Файл $Volume (запись MFT 3) обладает двумя уникальными атрибутами, которые будут описаны в этом разделе.

Атрибут $VOLUME_NAME

Предполагается, что атрибут $VOLUME_NAME (идентификатор типа 96) создается только в файле $Volume. В нем хранится имя тома в кодировке Unicode UTF-16, и ничего более. В тестовом образе его содержимое выглядит так:

# icat -f ntfs ntfsl.dd 3-96 xxd

0000000: 4e00 5400 4600 5300 2000 4400 6900 7300 N.T.F.S. .D.i.s.

0000016: 6b00 2000 3200 k. .2.

В данном примере файловой системе присвоено имя «NTFS Disk 2».

Атрибут $VOLUME_INFORMATION

Второй атрибут, уникальный для файла $Volume, - $V0LUME_INFORMATION (идентификатор типа 112). В этом атрибуте хранится версия файловой системы. В табл. 13.21 перечислены поля атрибута $V0LUME_INF0RMATI0N.

Таблица 13.21. Структура данных атрибута $VOLUME_INFORMATION

Диапазон

Описание

Н еобход и м ость

0-7

Не используется

Нет

8-8

Основная версия

Да

9-9

Дополнительная версия

Да

10-11

Флаги (см. табл. 13.22)

Нет

В \Vmdows ЫТ основная версия равна 1, а дополнительная - 2. В \\/тс1о\¥8 2000 основная версия равна 3, а дополнительная - 0. В \\/тс1о\¥8 ХР используется основная версия 3, а дополнительная - 1. Флаги, используемые в этой структуре данных, перечислены в табл. 13.22.

Таблица 13.22. Флаги поля $VOLUME_INFORMATION

Значение

Описание

0x0001

Флаг обновления

0x0002

Изменение размера $1_одРПе (журнал файловой системы)

0x0004

Обновление тома

0x0008

Монтирование в 1ЧТ

0x0010

Удаление журнала изменений

0x0020

Восстановление идентификаторов объектов

0x8000

Изменяется сИкс15к

Атрибут $V0LUME_INFORMATION в тестовой файловой системе содержал следующие данные:

# і cat -f ntfs ntfsl.dd 3-112 xxd

0000000: 0000 0000 0000 0000 0301 0000 ................

Согласно байтам 8 и 9, файловая система обладает номером версии 3.1, что соответствует ХР. Поле флагов заполнено нулями.

Файл $ObjId

Как было показано в главе 12, на файл можно ссылаться не только по имени, но и по идентификатору объекта. Идентификаторы позволяют найти файл даже после его переименования. Файл \$Extend\$ObjId содержит индекс с именем $0, связывающий идентификатор объекта файла с записью MFT. Как правило, для представления файла $0bjld не используются зарезервированные записи MFT.

Индекс содержит типичные атрибуты $INDEX_R00T и $INDEX_ALL0CATI0N. В табл. 13.23 перечислены поля элементов этого индекса.

Таблица 13.23. Структура данных индексных записей атрибута $ObjId

Диапазон

Описание

Необходимость

0-1

Смещение информации файла

Да

2-3

Размер информации файла

Да

4-7

Не используется

Нет

8-9

Размер индексного элемента

Да

Диапазон

Описание

Необходимость

10-11

Размер идентификатора объекта

Да

12-15

Флаги (см. табл. 13.16)

Да

16-31

Идентификатор объекта

Да

32-39

Базовый адрес файла

Да

40-55

Исходный идентификатор тома

Нет

56-71

Исходный идентификатор объекта

Нет

72-87

Исходный идентификатор домена

Нет

Поле флагов содержит стандартные биты: 0x01 при наличии дочерних узлов и 0x02 для последнего элемента в списке. Далее приводятся некоторые индексные элементы атрибута $INDEX_R00T (заголовок узла не показан):

0000000: 2000 3800 0000 0000 5800 1000 0000 0000 .8.....X........

0000016: fe24 Ь024 е292 fe47 95ас е507 4bf5 6782 .G....K.g.

0000032: 0300 0000 0000 0300 0000 0000 0000 0000 ................

0000048: 0000 0000 0000 0000 0000 0000 0000 0000 ................

0000064: 0000 0000 0000 0000 0000 0000 0000 0000 ................

0000080: 0000 0000 0000 0000 2000 3800 0000 0000 .........8.....

0000096: 5800 1000 0000 0000 al62 3d5e cdda d811 X........b=x....

0000112: 883c OObO dOld e93f a400 0000 0000 0100 .<.....?........

0000128: fe24 b024 e292 fe47 95ac e507 4bf5 6782 .$.$...G....K.g.

0000144: а 162 3d5e cdda d811 883c OObO dOld e93f .b=x.....<.....?

0000160: 0000 0000 0000 0000 0000 0000 0000 0000 ................

Байт 8 показывает, что длина элемента равна 88 байтам (0x58), а в байтах 16-31 хранится 16-байтовый идентификатор объекта. Байты 32-37 определяют адрес записи MFT для данного идентификатора, он равен 3. Этот индексный элемент соответствует атрибуту $0BJECT_ID, описанному в разделе «Атрибут $OBJECT_lD». Остальные поля этого элемента равны 0, а следующий элемент начинается с байта 88.

Файл $bitmap | Криминалистический анализ файловых систем | Файл $quota


Криминалистический анализ файловых систем



Новости за месяц

  • Апрель
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31