Файл $MFT представлен записью MFT 0. Он уже рассматривался в начале главы, потому что этот файл абсолютно необходим для операций с каждым файлом в файловой системе. Примеры выходных данных istat для файла $MFT приводились в главе 12. Файл обладает стандартными атрибутами, а в атрибуте $DATA содержится таблица MFT.

Файл $MFT содержит только один уникальный атрибут $В1ТМАР. В нем хранится информация о состоянии выделения записей MFT. Если бит, представляющий запись, установлен, значит, запись выделена, а если бит равен 0 - запись свободна. Для просмотра атрибута $В1ТМАР можно воспользоваться программой icat и указать тип атрибута 176:

# icat -f ntfs ntfsl.dd 0-176 xxd

0000000: ffff OOff ffff ffff ffff ffff ffff ffff ................

0000016: ffff ffff ffff ffff ffff ffff ffff ffff ................

[...]

Файлы метаданных файловой системы | Криминалистический анализ файловых систем | Файл $boot


Криминалистический анализ файловых систем



Новости за месяц

  • Март
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс