrolladores utilicen medios alternativos" ya que "TxF puede no estar disponible en futuras versiones de Microsoft Windows". [90]

Cuotas

Las cuotas de disco se introdujeron en NTFS v3. Permiten al administrador de un equipo que ejecuta una versión de Windows compatible con NTFS establecer un umbral de espacio en disco que los usuarios pueden utilizar. También permite a los administradores realizar un seguimiento de la cantidad de espacio en disco que utiliza cada usuario. Un administrador puede especificar un cierto nivel de espacio en disco que un usuario puede utilizar antes de recibir una advertencia y, a continuación, denegar el acceso al usuario una vez que alcanza el límite superior de espacio. Las cuotas de disco no tienen en cuenta la compresión de archivos transparente de NTFS , en caso de que esté habilitada. Las aplicaciones que consultan la cantidad de espacio libre también verán la cantidad de espacio libre que le queda al usuario al que se le ha aplicado una cuota.

Puntos de reanálisis

Los puntos de análisis de NTFS, introducidos en NTFS v3, se utilizan asociando una etiqueta de análisis en el atributo de espacio de usuario de un archivo o directorio. Microsoft incluye varias etiquetas predeterminadas, entre las que se incluyen enlaces simbólicos , puntos de unión de directorios y puntos de montaje de volumen . Cuando el Administrador de objetos analiza una búsqueda de nombre de sistema de archivos y encuentra un atributo de análisis, analizará nuevamente la búsqueda de nombre y pasará los datos de análisis controlados por el usuario a cada controlador de filtro del sistema de archivos que se cargue en Windows. Cada controlador de filtro examina los datos de análisis para ver si están asociados con ese punto de análisis y, si ese controlador de filtro determina una coincidencia, intercepta la solicitud del sistema de archivos y realiza su función especial.

Limitaciones

Cambio de tamaño

A partir de Windows Vista, Microsoft agregó la capacidad integrada de reducir o expandir una partición. Sin embargo, esta capacidad no reubica fragmentos de archivos de paginación o archivos que se han marcado como inamovibles, por lo que reducir un volumen a menudo requerirá reubicar o deshabilitar cualquier archivo de paginación , el índice de Windows Search y cualquier instantánea utilizada por Restaurar sistema . Varias herramientas de terceros son capaces de cambiar el tamaño de las particiones NTFS.

OneDrive

Desde 2017, Microsoft requiere que la estructura de archivos de OneDrive resida en un disco NTFS. [91] Esto se debe a que la función Archivos a pedido de OneDrive utiliza puntos de análisis NTFS para vincular archivos y carpetas almacenados en OneDrive al sistema de archivos local, lo que hace que el archivo o la carpeta no se puedan usar con ninguna versión anterior de Windows, con ningún otro controlador de sistema de archivos NTFS o cualquier sistema de archivos y utilidades de respaldo que no estén actualizados para admitirlo. [92]

Estructura

NTFS se compone de varios componentes, entre ellos: un sector de arranque de partición (PBS) que contiene información de arranque; la tabla maestra de archivos que almacena un registro de todos los archivos y carpetas del sistema de archivos; una serie de metaarchivos que ayudan a estructurar los metadatos de manera más eficiente; flujos de datos y mecanismos de bloqueo.

Internamente, NTFS utiliza árboles B para indexar los datos del sistema de archivos. Se utiliza un diario del sistema de archivos para garantizar la integridad de los metadatos del sistema de archivos, pero no el contenido de los archivos individuales. Se sabe que los sistemas que utilizan NTFS tienen una confiabilidad mejorada en comparación con los sistemas de archivos FAT. [93]

NTFS permite cualquier secuencia de valores de 16 bits para la codificación de nombres (por ejemplo, nombres de archivos, nombres de flujo o nombres de índice) excepto 0x0000. Esto significa que se admiten unidades de código UTF-16 , pero el sistema de archivos no verifica si una secuencia es UTF-16 válida (permite cualquier secuencia de valores cortos , no restringida a las del estándar Unicode). En el espacio de nombres Win32, cualquier unidad de código UTF-16 no distingue entre mayúsculas y minúsculas, mientras que en el espacio de nombres POSIX sí lo hace. Los nombres de archivo están limitados a 255 unidades de código UTF-16. Ciertos nombres están reservados en el directorio raíz del volumen y no se pueden usar para archivos. Estos son $MFT, $MFTMirr, $LogFile, $Volume, $AttrDef, .(punto), $Bitmap, $Boot, $BadClus, $Secure, $UpCasey $Extend. [5] . (punto) y $Extendson ambos directorios; los demás son archivos. El núcleo NT limita las rutas completas a 32.767 unidades de código UTF-16. Hay algunas restricciones adicionales sobre los puntos de código y los nombres de archivo. [94]

Sector de arranque de partición (PBS)

Este formato de partición de arranque se basa aproximadamente en el sistema de archivos FAT anterior , pero los campos están en ubicaciones diferentes. Algunos de estos campos, especialmente los campos "sectores por pista", "número de cabezales" y "sectores ocultos", pueden contener valores ficticios en unidades donde no tienen sentido o no se pueden determinar.

El sistema operativo primero analiza los 8 bytes en 0x30 para encontrar el número de clúster de $MFT y luego multiplica ese número por la cantidad de sectores por clúster (1 byte encontrado en 0x0D). Este valor es el desplazamiento del sector ( LBA ) a $MFT, que se describe a continuación.

Tabla de archivos maestros

En NTFS, todos los datos de archivos, directorios y metarchivos (nombre de archivo, fecha de creación, permisos de acceso (mediante el uso de listas de control de acceso ) y tamaño) se almacenan como metadatos en la tabla maestra de archivos ( MFT ). Este enfoque abstracto permitió la fácil incorporación de características del sistema de archivos durante el desarrollo de Windows NT; un ejemplo es la incorporación de campos para la indexación utilizados por Active Directory y Windows Search . Esto también permite que el software de búsqueda rápida de archivos localice archivos y carpetas locales con nombre incluidos en la MFT muy rápidamente, sin necesidad de ningún otro índice.

La estructura MFT admite algoritmos que minimizan la fragmentación del disco . [97] Una entrada de directorio consta de un nombre de archivo y un "ID de archivo" (análogo al número de inodo ), que es el número de registro que representa el archivo en la Tabla maestra de archivos. El ID de archivo también contiene un recuento de reutilización para detectar referencias obsoletas. Si bien esto se parece mucho al W_FID de Files-11 , otras estructuras NTFS difieren radicalmente.

Se almacena una copia parcial de la MFT, llamada espejo de la MFT, para utilizarla en caso de corrupción. [98] Si el primer registro de la MFT está dañado, NTFS lee el segundo registro para encontrar el archivo espejo de la MFT. Las ubicaciones de ambos archivos se almacenan en el sector de arranque. [99]

Metarchivos

NTFS contiene varios archivos que definen y organizan el sistema de archivos. En todos los aspectos, la mayoría de estos archivos están estructurados como cualquier otro archivo de usuario (el más peculiar es $Volume), pero no son de interés directo para los clientes del sistema de archivos. [100] Estos metarchivos definen archivos, realizan copias de seguridad de datos críticos del sistema de archivos, almacenan en búfer los cambios en el sistema de archivos, administran la asignación de espacio libre, satisfacen las expectativas del BIOS , rastrean las unidades de asignación incorrectas y almacenan información de seguridad y uso del espacio en disco. Todo el contenido se encuentra en un flujo de datos sin nombre, a menos que se indique lo contrario.

Estos metarchivos son tratados especialmente por Windows, manejados directamente por el NTFS.SYScontrolador y son difíciles de ver directamente: se necesitan herramientas especiales diseñadas para ese propósito. [c] A partir de Windows 7, el controlador NTFS prohíbe completamente el acceso del usuario, lo que resulta en una pantalla azul de la muerte cada vez que se intenta ejecutar un archivo de metadatos. Una de esas herramientas es nfi.exe ("NTFS File Sector Information Utility") que se distribuye libremente como parte de las "Herramientas de soporte OEM" de Microsoft. Por ejemplo, para obtener información sobre el segmento de tabla maestra de archivos "$MFT" se utiliza el siguiente comando: nfi.exe c:\$MFT[101] Otra forma de evitar la restricción es utilizar el administrador de archivos de 7-Zip e ir a la ruta NTFS de bajo nivel \\.\X:\(donde X:\se asemeja a cualquier unidad/partición). Aquí, aparecerán 3 nuevas carpetas: $EXTEND, [DELETED](una pseudocarpeta que 7-Zip utiliza para adjuntar archivos eliminados del sistema de archivos para verlos), y [SYSTEM](otra pseudocarpeta que contiene todos los archivos de metadatos NTFS). Este truco se puede utilizar desde dispositivos extraíbles ( unidades flash USB , discos duros externos , tarjetas SD , etc.) dentro de Windows, pero hacerlo en la partición activa requiere acceso sin conexión (es decir, WinRE ).

Listas de atributos, atributos y secuencias

Para cada archivo (o directorio) descrito en el registro MFT, hay un repositorio lineal de descriptores de flujo (también llamados atributos ), empaquetados juntos en uno o más registros MFT (que contienen la llamada lista de atributos ), con relleno adicional para completar el tamaño fijo de 1 KB de cada registro MFT, y que describe completamente los flujos efectivos asociados con ese archivo.

Cada atributo tiene un tipo de atributo (un entero de tamaño fijo que se asigna a una definición de atributo en el archivo $AttrDef ), un nombre de atributo opcional (por ejemplo, utilizado como nombre para un flujo de datos alternativo) y un valor, representado en una secuencia de bytes. Para NTFS, los datos estándar de los archivos, los flujos de datos alternativos o los datos de índice de los directorios se almacenan como atributos.

Según $AttrDef , algunos atributos pueden ser residentes o no residentes. El atributo $DATA , que contiene datos de archivo, es un ejemplo de ello. Cuando el atributo es residente (lo que se representa mediante un indicador), su valor se almacena directamente en el registro MFT. De lo contrario, se asignan clústeres para los datos y la información de ubicación del clúster se almacena a medida que se ejecutan los datos en el atributo.

Todos los atributos de un archivo determinado se pueden visualizar utilizando el programa nfi.exe ("Utilidad de información del sector de archivos NTFS") que se distribuye gratuitamente como parte de las "Herramientas de soporte OEM" de Microsoft. [101]

Las llamadas del sistema de Windows pueden manejar flujos de datos alternativos. [5] Dependiendo del sistema operativo, la utilidad y el sistema de archivos remoto, una transferencia de archivos puede eliminar flujos de datos de manera silenciosa. [5] Una forma segura de copiar o mover archivos es usar las llamadas del sistema BackupRead y BackupWrite, que permiten a los programas enumerar flujos, verificar si cada flujo debe escribirse en el volumen de destino y omitir a sabiendas los flujos no deseados. [5]

Atributos de residentes y no residentes

Para optimizar el almacenamiento y reducir la sobrecarga de E/S para el caso muy común de atributos con un valor asociado muy pequeño, NTFS prefiere colocar el valor dentro del atributo mismo (si el tamaño del atributo no excede el tamaño máximo de un registro MFT), en lugar de usar el espacio del registro MFT para enumerar los clústeres que contienen los datos; en ese caso, el atributo no almacenará los datos directamente sino que simplemente almacenará un mapa de asignación (en forma de ejecuciones de datos ) que apunta a los datos reales almacenados en otra parte del volumen. [102] Cuando se puede acceder al valor directamente desde dentro del atributo, se lo llama "datos residentes" (por los trabajadores forenses informáticos ). La cantidad de datos que caben depende en gran medida de las características del archivo, pero de 700 a 800 bytes es común en archivos de flujo único con nombres de archivo no largos y sin ACL.

El mapa de asignación se almacena en forma de ejecuciones de datos con codificación comprimida. Cada ejecución de datos representa un grupo contiguo de clústeres que almacenan el valor del atributo. Para los archivos en un volumen de varios GB, cada entrada se puede codificar como de 5 a 7 bytes, lo que significa queUn registro MFT de 1  KB puede almacenar alrededor de 100 ejecuciones de datos de este tipo. Sin embargo, como $ATTRIBUTE_LIST también tiene un límite de tamaño, es peligroso tener más de 1 millón de fragmentos de un solo archivo en un volumen NTFS, lo que también implica que, en general, no es una buena idea usar la compresión NTFS en un archivo de más de10  GB . [103]

El controlador del sistema de archivos NTFS a veces intentará reubicar los datos de algunos de los atributos que pueden hacerse no residentes en los clústeres, y también intentará reubicar los datos almacenados en los clústeres nuevamente en el atributo dentro del registro MFT, según las reglas de prioridad y orden preferido y las restricciones de tamaño.

Dado que los archivos residentes no ocupan directamente los clústeres ("unidades de asignación"), es posible que un volumen NTFS contenga más archivos que clústeres. Por ejemplo, unFormatos NTFS de partición de 74,5 GB con 19 543 064 clústeres de4 KB . Restando archivos del sistema (aUn archivo de registro de 64  MB , un archivo de mapa de bits de 2.442.888 bytes y unos 25 clústeres de sobrecarga fija dejan 19.526.158 clústeres libres para archivos e índices. Dado que hay cuatro registros MFT por clúster, este volumen teóricamente podría contener casi 4 × 19.526.158 = 78.104.632 archivos residentes.

Cerraduras oportunistas

Los bloqueos de archivos oportunistas (oplocks) permiten a los clientes alterar su estrategia de almacenamiento en búfer para un archivo o flujo determinado con el fin de aumentar el rendimiento y reducir el uso de la red. [104] Los oplocks se aplican al flujo abierto dado de un archivo y no afectan a los oplocks en un flujo diferente.

Los bloqueos operacionales se pueden utilizar para acceder de forma transparente a archivos en segundo plano. Un cliente de red puede evitar escribir información en un archivo de un servidor remoto si ningún otro proceso está accediendo a los datos, o puede almacenar en búfer datos de lectura anticipada si ningún otro proceso está escribiendo datos.

Windows admite cuatro tipos diferentes de bloqueos:

Los bloqueos oportunistas se han mejorado en Windows 7 y Windows Server 2008 R2 con claves de bloqueo oportunista por cliente. [105]

Tiempo

Windows NT y sus descendientes mantienen las marcas de tiempo internas como UTC y realizan las conversiones apropiadas para fines de visualización; todas las marcas de tiempo de NTFS están en UTC. [ cita requerida ]

Por razones históricas, las versiones de Windows que no son compatibles con NTFS mantienen la hora internamente como hora de zona local y, por lo tanto, también lo hacen todos los sistemas de archivos (excepto NTFS) que son compatibles con las versiones actuales de Windows. Esto significa que cuando se copian o mueven archivos entre particiones NTFS y no NTFS, el sistema operativo necesita convertir las marcas de tiempo sobre la marcha. Pero si algunos archivos se mueven cuando está en vigor el horario de verano (DST) y otros archivos se mueven cuando está en vigor el horario estándar , puede haber algunas ambigüedades en las conversiones. Como resultado, especialmente poco después de uno de los días en que cambia la hora de zona local, los usuarios pueden observar que algunos archivos tienen marcas de tiempo que son incorrectas por una hora. Debido a las diferencias en la implementación del DST en diferentes jurisdicciones, esto puede resultar en un error de marca de tiempo potencial de hasta 4 horas en un período de 12 meses determinado. [106]

Véase también

Notas

  1. ^ abcdefghij 1 byte = 8 bits
    1 KB = 1.024 bytes
    1 MB = 1.048.576 bytes
    1 GB = 1.073.741.824 bytes
    1 TB = 1.099.511.627.776 bytes
    1 PB = 1.125.899.906.842.624 bytes
    1 EB = 1.152.921.504.606.846.976 bytes
  2. ^ También puede ser de 32 bits, siempre que el firmware y el cargador del sistema operativo coincidan en tamaño.
  3. ^ Desde Windows XP, es muy difícil ver una lista de estos archivos: existen en el índice del directorio raíz, pero la interfaz Win32 los filtra. En NT 4.0, el dircomando de línea de comandos listaba los metarchivos en el directorio raíz si /ase especificaban. En Windows 2000, dir /adejó de funcionar, pero dir /a \$MFTfuncionó.

Referencias

  1. ^ ab Karresand, Martin; Axelsson, Stefan; Dyrkolbotn, Geir Olav (1 de julio de 2019). "Uso del comportamiento de asignación de clústeres NTFS para encontrar la ubicación de los datos del usuario". Investigación digital . 29 : –51–S60. doi : 10.1016/j.diin.2019.04.018 . hdl : 11250/2631756 . ISSN  1742-2876. S2CID  199004263.
  2. ^ ab "Glosario". [MS-EFSR]: Protocolo de cifrado de archivos remotos (EFSRPC) . Microsoft. 14 de noviembre de 2013.
  3. ^ "Cómo funciona NTFS". TechNet . Microsoft. 8 de octubre de 2009 . Consultado el 2 de diciembre de 2017 .
  4. ^ "B*Trees - Árboles de directorios NTFS - Concepto - Documentación NTFS". flatcap.org . Archivado desde el original el 2019-05-13 . Consultado el 2019-05-13 .
  5. ^ abcdefg "Cómo funciona NTFS". Referencia técnica de Windows Server 2003. 28 de marzo de 2003. Consultado el 12 de septiembre de 2011 .
  6. ^ abcd "Apéndice A: comportamiento del producto". [MS-FSA]: Algoritmos del sistema de archivos . Microsoft. 2018-09-12 . Consultado el 2018-10-01 . NTFS utiliza un tamaño de clúster predeterminado de 4 KB, un tamaño de clúster máximo de 64 KB en el sistema operativo Windows 10 v1703 y Windows Server 2016 y anteriores, y 2 MB en el sistema operativo Windows 10 v1709 y Windows Server 2019 y posteriores, y un tamaño de clúster mínimo de 512 bytes.
  7. ^ "Apéndice A: comportamiento del producto". [MS-FSA]: Algoritmos del sistema de archivos . Microsoft. 14 de noviembre de 2013. Consultado el 21 de septiembre de 2012 .
  8. ^ ab Russon, Richard; Fledel, Yuval. "Documentación NTFS" (PDF) . Archivado (PDF) desde el original el 2022-10-09 . Consultado el 2011-06-26 .
  9. ^ "Estructura SYSTEMTIME (minwinbase.h)". Microsoft. 5 de octubre de 2021. Consultado el 7 de enero de 2024 .
  10. ^ Rick Vanover (14 de septiembre de 2011). «Desduplicación de datos en Windows Server 8». Archivado desde el original el 18 de julio de 2016. Consultado el 2 de diciembre de 2011 .
  11. ^ Sammes, Tony; Jenkinson, Brian, eds. (2007), "El nuevo sistema de archivos tecnológico", Forensic Computing , Londres: Springer, págs. 215-275, doi :10.1007/978-1-84628-732-9_6, ISBN 978-1-84628-732-9, consultado el 14 de agosto de 2024
  12. ^ Weiss, David (1 de agosto de 2022). "¿Qué es NTFS y cómo funciona?". Datto . Consultado el 14 de agosto de 2024 .
  13. ^ "Nuevo sistema de archivos de tecnología: descripción general | Temas de ScienceDirect" www.sciencedirect.com . Consultado el 14 de agosto de 2024 .
  14. ^ ab Custer, Helen (1994). Dentro del sistema de archivos de Windows NT. Microsoft Press . ISBN 978-1-55615-660-1.
  15. ^ "NTFS3: la documentación del núcleo de Linux". www.kernel.org . Consultado el 2 de diciembre de 2021 .
  16. ^ "ntfs-3g". www.freebsd.org . Consultado el 2 de diciembre de 2021 .
  17. ^ Kozierok, Charles (14 de febrero de 2018). «Descripción general e historia de NTFS». The PC Guide . Consultado el 30 de mayo de 2019 .
  18. ^ Custer, Helen (1994). Dentro del sistema de archivos de Windows NT. Microsoft Press . pág. vii. ISBN. 978-1-55615-660-1.
  19. ^ "Recuperación de Windows NT tras un error de arranque en una unidad NTFS". Microsoft. 1 de noviembre de 2006.
  20. ^ ab Russinovich, Mark (30 de junio de 2006). "Inside Win2K NTFS, Part 1". MSDN . Microsoft . Consultado el 18 de abril de 2008 .
  21. ^ "¿Qué novedades hay en Windows NT 4.0 Service Pack 4?". Microsoft.com . 12 de enero de 1999. Archivado desde el original el 17 de enero de 1999. Consultado el 17 de agosto de 2018 .
  22. ^ "Nuevas funciones y capacidades del sistema de archivos NTFS 3.1". Microsoft. 1 de diciembre de 2007. Archivado desde el original el 16 de noviembre de 2006.
  23. ^ "Descripción general de NTFS". LSoft Technologies Inc.
  24. ^ Loveall, John (2006). "Mejoras de almacenamiento en Windows Vista y Windows Server 2008" (PowerPoint) . Microsoft. pp. 14–20 . Consultado el 4 de septiembre de 2007 .
  25. ^ "Compatibilidad de Windows con discos duros de más de 2 TB". Microsoft Learn . 2013-06-26 . Consultado el 2024-08-08 .
  26. ^ "Tamaño de clúster predeterminado para NTFS, FAT y exFAT". Soporte técnico de Microsoft . Archivado desde el original el 9 de marzo de 2024.
  27. ^ "Arranque desde GPT". Rodsbooks.com . Consultado el 22 de septiembre de 2018 .
  28. ^ "NTFS vs FAT vs exFAT - NTFS.com". www.ntfs.com . Consultado el 19 de enero de 2021 .
  29. ^ ab cfsbloggers (14 de julio de 2006). "Cómo se ven afectados los puntos de restauración y otras funciones de recuperación en Windows Vista cuando se realiza un arranque dual con Windows XP". Archivado desde el original el 18 de julio de 2006. Consultado el 21 de marzo de 2007 .
  30. ^ "Cómo convertir discos FAT a NTFS". Microsoft. 18 de diciembre de 2017. Consultado el 30 de mayo de 2019 .
  31. ^ "Preguntas frecuentes: Cómo usar Convert.exe para convertir una partición al sistema de archivos NTFS". The Educationsl University of Hong Kong . 2007-02-12. Archivado desde el original el 2023-12-06 . Consultado el 2010-12-26 .
  32. ^ "Notas de la versión 3.2 de FreeBSD". 17 de mayo de 1999. Consultado el 15 de junio de 2020 .
  33. ^ ab "mount_ntfs - Páginas del manual de OpenBSD" . Consultado el 15 de junio de 2020 .
  34. ^ "Anuncio de NetBSD 1.5". 6 de diciembre de 2000. Consultado el 15 de junio de 2020 .
  35. ^ "OpenBSD 4.9". Openbsd.com . Consultado el 22 de septiembre de 2018 .
  36. ^ ab "Créditos e historial de NTFS". Proyecto Linux-NTFS . Archivado desde el original el 24 de septiembre de 2021. Consultado el 24 de septiembre de 2021 .
  37. ^ "Desarrollo del núcleo". lwn.net . 2 de mayo de 2002 . Consultado el 5 de septiembre de 2021 .
  38. ^ "Notas de la versión v2.5.11". 29 de abril de 2002. Consultado el 5 de septiembre de 2021 .
  39. ^ "Registro de cambios de la versión 2.6.15". Proyecto Linux . 3 de enero de 2006 . Consultado el 5 de septiembre de 2021 .
  40. ^ Anderson, Tim (6 de septiembre de 2021). "GitHub fusiona 'basura inútil', dice Linus Torvalds, a medida que se agrega soporte para NTFS al kernel de Linux 5.15". The Register . Consultado el 7 de septiembre de 2021 .
  41. ^ "OpenBSD añade compatibilidad con fuse(4) para añadir sistemas de archivos en el espacio de usuario". OpenBSD Journal . 2013-11-08 . Consultado el 2013-11-08 .
  42. ^ "Controlador de lectura/escritura estable NTFS-3G". 25 de julio de 2009.
  43. ^ "Tuxera NTFS para Mac". Tuxera. 30 de agosto de 2011. Consultado el 20 de septiembre de 2011 .
  44. ^ "Jan Kratochvil: Captive: El primer sistema de archivos NTFS de lectura y escritura gratuito para GNU/Linux" . Consultado el 15 de junio de 2020 .
  45. ^ "Acerca de Tuxera" . Consultado el 15 de junio de 2020 .
  46. ^ "10.6: Habilitar compatibilidad nativa de lectura y escritura de NTFS". 1 de octubre de 2009. Archivado desde el original el 5 de septiembre de 2021 . Consultado el 5 de septiembre de 2021 .
  47. ^ "Microsoft NTFS para Mac". Paragon Software Group . Consultado el 8 de agosto de 2024 .
  48. ^ "El líder en soluciones de almacenamiento masivo de datos | Seagate US". Seagate.com . Archivado desde el original el 10 de febrero de 2011.
  49. ^ "Complemento NTFS para NetDrive". ecsoft2.org . Consultado el 9 de septiembre de 2020 .
  50. ^ "NetDrive para OS/2". arcanoae.com . Consultado el 9 de septiembre de 2020 .
  51. ^ "Avira NTFS4DOS Personal". Archivado desde el original el 19 de junio de 2010. Consultado el 25 de julio de 2009 .
  52. ^ "Descargar Avira NTFS4DOS Personal 1.9". Archivado desde el original el 10 de noviembre de 2013. Consultado el 22 de septiembre de 2018 .
  53. ^ ab "Cómo funcionan los descriptores de seguridad y las listas de control de acceso". TechNet . Microsoft . Consultado el 4 de septiembre de 2015 .
  54. ^ Morello, John (febrero de 2007). "Security Watch Deploying EFS: Part 1" (Vigilancia de seguridad: implementación de EFS: parte 1). Technet Magazine . Microsoft . Consultado el 25 de enero de 2009 .
  55. ^ "Cómo funciona EFS". Kit de recursos de Windows 2000. Microsoft . 18 de julio de 2012. Consultado el 25 de febrero de 2014 .
  56. ^ "Consideraciones sobre la compatibilidad de volúmenes de Windows 8 con versiones anteriores de Windows". 17 de enero de 2024. Consultado el 8 de agosto de 2024 .
  57. ^ "Diarios de cambios". Microsoft Docs . 7 de enero de 2021 . Consultado el 12 de agosto de 2023 .
  58. ^ "Creación, modificación y eliminación de un diario de cambios (Windows)". Microsoft Docs . 7 de enero de 2021 . Consultado el 12 de agosto de 2023 .
  59. ^ "Capítulo 29: Compatibilidad con POSIX". Guía de recursos de MS Windows NT Workstation 4.0 . Microsoft . 1995. Consultado el 21 de octubre de 2013 .
  60. ^ "Enlaces duros y uniones". MSDN . Microsoft . 12 de octubre de 2013 . Consultado el 21 de octubre de 2013 .
  61. ^ "Función MSDN – CreateHardLink" . Consultado el 14 de enero de 2016 .
  62. ^ "Streams - Sysinternals". Microsoft Docs . 23 de marzo de 2021 . Consultado el 12 de agosto de 2023 .
  63. ^ "Proveedor de sistemas de archivos". Microsoft. 9 de agosto de 2012. Archivado desde el original el 23 de enero de 2015 . Consultado el 23 de enero de 2015 .
  64. ^ Russinovich, Mark E .; Solomon, David A.; Ionescu, Alex (2009). "Sistemas de archivos". Windows Internals (quinta edición). Microsoft Press. pág. 921. ISBN 978-0-7356-2530-3Un componente de Windows que utiliza múltiples flujos de datos es el Servicio de ejecución de archivos adjuntos [...] dependiendo de la zona desde la que se descargó el archivo [...] El Explorador de Windows puede advertir al usuario
  65. ^ Boyd, Christopher (26 de octubre de 2022). "Un truco de firma malformada puede eludir Mark of the Web". Malwarebytes . Consultado el 15 de mayo de 2023 .
  66. ^ DHB-MSFT (28 de febrero de 2023). "Las macros de Internet están bloqueadas de forma predeterminada en Office: Implementar Office". learn.microsoft.com . Consultado el 15 de mayo de 2023 .
  67. ^ https://learn.microsoft.com/en-us/previous-versions/windows/internet-explorer/ie-developer/platform-apis/ms537183(v=vs.85)?redirectedfrom=MSDN
  68. ^ "¿Malware que utiliza flujos de datos alternativos?". Blog de AusCERT . 21 de agosto de 2007. Archivado desde el original el 23 de febrero de 2011.
  69. ^ https://github.com/fafalone/ZoneStripper
  70. ^ "Compresión y descompresión de archivos". SDK de la plataforma MSDN: sistemas de archivos . Consultado el 18 de agosto de 2005 .
  71. ^ "El tamaño de clúster predeterminado para los sistemas de archivos NTFS y FAT". Microsoft. 31 de enero de 2002. Consultado el 10 de enero de 2012 .
  72. ^ "Cómo funciona NTFS". 28 de marzo de 2003. Consultado el 24 de octubre de 2011 .
  73. ^ Masiero, Manuel (1 de diciembre de 2011). "¿Debería comprimir los datos de su SSD?". Tom's Hardware . Bestofmedia Group . Consultado el 5 de abril de 2013 .
  74. ^ ab Middleton, Dennis. "Understanding NTFS Compression". Blog de Ntdebugging . Microsoft . Archivado desde el original el 29 de junio de 2011. Consultado el 16 de marzo de 2011 .
  75. ^ "Reduciendo la brecha: cortando archivos comprimidos con NTFS" . Consultado el 29 de mayo de 2011 .
  76. ^ "Conceptos de disco y solución de problemas". Microsoft. 11 de septiembre de 2008. Consultado el 26 de marzo de 2012 .
  77. ^ "[MS-XCA]: Algoritmo de compresión Xpress". 31 de enero de 2023.
  78. ^ "wimlib: la biblioteca de imágenes de Windows (WIM) de código abierto - Algoritmo de compresión".
  79. ^ "Sistema operativo compacto, instanciación única y optimización de imágenes". Microsoft . Consultado el 1 de octubre de 2019 .
  80. ^ abcd Raymond Chen (18 de junio de 2019). "¿Qué es WofCompressedData? ¿Wof significa que Windows es un perro?". Microsoft DevBlogs .
  81. ^ Biggers, Eric (29 de abril de 2019). «Plugin NTFS-3G para leer archivos «comprimidos por el sistema»». GitHub . Consultado el 1 de octubre de 2019 .
  82. ^ "Re: [ntfs-3g-devel] Soporte experimental para archivos "comprimidos del sistema" de Windows 10". SourceForge.net . Consultado el 1 de octubre de 2019 .
  83. ^ "Descripción general de DISM". 15 de diciembre de 2021.
  84. ^ "Compacto". 3 de febrero de 2023.
  85. ^ "Descripción general del arranque mediante archivo de imagen de Windows (WIMBoot)". 10 de marzo de 2015.
  86. ^ "Archivos dispersos". MSDN . Microsoft . 12 de octubre de 2013 . Consultado el 21 de octubre de 2013 .
  87. ^ Kandoth, Suresh B. (4 de marzo de 2009). "Sparse File Errors: 1450 or 665 due to file fragmentation: Fixes and Workarounds" (Errores de archivos dispersos: 1450 o 665 debido a la fragmentación de archivos: soluciones y soluciones alternativas). CSS SQL Server Engineers (Ingenieros de CSS SQL Server ). Microsoft . Archivado desde el original el 21 de octubre de 2013. Consultado el 21 de octubre de 2013 .
  88. ^ "Archivos dispersos y cuotas de disco". Biblioteca MSDN . Microsoft . 12 de octubre de 2013. Consultado el 21 de octubre de 2013 .
  89. ^ "NTFS transaccional". MSDN . Microsoft . Archivado desde el original el 21 de febrero de 2007 . Consultado el 2 de febrero de 2007 .
  90. ^ "NTFS transaccional (TxF)". Microsoft Docs . Microsoft. 20 de julio de 2022 . Consultado el 12 de agosto de 2023 .
  91. ^ "No se puede abrir el contenido sincronizado en una carpeta de OneDrive en una unidad externa". Soporte técnico de Microsoft . Consultado el 3 de abril de 2021 .
  92. ^ André, Jean-Pierre (1 de marzo de 2019). «NTFS-3G: puntos de unión, vínculos simbólicos y puntos de análisis». jp-andre.pagesperso-orange.fr . Archivado desde el original el 28 de agosto de 2022.
  93. ^ "Capítulo 18: Elección de un sistema de archivos". Guía de recursos de MS Windows NT Workstation 4.0 . Microsoft . 20 de febrero de 2014 . Consultado el 25 de febrero de 2014 .
  94. ^ "Asignación de nombres a archivos, rutas y espacios de nombres". MSDN . Microsoft . Convenciones de nombres . Consultado el 25 de febrero de 2014 .
  95. ^ "NTFS. Particionar sector de arranque". Ntfs.com . Consultado el 22 de septiembre de 2018 .
  96. ^ "Sector de arranque". Technet.microsoft.com . 11 de septiembre de 2008. Tabla 1.13 Campos BPB y BPB extendidos en volúmenes NTFS . Consultado el 22 de septiembre de 2018 .
  97. ^ "Tabla maestra de archivos". MSDN . 2 de julio de 2012.
  98. ^ "Análisis forense: ¿Qué es el espejo MFT?". ¿Dónde están sus datos? . 2009-06-05 . Consultado el 2021-07-30 .
  99. ^ "Tabla maestra de archivos NTFS (MFT)". Ntfs.com . Consultado el 22 de septiembre de 2018 .
  100. ^ Schwarz, Thomas. «COEN 252 Computer Forensics NTFS». Facultad de Organización e Informática de la Universidad de Zagreb. Archivado desde el original el 27 de febrero de 2021. Consultado el 30 de mayo de 2019 .
  101. ^ ab "Disponibilidad de la versión 2 del servicio de la fase 3 de las herramientas de soporte de OEM". Microsoft Corporation. 21 de febrero de 2007. Archivado desde el original el 23 de febrero de 2015. Consultado el 16 de junio de 2010. Utilidad de información del sector de archivos del sistema de archivos de Windows NT (NTFS) ... Una herramienta que se utiliza para volcar información sobre un volumen NTFS
  102. ^ "Las cuatro etapas del crecimiento de los archivos NTFS". Archivado desde el original el 23 de septiembre de 2018 . Consultado el 22 de septiembre de 2018 .
  103. ^ "Un archivo muy fragmentado en un volumen NTFS no puede superar un tamaño determinado". Archivado desde el original el 2021-05-06 . Consultado el 2021-05-19 .
  104. ^ "Cómo funcionan los bloqueos de opciones en el entorno de Windows: descripción general". Archivado desde el original el 23 de agosto de 2010. Consultado el 19 de diciembre de 2018 .
  105. ^ "Novedades de NTFS". Technet.microsoft.com . 2 de julio de 2012. Consultado el 22 de septiembre de 2018 .
  106. ^ Gilligan, Jonathan (28 de mayo de 2001). "Cómo superar el error del horario de verano y obtener horas de modificación de archivos correctas". The Code Project .

Lectura adicional

Enlaces externos