В NTFS включена поддержка квот дискового пространства. Квоты устанавливаются администратором для ограничения места на диске, доступного для каждого пользователя. Часть информации о квотах хранится в данных файловой системы, другие данные хранятся в файлах прикладного уровня (например, в реестре Windows). В версиях NTFS, предшествовавших 3.0, запись MFT 9 представляла файл метаданных файловой системы $Quota, но в версиях 3.0+ этот файл хранится в каталоге \$Extend, а для его представления может использоваться любая запись MFT.

В файлах $Quota для управления информацией квот используются два индекса. Первому индексу присваивается имя $0, и он связывает код SID с идентификатором владельца (на этот раз речь идет о «типичном» коде SID системы Windows, а не об идентификаторе безопасности файловой системы, упоминавшемся выше). Второй индекс с именем $Q связывает идентификатор владельца с информацией о выделенном и расходуемом дисковом пространстве.

Факторы анализа

Данные квот не являются необходимыми, поскольку операционная система не нуждается в них при использовании файловой системы. Например, другая ОС может смонтировать файловую систему NTFS и не обновить квоты при создании файла пользователем. Квоты могут пригодиться при экспертном анализе - например, по ним можно определить, кто из пользователей сохранял в системе большие объемы данных. Например, если вы обнаружили систему с несколькими учетными записями пользователей и большим количеством пиратских фильмов, по файлам квот можно будет определить, кто из пользователей создавал файлы. Ту же информацию можно получить простым анализом атрибута $STANDARD_IN FORMATION каждого файла. Система квот по умолчанию не активна, поэтому в большинстве систем эти данные не существуют.

Идентификаторы объектов | Криминалистический анализ файловых систем | Журналы файловых систем


Криминалистический анализ файловых систем



Новости за месяц

  • Март
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс