Атрибут $REPARSE_POINT (идентификатор типа 192) используется для файлов, которые представляют собой точки подключения - особые объекты, предназначенные для создания символических ссылок, переходов и точек монтирования для томов. Microsoft определяет часть содержимого атрибута $REPARSE_POINT, но также возможна разработка структур, специфических для конкретных приложений. Переходы и точки подключения имеют структуру, показанную в табл. 13.11.

Таблица 13.11. Структура данных атрибута $КЕРАКБЕ_РОШТ для переходов и точек монтирования

Диапазон

Описание

Необходимость

0-3

Флаги типа подключения

Да

4-5

Размер данных подключения

Да

6-7

Не используется

Нет

8-9

Смещение имени целевого объекта (относительно байта 16)

Да

10-11

Длина имени целевого объекта

Да

Диапазон

Описание

Необходимость

12-13

Смещение выводимого имени целевого объекта (относительно байта 16)

Да

14-15

Длина выводимого имени

Да

Для переходов и точек монтирования в поле флагов устанавливается флаг ОхаООООООО. Точка подключения, связанная с каталогом c:\windows, выглядит так:

# icat -f ntfs ntfs2.dd 167-192 xxd

0000000: 0300 OOaO 2800 0000 0000 IcOO leOO 0000 ....(...........

0000016: 5c00 3f00 3f00 5c00 6300 3a00 5c00 7700 \.?.? Л.с.: Л.w.

0000032: 6900 6e00 6400 6f00 7700 7300 0000 1200 i.n.d.o.w.s.....

Байты 8-9 показывают, что смещение имени целевого объекта составляет О байт, то есть имя начинается с байта 16. Его длина указывается в байтах 10-11; мы видим, что она составляет 28 байт (0x1с). В Unicode имя целевого объекта имеет вид «\??\c:\windows».

Атрибут $object | Криминалистический анализ файловых систем | Атрибуты и структуры данных индексов


Криминалистический анализ файловых систем



Новости за месяц

  • Апрель
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31