КаталогКТТБ представлен обычной записью MFT, у которой установлен специальный флаг в заголовке и в атрибутах $STANDARD_IN FORMATION и $FILE_NAME. Индексные элементы в индексе каталога содержат адрес ссылки на файл и атрибут $FILE_NAME. Вспомните, что атрибут $FILE_NAME содержит имя файла, временные штампы, размер и основные флаги. Windows обновляет временные штампы и размеры, чтобы они соответствовали действительности. Если система Windows настроена на обязательное использование имени из пространства имен DOS, индекс содержит несколько атрибутов $FILE__NAME для одного файла. Атрибутам $INDEX_R00T, $IN-D ЕХ_А LL0 С ATI 0 N и $В1ТМАР присваивается одно имя $130. Эти структуры данных представлены в главе 11, а их формальные описания приводятся в главе 13.

На рис. 12.9 показана простая двухуровневая структура каталога, в которой корневой узел находится в атрибуте $INDEX_R00T, а атрибут $INDEX_ALL0CATI0N содержит две индексные записи. Элементы индексной записи 0 содержат имена, «меньшие» hhh.txt, а элементы индексной записи 1 - имена, «большие» hhh.txt Обратите внимание: файл eeeeeeeeeeee.txt не входит в пространство имен DOS, поэтому для него создается дополнительная запись.

При добавлении или удалении файла из каталога дерево реструктурируется так, чтобы данные хранились в отсортированном порядке. Это может привести к перемещению элементов в индексных записях и замене данных в удаленных файлах. У каждого узла дерева имеется поле заголовка, которое идентифицирует последний выделенный элемент. На рис. 12.9 некоторые элементы (ccc.txt в $INDEX_R00T и qqq.txt в индексной записи 1) находятся в свободном пространстве. Файл qqq.txt удален, но файл ccc.txt продолжает существовать, он находится в индексной записи 0. Чтобы понять, почему это происходит, обратитесь к разделу «Индексы» главы 11.

Рис. 12.9. Двухуровневое дерево каталога

Выделение записей mft и атрибутов | Криминалистический анализ файловых систем | Корневой каталог


Криминалистический анализ файловых систем



Новости за месяц

  • Март
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс