В MFT используется последовательная 48-разрядная адресация записей, при этом первой записи присваивается адрес 0. Максимальный адрес MFT изменяется по мере расширения MFT и определяется делением размера $MFT на размер одной записи. Microsoft называет этот последовательный адрес файловым номером (file number).

Каждая запись MFT также содержит 16-разрядный порядковый номер, автоматически увеличиваемый при создании записи. Для примера рассмотрим запись MFT 313 с порядковым номером 1. Файл, которому была выделена запись 313, удаляется, а запись повторно выделяется новому файлу. При повторном выделении записи присваивается новый порядковый номер 2. Адрес MFT объединяется с порядковым номером (занимающим старшие 16 бит) и формирует 64-разрядный базовый адрес файла (см. рис. 11.3).

Рис. 11.3. Базовый адрес файла образуется в результате объединения адреса записи MFT и порядкового номера

NTFS использует базовый адрес для обращения к записям MFT, потому что порядковый номер упрощает выявление повреждений файловой системы. Например, если в процессе выделения структур данных для файла в системе произойдет сбой, по порядковому номеру можно будет определить, содержит ли структура данных адрес записи MFT, оставшийся от предыдущего файла или же являющийся частью нового файла. Кроме того, порядковый номер можно использовать при восстановлении удаленного содержимого. Например, если имеется свободная структура данных с базовым адресом файла, мы можем определить, производилось ли повторное выделение записи MFT со времени ее использования в этой структуре данных. Порядковый номер может пригодиться во время расследования, но в этой главе для простоты я буду в основном использовать файловые номера, то есть адреса записей MFT.

Содержимое записи mft | Криминалистический анализ файловых систем | Файлы метаданных файловой системы


Криминалистический анализ файловых систем



Новости за месяц

  • Апрель
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31