NTFS文件系统$LogFile

$LogFile文件即事务型日志文件，使用2号MFT项。
$LogFile项具有标准文件属性，使用数据属性存储日志数据。

$LogFile是为实现可恢复性和安全性而设计的。当系统运行时，NTFS就会在日志文件中记录所有影响NTFS卷结构的操作，如文件的创建，目构结构的改变等，从而使其能够在系统失败时恢复NTFS卷。

日志被分为很多的页，每页4096个字节即8扇区，前2个页分配给重启区，我们称其为“重启页”，每个重启页的起始签名为”52535452”即”RCTR”的ASIIC码，所以我们可以通过搜索扇区偏移0字节处的该值来定位日志的位置。

日志的第三页（即16号扇区）开始记录，每个记录页的起始签名为”52435244”即”RCRD”的ASIIC码.