Файл \$Extend\$Quota используется механизмом пользовательских квот. Для него используется обычная (не зарезервированная) запись MFT. Файл содержит два индекса; оба используют стандартные атрибуты $INDEX_R00T и $INDEX_ALL0CATION для хранения своих индексных элементов. Индекс $0 связывает код SID с идентификатором владельца, а индекс $Q связывает идентификатор владельца с информацией квот. В табл. 13.24 перечислены поля индексных элементов индекса $о.

Таблица 13.24. Структура данных элементов индекса $0 файла $Quota

Диапазон

Описание

Необходимость

0-1

Смещение идентификатора владельца (OFF)

Да

2-3

Длина идентификатора владельца

Да

4-7

Не используется

Нет

8-9

Размер индексного элемента

Да

10-11

Размер SID (L)

Да

Таблица 13.24 (продолжение)

Диапазон

Описание

Необходимость

12-15

Флаги (см. табл. 13.16)

Да

16-(16+L+1)

SID

Да

OFF+

Идентификатор владельца

Да

В этих индексных элементах используются те же флаги, которые приводились ранее для имен файлов. Флаг 0x01 является признаком наличия дочерних узлов, а флаг 0x02 - признаком последнего элемента в списке. Если дочерний узел существует, то последние 8 байт используются для хранения кода УСИ дочернего узла.

Первый индексный элемент индекса $0 выглядит так:

0000000: 1с00 0400 0000 0000 2000 ОсОО 0000 0000 ...............

0000016: 0101 0000 0000 0005 1200 0000 0401 0000 ................

0000032: 1с00 0400 0000 0000 2000 ОсОО 0000 0000 ...............

0000048: 0101 0000 0000 0005 1300 0000 0301 0000 ................

[...]

Байты 0-1 показывают, что идентификатор владельца хранится со смещением 28 (0x1с) от начала элемента, а байты 2-3 - что его длина составляет 4 байта. Байты 8-9 показывают, что длина индексной записи равна 32 байтам (0x20), а байты 10-11 - что код SID занимает 12 байт (0x0с). Код SID хранится в байтах 16-27, а байты 28-31 содержат идентификатор владельца 260 (0x0104). Второй элемент списка начинается с байта 32, а его идентификатор владельца находится в байтах 60-63 и равен 259 (0x0103).

Индекс $Q связывает идентификатор владельца с информацией о квотах. В табл. 13.25 перечислены поля индексных элементов $Q.

Таблица 13.25. Структура данных элементов индекса $Q файла $Quota

Диапазон

Описание

Необходимость

0-1

Смещение информации квот

Да

2-3

Размер информации квот

Да

4-7

Не используется

Нет

8-9

Размер индексного элемента

Да

10-11

Размер идентификатора владельца (4 байта)

Да

12-15

Флаги (см. табл. 13.16)

Да

16-19

Идентификатор владельца

Да

20-23

Версия

Нет

24-27

Флаги квот (см. табл. 13.26)

Да

28-35

Байты, начисляемые пользователю

Да

36-43

Время последнего начисления

Нет

44-51

Мягкий порог

Да

52-59

Жесткий порог

Да

60-67

Время превышения

Да

68-79

SID

Да

В индексных элементах используются стандартные флаги: 0x01 - признак наличия дочерних узлов, и 0x02 - признак последней записи в списке. Флаги квот перечислены в табл. 13.26.

Таблица 13.26. Флаги квот в индексных элементах $Q

Флаг

Описание

0x00000001

Используются лимиты по умолчанию

0x00000002

Достигнут лимит

0x00000004

Идентификатор удален

0x00000010

Отслеживание использования данных

0x00000020

Обеспечение правил использования данных

0x00000040

Запрос на отслеживание

0x00000080

Создание записи в журнале при достижении порога

0x00000100

Создание записи в журнале при достижении лимита

0x00000200

Устаревшая информация

0x00000400

Поврежденные данные

0x00000800

Незавершенные операции удаления

Далее приводится пример индексного элемента из тестового образа, который уже использовался для индекса $0. Данные взяты из атрибута $1М0ЕХ_А1_1_0САТЮМ, данные заголовка удалены. Приведенная информация взята из списка элементов и соответствует идентификатору владельца, показанному в предыдущем примере.

0000000: 1400 ЗсОО 0000 0000 5000 0400 0000 0000 ..<.....Р.......

0000016: 0301 0000 0200 0000 0100 0000 0028 0500 .............(..

0000032: 0000 0000 401b 7сЗс 7751 с401 ffff ffff ....@..<wQ.....

0000048: ffff ffff ffff ffff ffff ffff 0000 0000 ................

0000064: 0000 0000 0101 0000 0000 0005 1300 0000 ................

0000080: 1400 ЗсОО 0000 0000 5000 0400 0000 0000 ..<.....P.......

0000096: 0401 0000 0200 0000 0100 0000 0094 6602 ..............f.

0000112: 0000 0000 90fe 8bdf d769 c401 ffff ffff .........і......

0000128: ffff ffff ffff ffff ffff ffff 0000 0000 ................

0000144: 0000 0000 0101 0000 0000 0005 1200 0000 ................

Байты 0-1 показывают, что данные квот хранятся со смещением 20 байт (0x14), а байты 2-3 - что их объем составляет 60 байт. Байты 16-19 показывают, что данные относятся к идентификатору владельца 259 (0x0103), который соответствует второй записи, приведенной ранее в индексе $0. Байты 24-27 содержат флаги квот; мы видим, что для данного пользователя используются лимиты по умолчанию. Байты 28-35 показывают, что для учетной записи данного пользователя начислено только 337 920 байт (0x052800). При желании вы можете разобрать следующую запись самостоятельно.

Файл $volume | Криминалистический анализ файловых систем | Файл $logfile


Криминалистический анализ файловых систем



Новости за месяц

  • Апрель
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31