Атрибут $0ВЗЕСТ_Ю (идентификатор типа 64) содержит 128-разрядный глобальный идентификатор объекта, который может использоваться для адресации файла вместо его имени. Идентификатор объекта позволяет найти файл даже после его переименования. Индекс \$Ех1епс1\$0Ь]1с1 сортируется по идентификаторам объектов файлов и содержит базовые адреса, по которым можно найти каждый файл. Атрибут содержит только четыре поля, причем обычно определяется только первое из них. Поля перечислены в табл. 13.10.

Таблица 13.10. Структура элемента списка в атрибуте $OBJECT_ID

Диапазон

Описание

Необходимость

0-15

Идентификатор объекта

Да

16-31

Исходный идентификатор тома

Нет

32-47

Исходный идентификатор объекта

Нет

48-63

Исходный идентификатор домена

Нет

У большинства файлов, которым назначается идентификатор объекта, определяется только первое поле, а размер атрибута равен 16 байтам. Файл $Volume часто содержит атрибут $0BJECT_ID:

# icat -f ntfs img.dd 3-64 xxd

0000000: fe24 b024 e292 fe47 95ac e507 4bf5 6782 .$.$...G....K.g.

Атрибут $attriвute_list | Криминалистический анализ файловых систем | Атрибут $reparse_point


Криминалистический анализ файловых систем



Новости за месяц

  • Март
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс