2015-08-21
1096
Нам известно о существовании 14 атрибутов файла различного типа. Типы атрибута обозначается числами. Ниже мы перечислили атрибуты известных нам типов с кратким описанием хранящейся в них информации.
| Тип | Имя | Описание |
| 0x10 | $STANDARD_INFORMATION | Стандартный атрибут. Здесь хранится дата и время создания и последнего изменения файла, дата и время последнего доступа к файлу, флаги доступа к файлу, а также дата и время изменения записи MFT, соответствующей данному файлу |
| 0x20 | $ATTRIBUTE_LIST | Список атрибутов. Если помимо базовой записи MFT для файла создаются расширенные записи, в этом атрибуте перечисляются все атрибуты файла. Кроме того, здесь хранится информация о распределении этих атрибутов по записям MFT (по базовой записи и по расширенным записям данного файла). |
| 0x30 | $FILE_NAME | Имя файла или каталога. В этом атрибуте хранится имя файла или каталога, набор флагов доступа, размер файла, а также ссылка на запись MFT каталога, в котором хранится данный файл или каталог. |
| 0x40 | $VOLUME_VERSION | Версия NTFS для данного раздела. |
| 0x50 | $SECURITY_DESCRIPTOR | Дескриптор разграничения доступа. |
| 0x60 | $VOLUME_NAME | Имя тома. Это имя задается при форматировании раздела и может быть изменено пользователем. |
| 0x70 | $VOLUME_INFORMATION | Состояние тома. Здесь хранится версия драйвера, с помощью которого был создан данный раздел, а также флаг программы CHKDSK. Если этот флаг установлен, то при очередной перезагрузке операционной системы программа CHKDSK выполнит проверку данного раздела. |
| 0x80 | $DATA | Атрибут данных. Этот атрибут может содержать либо данные файла (если размеры файла не превышают размеры записи MFT), либо список номеров кластеров, в которых располагается файл (список экстентов файла). |
| 0x90 | $INDEX_ROOT | Корневая вершина дерева типа B+, с применением которого в NTFS реализована система каталогов. |
| 0xA0 | $INDEX_ALLOCATION | Узлы ветвей дерева типа B+, с применением которого в NTFS реализована система каталогов. |
| 0xB0 | $BITMAP | Набор бит, описывающих использование отдельных записей MFT или узлов дерева каталогов. |
| 0xC0 | $SYMBOLIC_LINK | Информация Reparse Point, используется в Microsoft Windows 2000 |
| 0xD0 | $EA_INFORMATION | Информация о расширенных атрибутах файловой системы HPFS. Используется для обеспечения совместимости NTFS с файловой системой HPFS, применяемой в IBM OS/2. |
| 0xE0 | $EA | Данные расширенных атрибутов файловой системы HPFS. |
Для раскручивания цепочки атрибутов необходимо знать размер атрибута, смещение для первого атрибута а также уметь определить конец цепочки.
Точное смещение начала списка атрибутов хранится в слове заголовка записи MFT со смещением 0x14.
Каждый атрибут имеет свой заголовок, что первые четыре байта заголовка атрибута хранят его тип, а вторые - размер в байтах. Прибавляя к смещению атрибута его размер можно попасть на следующий атрибут, и так до тех пор, пока тип атрибута не станет равным FFFFFFFF, что означает конец цепочки.
