Размер каждой записи MFT определяется в загрузочном секторе, но во всех версиях Microsoft используются 1024-байтовые записи. Первые 42 байта содержат 12 полей, а остальные 982 байта не имеют фиксированной структуры и заполняются атрибутами. Запись MFT можно сравнить с большим сундуком для хранения вещей. Снаружи на сундуке написаны основные сведения о владельце - имя и адрес (аналог фиксированных полей записей MFT). Сундук обычно остается пустым, но в него можно положить любой предмет, размер которого меньше размера сундука. Записи MFT тоже не имеют фиксированной структуры и содержат атрибуты, в которых хранится конкретная информация.

В первом поле каждой записи MFT хранится сигнатура; у стандартных записей это ASCII-строка «FILE». Если в записи обнаружена ошибка, в качестве сигнатуры может использоваться строка «BAAD». Поле флагов указывает, используется ли запись и представляет ли она каталог. Состояние выделения записи MFT также можно определить по атрибуту $В1ТМАР в файле $MFT (см. главу 13).

Если атрибуты не помещаются в одной записи, для файла создаются несколько записей MFT. В этом случае первая запись называется базовой записью MFT, а ее адрес сохраняется в одном из фиксированных полей всех остальных записей.

В главе 13 представлена структура данных записи MFT с практическим анализом тестового образа файловой системы.

Концепции mft | Криминалистический анализ файловых систем | Адреса записей mft


Криминалистический анализ файловых систем



Новости за месяц

  • Март
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс