Атрибут $STAN DARD_IN FORMATION существует у всех файлов и каталогов; в нем хранятся основные метаданные. Именно здесь находятся основные (хотя и не единственные) временные штампы, а также информация о владельце, безопасности и квотах. Содержимое этого атрибута не является строго необходимым для хранения файлов, но многие функции прикладного уровня, предоставляемые Microsoft, зависят от него.

По умолчанию идентификатор типа этого атрибута равен 16. Атрибут имеет статический размер, который равен 72 байтам в Windows 2000 и ХР, и 48 байтам в Windows NT. Microsoft сортирует атрибуты в записях MFT, и этот оказывается всегда на первом месте, потому что он обладает наименьшим идентификатором типа.

Атрибут содержит четыре временных штампа. В NTFS для представления времени и дат используются 64-разрядные значения, представляющие количество сотен наносекунд, прошедших с 1 января 1601 года в формате UTC [Microsoft, 2004]. Эта особенность, видимо, будет особенно полезной при анализе компьютеров, использовавшихся в XVII веке. Что касается значений этого числа, то 1 января 1970 года в формате UTC соответствует 116 444 736 000 000 000 сотен наносекунд. Разумеется, я не стану описывать методику преобразования этого времени в формат, понятный для человека, потому что большинство калькуляторов не справляется с такими числами - впрочем, для решения этой задачи можно воспользоваться шестнадцатеричным редактором или другой программой1. Атрибут содержит четыре временных штампа:

• время создания - время, в которое была создана файловая система;

• время последней модификации - время последнего изменения атрибутов

$DATA и $INDEX;

• время модификации MFT - время последней модификации метаданных файла.

Учтите, что это значение не отображается в Windows при просмотре свойств файла;

• время последнего обращения - время последнего обращения к содержимому файла.

Атрибут также содержит флаг общих свойств файла (доступ только для чтения, системный или архивный). Из свойств также видно, является ли файл сжатым, разреженным или зашифрованным. Свойства не указывают, соответствует ли запись файлу или каталогу, но эту информацию можно получить при помощи флагов в заголовках записей MFT.

В NTFS версий 3.0+ (Windows 2000 и ХР) этот атрибут содержит четыре дополнительных значения, используемых функциональностью системы безопасности и прикладного уровня. Одно из новых значений определяет личность (identity) владельца, которая соответствует владельцу файла и используется для индексирования данных квот. Другое значение атрибута указывает, сколько байт было добавлено в квоту пользователя из-за этого файла. Идентификатор безопасности используется для индексирования файла $Secure и определения правил контроля доступа, действующих в отношении файла (файл $Secure будет рассмотрен позднее, в разделе «Категория метаданных»). Если в системе используется протоколирование изменений, этот атрибут содержит порядковый номер обновления USN (Update Sequence Number) для последней записи, созданной для этого файла. Журналы изменений рассматриваются в разделе «Категория прикладных метаданных»; пока достаточно сказать, что журнал представляет собой файл с информацией об изменениях в файловой системе, который позволяет быстро найти файлы, изменившиеся за определенный промежуток времени, вместо того, чтобы перебирать все файлы по отдельности.

Короче говоря, этот атрибут содержит немало интересных метаданных, но никакие из них не являются необходимыми для файловой системы. В нем хранятся основные временные штампы и некоторые идентификаторы, но ОС сама решает, когда обновлять содержимое временных штампов и использовать ли идентификаторы. Обратите внимание: этот атрибут существует для всех файлов и каталогов, но в не-базовых записях MFT он может отсутствовать.

Структура файловой системы | Криминалистический анализ файловых систем | Атрибут $file_name


Криминалистический анализ файловых систем



Новости за месяц

  • Апрель
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31