嗨，这个问题问得相当专业，刚好戳中了NTFS文件系统设计里的一个关键细节——当默认1024字节的MFT主记录装不下所有文件属性时，NTFS会通过两种核心机制来解决，针对你提到的多$FILE_NAME属性的场景，具体逻辑是这样的：

• 扩展MFT记录+属性列表索引：当主MFT记录的空间被属性和记录头占满后，NTFS会为这个文件分配额外的MFT记录（也就是“扩展记录”），把放不下的属性（比如多余的$FILE_NAME）转移到这些扩展记录里。同时，主MFT记录会新增一个$ATTRIBUTE_LIST属性，这个属性就像一个目录索引，里面记录着每个属性对应的MFT记录编号和偏移位置，解析的时候只要顺着这个列表走，就能找到所有分散存储的属性。
• 驻留属性的迁移逻辑：$FILE_NAME这类属性默认是驻留的（直接存在MFT记录内），但当数量过多导致主记录溢出时，它们会被标记为需要从主记录迁移到扩展MFT记录中，而$ATTRIBUTE_LIST会完整记录这些迁移后的属性位置信息，不会丢失任何属性数据。

另外补充个小细节：MFT记录的大小不一定都是1024字节——格式化NTFS分区时可以指定更大的尺寸（比如2048或4096字节），但绝大多数日常场景下还是默认的1024字节。

结合你用NodeJS解析dd镜像的场景，之后如果碰到这种情况，一定要先检查主MFT记录里是否存在$ATTRIBUTE_LIST属性，要是有的话，就得根据这个属性里的指针去读取对应的扩展MFT记录，才能拿到完整的属性集合。我之前做NTFS解析工具的时候，就碰到过一个文件关联了6个$FILE_NAME属性的情况，就是靠这个属性列表才把所有属性找全的。

备注：内容来源于stack exchange，提问作者Clonkex