Атрибут $ATTRIВUTE_MFT используется в случае, если для хранения всех атрибутов файла или каталога требуется более одной записи MFT. Файл или каталог может иметь до 65 536 атрибутов, и все атрибуты могут не поместиться в одной записи MFT. Как минимум в записи должен храниться заголовок каждого атрибута. Содержимое может быть нерезидентным, но иногда даже для хранения заголовков требуется несколько записей MFT. Эта ситуация часто возникает при фрагментации нерезидентных атрибутов и удлинении списков серий.

Идентификатор типа атрибута $ATTRIВUTE_LIST равен 32; это второе по величине значение. Следовательно, этот атрибут всегда будет находиться в базовой записи MFT. Он содержит список всех атрибутов файла, кроме самого себя. В каждом элементе списка хранится тип атрибута и адрес записи MFT, в которой он расположен. В заголовках не-базовых записей MFT указывается адрес базовой записи MFT.

Ситуация усложняется тем, что в результате сильной фрагментации даже для хранения одного списка серий может потребоваться несколько записей MFT; обычно такое происходит только с атрибутами $DATA. В таких случаях каждая не-базо-вая запись MFT содержит обычный атрибут $DATA, но в атрибуте указывается его смещение в файле. Заголовок атрибута содержит поле с начальным номером виртуального кластера (VCN, Virtual Cluster Number) серии, который соответствует логическому адресу файла. Предположим, файлу требуются две записи MFT для хранения списка серий его атрибута $DATA. Первая запись вмещает серии первых 500 Мбайт атрибута, а вторая запись содержит остальные серии. В заголовке атрибута второй записи будет указано, что его серии начинаются с 500-мегабайтной точки полного атрибута $DATA.

На рис. 12.5 изображена базовая запись MFT с номером 37. Базовая запись содержит атрибуты $STAN DARD_IN FORMATION и $ATTRIBUTE_LIST, причем список последнего состоит из пяти элементов. Первый элемент соответствует уже обработанному атрибуту $STANDARD_INF0RMATI0N. Второй элемент соответствует атрибуту $FILE_NAME, расположенному в записи 48. Третий и четвертый элементы списка соответствуют одному атрибуту $DATA, а пятый - другому элементу $DATA. Чтобы узнать, какому атрибуту $DATA соответствует каждая запись, достаточно обратиться к полю идентификатора (ID). Первые 284 Мбайт первого атрибута $DATA описываются в записи 48, а остаток атрибута - в записи 49.

Рис. 12.5. Список атрибутов из пяти элементов. Для представления файла используются три дополнительных записи МРТ, и одному из атрибутов $РАТА потребовалось две записи для его списков серий

Атрибут $file_name | Криминалистический анализ файловых систем | Атрибут $security_descriptor


Криминалистический анализ файловых систем



Новости за месяц

  • Апрель
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31