Атрибут $STANDARD_INFORMATION (идентификатор типа 16) всегда является резидентным. В нем хранятся основные метаданные файлов или каталогов. Атрибут существует в каждом файле или каталоге; как правило, он находится в первой позиции списка атрибутов из-за наименьшего идентификатора типа. Поля атрибута (необязательные) перечислены в табл. 13.5.

Таблица 13.5. Структура данных атрибута $STANDARD_INFORMATION

Диапазон

Описание

Н еобход и м ость

0-7

Время создания

Нет

8-15

Время модификации файла

Нет

16-23

Время модификации MFT

Нет

24-31

Время обращения к файлу

Нет

32-35

Флаги (см. табл. 13.6)

Нет

36-39

Максимальное количество версий

Нет

40-43

Номер версии

Нет

44-47

Идентификатор класса

Нет

48-51

Идентификатор владельца (версия 3.0+)

Нет

52-55

Идентификатор безопасности (версия 3.0+)

Нет

56-63

Изменение квоты (версия 3.0+)

Нет

64-71

Номер USN (Update Sequence Number)

Нет

Значения временных штампов задаются в сотнях наносекунд, прошедших с 1 января 1601 г., в формате 11ТС. Эти поля также присутствуют и в атрибуте $Р11_Е_МАМЕ, но именно этот набор штампов выводится \¥тс1о\¥8 при просмотре свойств файла и обновляется системой. Идентификаторы используются как функ циями прикладного уровня, так и системой безопасности. Идентификатор безопасности используется для индексирования файла $Secure; не путайте его с кодом SID системы Windows. Значения флагов перечислены в табл. 13.6.

Таблица 13.6. Флаги атрибута $STANDARD_INFORMATJON

Флаг

Описание

Необходимость

0x0001

Только для чтения

Нет

0x0002

Скрытый файл

Нет

0x0004

Системный файл

Нет

0x0020

Архивный файл

Нет

0x0040

Устройство

Нет

0x0080

Обычный файл

Нет

0x0100

Временный файл

Нет

0x0200

Разреженный файл

Нет

0x0400

Точка подключения

Нет

0x0800

Сжатый файл

Нет

0x1000

Автономный файл

Нет

0x2000

Содержимое не индексируется для ускорения поиска

Нет

024000

Зашифрованный файл

Нет

Многие флаги совпадают с флагами системы FAT, и их описания можно найти в соответствующем разделе. Флаги зашифрованных и разреженных атрибутов также дублируются в заголовке атрибута, поэтому здесь я их отнес к несущественным. Впрочем, это спорный момент; возможно, кто-то сочтет этот флаг необходимым, а значения в заголовке записи MFT - несущественными.

Рассмотрим пример атрибута $STANDARD_INFORMATION. Для вывода его содержимого можно воспользоваться программой icat и указать тип атрибута. В этом случае icat автоматически скрывает стандартный заголовок и выводит только содержимое. Содержимое атрибута $STANDARD_INFORMATION для файла $MFT выглядит так:

# icat -f ntfs ntfsl.dd 0-16 xxd

0000000: 305a 7alf f63b c301 305a 7alf f63b c301 OZz..:..OZz..:..

0000016: 305a 7alf f63b c301 305a 7alf f63b c301 OZz..;..OZz..:..

0000032: 0600 0000 0000 0000 0000 0000 0000 0000 ................

0000048: 0600 0000 0001 0000 0000 0000 0000 0000 ................

0000064: 0600 0000 0000 0000 ........

В первых 8 байтах указано время создания файла; оно совпадает для всех четырех временных штампов. Байты 32-35 содержат поле набора флагов 0x00000060; в нем установлены биты скрытого и системного файла, что вполне естественно для файла метаданных файловой системы. Байты 36-39 и 40-43 показывают, что версии не используются, а из байтов 44-47 видно, что идентификатор класса равен 0. Идентификатор владельца (байты 48-51) равен 0, а идентификатор безопасности (байты 52-55) равен 1. Остальные значения равны 0, что вполне естественно для $MFT, потому что эта запись обычно не учитывается в пользовательских квотах, а в большинстве систем журналы изменений по умолчанию отключены, из-за чего номера USN не назначаются.

Стандартные атрибуты файлов | Криминалистический анализ файловых систем | Атрибут $file_name


Криминалистический анализ файловых систем



Новости за месяц

  • Апрель
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31