При создании нового каталога для него выделяется кластер, заполняемый нулями. Поле «размер» в записи каталога не используется и всегда должно быть равно 0. Единственный способ определить размер каталога - использовать начальный кластер из записи каталога и следовать по цепочке кластеров структуры FAT до обнаружения маркера конца файла.

Первые две записи каталога предназначены для элементов «.» и «..». Эти обозначения хорошо знакомы пользователям, работающим в режиме командной строки. Имя «.» обозначает текущий каталог, а имя «..» - родительский каталог. В действительности они представляются записями каталога с установленным атрибутом каталога, но, похоже, система Windows не обновляет значения после их создания. Временные штампы создания, обращения и модификации сохраняют значения, заданные в момент создания каталога. Это поведение также может использоваться для проверки времени создания каталога, значение которого должно совпадать со значениями «.» и «..». Впрочем, подтвердить время последней модификации каталога невозможно, потому что записи «.» и «..» не обновляются при каждой модификации каталога. Ситуация показана на рис. 9.10: время создания dirl отличается от времени создания записей «.» и «..». Пользователь мог сделать это с целью маскировки своих действий, или же дата могла быть модифицирована каким-то приложением в системе.

Рис. 9.10. Время создания записи каталога не совпадает с временем создания записей «.» и «..»

Цепочки кластеров | Криминалистический анализ файловых систем | Адреса записей каталогов


Криминалистический анализ файловых систем



Новости за месяц

  • Март
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс