Как упоминалось в предыдущем разделе, дескрипторы безопасности используются для определения политики контроля доступа к файлам или каталогам. В NTFS версий 3.0+ дескрипторы безопасности хранятся в файле метаданных файловой системы $Secure, представленном записью MFT 9.

Атрибут $STANDARD_INFORMATION любого файла или каталога содержит числовой код, называемый идентификатором безопасности (Security ID). Его значение используется для индексирования файла $Secure для поиска соответствующего дескриптора. Обратите внимание: эти 32-разрядные идентификаторы безопасности отличаются от идентификаторов безопасности Windows (SID), присваиваемых системой пользователям. Идентификаторы безопасности уникальны только в рамках файловой системы, тогда как коды SID глобально-уникальны.

Файл $Secure содержит два индекса ($SDH и $SII) и один атрибут $DATA ($SDS). Атрибут $DATA содержит дескрипторы безопасности, а два индекса используются при ссылках на дескрипторы. Индекс $SII сортируется по идентификатору безопасности, хранящемуся в атрибуте $STANDARD_INFORMATION каждого файла. Индекс $SII используется для поиска дескриптора безопасности файла при известном идентификаторе безопасности. С другой стороны, индекс $SDH сортируется по хеш-коду дескриптора безопасности. ОС использует этот индекс, когда к файлу или каталогу применяется новый дескриптор безопасности. Если хеш-код нового дескриптора найти не удается, система создает новый дескриптор и идентификатор безопасности и включает их в оба индекса.

Приведу результат выполнения istat для файла $Secure в небольшой системе:

# istat -f ntfs ntfs2.dd 9 [...]

Attributes:

Type: $ STAN DARD_IN F ORMAT10 N (16-0) Name: N/A Resident size: 72

Type: $FILE_NAME (48-7) Name: N/A Resident size: 80

Type: $DATA (128-8) Name: $SDS Non-Resident size: 266188

10016 10017 10018 10019 10020 10021 10022 10023

10024 10025 10026 10027 10028 10029 10030 10031

10032 10033 10034 10035 10036 10037 10038 10039

[...]

Type: $INDEX_R00T (144-11) Name: $SDH Resident size: 56 Type: $INDEX_R00T (144-14) Name: $SII Resident size: 56 Type: $INDEX_ALLOCATION (160-9) Name: $SDH Non-Resident size: 4096

8185 8186 8187 8188 8189 8190 8191 8192

Type: $INDEX_ALLOCATION (160-12) Name: $SII Non-Resident size: 4096

8196 8197 8198 8199 8200 8201 8202 8203

Type: $BITMAP (176-10) Name: $SDH Resident size:8

Type: $BITMAP (176-13) Name: $SDH Resident size:8

В выходных данных istat мы видим 200-килобайтный атрибут $DATA с копиями дескрипторов безопасности и двумя индексами $SDH и $SSI.

Атрибут $security_descriptor | Криминалистический анализ файловых систем | Тестовый образ


Криминалистический анализ файловых систем



Новости за месяц

  • Март
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс