元文件$Quota分析 | 数据恢复迷
$Quota文件最初出现在Window NT中,但没有被使用,到了Windows 2000及其后续版本$Quota文件用于跟踪磁盘配额,以用户和卷来进行计算。该文件一般包含4个属性,如图4-464所示。
图4-464 $Quota的文件记录
(1)10H属性
10H属性用来定义$Quota的创建时间、最后修改时间、该MFT修改时间、文件最后访问时间、文件标志等信息。
(2)30H属性
30H属性记录文件名等信息,该文件名为“$Quota”。
(3)第一个90H属性
第一个90H属性的属性名为“$O”,注意不要和元文件$ObjId中的同名称的索引相混淆。$Quota中的“$O”索引含义见表4-86。
表4-86 $Quota的$O索引
(4)第二个90H属性
第二个90H属性的属性名为“$Q”。文件所有者ID存储在文件的标准信息属性中,可以通过查找$O中的所有者ID获得到安全ID,也可以通过查找$Q索引中的所有者ID,来得到有关磁盘配额信息。$Quota中的“$Q”索引含义见表4-87。
表4-87 $Quota的$Q索引
赞 (0)