В предыдущем разделе приводился атрибут $INDEX_ALLOCATION с двумя 4096-байтовыми индексными записями. Может оказаться, что некоторые индексные записи не используются. Атрибут $В1ТМАР содержит информацию о том, какие индексные записи в атрибуте $INDEX_ALLOCATION выделены для хранения данных. Как правило, Windows выделяет индексные записи только по мере необходимости, однако в каталоге могут появиться свободные записи - например, в результате удаления множества файлов. Учтите, что атрибут $В1ТМАР также используется в таблице MFT для отслеживания состояния выделения записей MFT.

Атрибут $В1ТМАР (идентификатор типа 176) делится на байты; каждый байт соответствует индексной записи. Для просмотра атрибута $ BITMAP в предыдущем примере можно воспользоваться программой icat:

# icat -f ntfs ntfsl.dd 7774-176 xxd

0000000: 0300 0000 0000 0000 ........

В байте 0 находится значение 0x03, или в двоичном представлении 0000 ООН. Следовательно, индексные записи 0 и 1 выделены для использования.

Атрибут $ш0ех_аи.0сат10м | Криминалистический анализ файловых систем | Структура данных заголовка индексного узла


Криминалистический анализ файловых систем



Новости за месяц

  • Март
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс