Файл метаданных файловой системы $AttrDef (запись MFT 4) определяет имена и идентификаторы атрибутов файловой системы. Атрибут $DATA этого файла представляет собой список записей, поля которых перечислены в табл. 13.19.

Таблица 13.19. Структура данных записей $AttrDef

Диапазон

Описание

Необходимость

0-127

Имя атрибута

Да

128-131

Идентификатор типа

Да

132-135

Правило отображения

Нет

136-139

Правило сортировки

Нет

140-143

Флаги (см. табл. 13.20)

Да

144-151

Минимальный размер

Нет

152-159

Максимальный размер

Нет

Если размеры атрибута не ограничены, минимальный размер будет равен О, а максимальный - Биты, устанавливаемые в поле флагов, перечис лены в табл. 13.20.

Таблица 13.20. Поле флагов в записях атрибута $AttrDef

Значение

Описание

0x02

Атрибут может использоваться в индексах

0x04

Атрибут всегда является резидентным

0x08

Атрибут может быть нерезидентным

Правило сортировки используется при нахождении атрибута в индексах. Атрибут $DATA для файла $AttrDef в нашем тестовом образе имеет следующее содержимое:

# і cat -f ntfs ntfsl.dd 4-128 xxd

0000000: 2400 5300 5400 4100 4y00 4400 4100 5200 S.S.T.A.N.D.A.R.

0000016: 4400 5f00 4900 4e00 4600 4f00 5200 4d00 D._.I.N.F.O.R.M.

0000032: 4100 5400 4900 4f00 4e00 0000 0000 0000 A.T.I.O.N.......

0000048: 0000 0000 0000 0000 0000 0000 0000 0000 ................

0000064: 0000 0000 0000 0000 0000 0000 0000 0000 ................

0000080: 0000 0000 0000 0000 0000 0000 0000 0000 ................

0000096: 0000 0000 0000 0000 0000 0000 0000 0000 ................

0000112: 0000 0000 0000 0000 0000 0000 0000 0000 ................

0000128: 1000 0000 0000 0000 0000 0000 4000 0000 ............(a...

0000144: 3000 0000 0000 0000 4880 0000 0000 0000 0.......H.......

Первое определение относится к атрибуту $STANDARD_INFORMATION. Байты 128-131 определяют тип атрибута 16 (0x10). Флаги в байтах 140-143 означают, что атрибут всегда является резидентным. Согласно байтам 144-151 минимальный размер атрибута равен 48 байтам (0x30), а максимальный - 72 байтам (0x48).

Файл $boot | Криминалистический анализ файловых систем | Файл $bitmap


Криминалистический анализ файловых систем



Новости за месяц

  • Март
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс