Файл NTFS представляет собой совокупность атрибутов. Атрибуты делятся на резидентные и нерезидентные: содержимое резидентных атрибутов хранится непосредственно в записи MFT, тогда как для хранения содержимого нерезидентных атрибутов выделяются отдельные кластеры. Кластером называется группа смежных секторов, количество которых равно степени 2 (то есть 1, 2, 4, 8, 16).

Каждому кластеру назначается адрес, начиная с 0. Нумерация начинается с первого кластера файловой системы, что создает гораздо меньше путаницы по сравнению со схемой нумерации FAT. Чтобы преобразовать адрес кластера в адрес сектора, достаточно умножить его на количество секторов в кластере:

СЕКТОР = КЛАСТЕР * секторов_в_кластере

NTFS не предъявляет жестких требований к строению файловой системы. Любой кластер может быть выделен для хранения любого файла или атрибута (за исключением файла $Boot, который всегда начинается с первого сектора). Компания Microsoft использует ряд общих схем устройства файловой системы; они будут рассмотрены в разделе «Алгоритм выделения». Если размер тома не кратен размеру кластера, некоторые секторы в конце диска не будут принадлежать ни одному кластеру. Общий размер этой зоны меньше размера кластера.

Файл $Bitmap

Состояние выделения кластера определяется при помощи файла метаданных файловой системы, хранящегося в записи MFT 6. Атрибут $DATA этого файла содержит один бит для каждого кластера файловой системы; например, бит О представляет кластер 0, а бит 1 представляет кластер 1. Если бит равен 1, значит, кластер выделен; если бит равен 0, кластер свободен. Подробное описание структуры битовой карты и анализ примера приводятся в разделе «Файл SBitmap» главы 13.

Информация о файле $Bitmap в файловой системе нашего тестового образа выглядит так:

# istat -f ntfs ntfsl.dd 6 [...]

Attributes :

Type: $STANDARD_INFORMATION (16-0) Name: N/A Resident size: 72

Type: $FILE_NAME (48-2) Name: N/A Resident size: 80 Type: $DATA (128-1) Name: $Data Non-Resident size: 128520 514113 514114 514115 514116 514117 514118 514119 514120 514121 514122 514123 514124 514125 514126 514127 514128 [...]

Мы видим, что файл $Bitmap обладает стандартными атрибутами файлов, а его временные штампы совпадают с приводившимися ранее для других файлов метаданных файловой системы.

Тестовый образ | Криминалистический анализ файловых систем | Файл $badclus


Криминалистический анализ файловых систем



Новости за месяц

  • Июль
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс