Атрибут $ATTRIBUTE_LIST включается в записи MFT для хранения информации о местонахождении других атрибутов. Он используется для файлов с заголовками атрибутов, не помещающимися в одной записи MFT, и содержит список, в котором каждый атрибут файла или каталога представлен отдельным элементом. Атрибуту $ATTRIBUTE_LIST соответствует идентификатор типа 32, а каждый элемент списка состоит из полей, перечисленных в табл. 13.9.

Таблица 13.9. Структура элемента списка в атрибуте $FILE_NAME

Диапазон

Описание

Необходимость

0-3

Тип атрибута

Да

4-5

Длина элемента

Да

6-6

Длина имени

Да

7-7

Смещение имени (относительно начала элемента)

Да

8-15

Начальный номер УСЫ в атрибуте

Да

16-23

Базовый адрес записи с атрибутом

Да

24-24

Идентификатор атрибута

Да

Начальный номер УСДО используется в ситуациях, когда для описания одного атрибута требуется несколько записей МРТ. В таких случаях дополнительные записи обладают ненулевыми начальными номерами УСМ. Ненулевой начальный номер У СМ также должен присутствовать в заголовке атрибута.

Пример файла с атрибутом $АЛШВиТЕ_1_15Т:

# і саг ^ г^б г^бі.сісі 5009-32 ххсі

0000000: 1000 0000 2000 001а 0000 0000 0000 0000 ...............

0000016: 9113 0000 0000 0800 0000 0000 0000 0000 ................

0000032: 3000 0000 2000 001а 0000 0000 0000 0000 0..............

0000048: 9113 0000 0000 0800 0300 0000 0006 0000 ................

0000064: 3000 0000 2000 001а 0000 0000 0000 0000 0..............

0000080: 9113 0000 0000 0800 0200 0200 502с1 40Ьс ............Р-@.

0000096: 8000 0000 2000 001а 0000 0000 0000 0000 ...............

0000112: 3713 0000 0000 1200 0000 0000 1000 0000 7...............

0000128: 8000 0000 2000 001а 2014 0000 0000 0000 ..............

0000144: асІІЗ 0000 0000 0800 0000 0000 0000 0000 ................

Первые 4 байта содержат тип первого элемента; он равен 16 (0x10), следовательно, это атрибут $STANDARD_INFORMATION. Байты 4-5 показывают, что длина списка равна 32 байтам (0x0020), а байты 16-21 - что атрибут находится в записи MFT 5009 (0x1391), которую мы рассматриваем в настоящий момент.

Следующие два элемента начинаются с байтов 32 и 64. Оба представляют атрибут $FILE_NAMЕ с идентификатором типа 48 (0x30). Оба атрибута также присутствуют в текущей записи MFT.

Первый элемент атрибута $DATA начинается с байта 96. Байты 104-111 показывают, что этот атрибут $DATA связан с номером VCN 0 атрибута, а байты 112-117 - что атрибут находится в записи MFT 4919 (0x1337). Второй элемент атрибута $DATA начинается с байта 128. Мы видим, что они относятся к одному атрибуту $DATA, потому что идентификатор в обоих структурах данных равен 0. Байты 136- 143 показывают, что второй элемент обладает начальным номером VCN 5152 (0x1420). Другими словами, атрибут $DATA в первом элементе располагает в записи MFT местом, достаточным для описания первых 5152 кластеров. Описания остальных серий кластеров хранятся в атрибуте $DATA записи MFT 5037 (0xl3ad); это значение мы видим в байтах 144-149.

На рис. 13.4 изображено строение этого файла. Он обладает одним атрибутом $STANDARD_INFORMATION и двумя атрибутами $FILE_NAME в базовой записи MFT 5009, а заголовки атрибута $DATA находятся в записях 4919 и 5037.

Рис. 13.4. Структура списка атрибутов для тестового образа

В главе 12 говорилось о том, что не-базовые записи MFT не обладают стандартными атрибутами $FILE_NAME и $STANDARD_INFORMATION. В этом легко убедиться, просмотрев одну из записей в нашем примере. При запуске программы istat для не-базовой записи 4919 будет получен следующий результат:

# istat -f ntfs ntfsl.dd 4919 MfT Entry Header Values:

Entry: 4919 Sequence: 18

Base File Record: 5009 SLogFile Sequence Number: 66117460 Allocated File Links: 0 [...]

Attributes:

Type: SDATA (128-0) Name: SData Non-Resident size: 5787792 929409 929410 929411 929412 929413 929414 929415 929416 [...]

Запись МРТ содержит только один атрибут $0АТА; мы видим, что в заголовке в качестве базовой указана запись 5009. Счетчик ссылок равен 0, потому что с записью не ассоциируются дополнительные имена.

Атрибут $data | Криминалистический анализ файловых систем | Атрибут $object


Криминалистический анализ файловых систем



Новости за месяц

  • Июль
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс