元文件$Quota分析 | 数据恢复迷

$Quota文件最初出现在Window NT中,但没有被使用,到了Windows 2000及其后续版本$Quota文件用于跟踪磁盘配额,以用户和卷来进行计算。该文件一般包含4个属性,如图4-464所示。

图4-464 $Quota的文件记录

(1)10H属性

10H属性用来定义$Quota的创建时间、最后修改时间、该MFT修改时间、文件最后访问时间、文件标志等信息。

(2)30H属性

30H属性记录文件名等信息,该文件名为“$Quota”。

(3)第一个90H属性

第一个90H属性的属性名为“$O”,注意不要和元文件$ObjId中的同名称的索引相混淆。$Quota中的“$O”索引含义见表4-86。

表4-86 $Quota的$O索引

(4)第二个90H属性

第二个90H属性的属性名为“$Q”。文件所有者ID存储在文件的标准信息属性中,可以通过查找$O中的所有者ID获得到安全ID,也可以通过查找$Q索引中的所有者ID,来得到有关磁盘配额信息。$Quota中的“$Q”索引含义见表4-87。

表4-87 $Quota的$Q索引

(0)

相关推荐

  • 强势更新 | 进化尺度上的基因保守区块挖掘

    写在前面 一年前,我看到课题组其他成员在整一个"进化保守区块"挖掘的工作.说实话,觉得....挺麻烦. 于是我写了一个工具,具体见推文<进化保守的基因区块-可视化挖掘> ...

  • ElasticSearch之CURL操作

    CURL的操作 curl是利用URL语法在命令行方式下工作的开源文件传输工具,使用curl可以简单实现常见的get/post请求.简单的认为是可以在命令行下面访问url的一个工具.在centos的默认 ...

  • 别再迷信VLOOKUP了!用这个技巧整理不规范数据源,领导站起来鼓掌!

    ★ 编按 ★ Hello各位小伙伴们~说到数据的行列转置,很多小伙伴可能会想到复制粘贴.Transpose函数或者VLOOKUP函数等方法.但是如果需要处理今天文中这样有点杂乱的数据,这些方法就有些吃 ...

  • NTFS的EFS加密分析 | 数据恢复迷

    NTFS文件系统能够支持EFS加密文件系统(Encrypted File System).EFS提供的文件加密技术可将加密的NTFS文件存储到磁盘上,并且特别考虑了其他操作系统上的现有工具引起的安全性 ...

  • 元文件$UsnJrnl分析 | 数据恢复迷

    元文件$UsnJrnl是变更日志文件,作用是记录文件发生的改变,文件一旦改变,其变化会记录在元文件$UsnJrnl中一个被命名为$J的数据属性中.$J数据属性具备稀疏属性,由变更日志项组成.$UsnJ ...

  • 元文件$Reparse分析 | 数据恢复迷

    $Reparse是重解析点文件,Windows 2003.Windows XP等系统可以将卷装载在目录中进行重新解析.$Reparse一般包含3个属性,如图4-465所示. 图4-465 $Repar ...

  • 元文件$ObjId分析 | 数据恢复迷

    卷中的每个文件都有一个唯一的ID号,$ObjId存放着该卷上使用的所有$Object_ID属性的一个索引.$ObjId一般有4个属性,如图4-463所示. 图4-463 $ObjId的文件记录 (1) ...

  • 元文件$Extend分析 | 数据恢复迷

    $Extend文件是一个包含$ObjId.$Quota.$Reparse和$UsnJrnl四个元文件的目录. $Extend文件一般包含3个属性,如图4-462所示. 图4-462 $Extend的文 ...

  • 元文件$UpCase分析 | 数据恢复迷

    $UpCase是一个完整的大写字母组成的128KB大小的文件.Unicode字母表中的每一个字符,在这个文件中都有一个对应的条目,用于比较和对文件名进行排序. $UpCase一般有3个属性,如图4-4 ...

  • 元文件$Secure分析 | 数据恢复迷

    在最初的NTFS版本中,每个文件都有一个$SECURITY_DESCRIPTOR(安全描述符)属性,即50H属性.由于大多数文件的安全描述符都是一样的,因此,检查每一个文件的访问权限将会导致效率低下. ...

  • 元文件$BadClus分析 | 数据恢复迷

    $BadClus元文件用于记录卷上的所有坏簇,它是一个稀疏文件,只有指向坏簇的数据流,应用程序不可访问该文件.$BadClus一般由4个属性构成,如图4-459所示. 图4-459 $BadClus的 ...

  • 元文件$Bitmap分析 | 数据恢复迷

    $Bitmap元文件用来管理卷上簇的使用情况.它的数据流由一系列的位构成,每一位代表一个LCN.低位代表了前面的簇,高位代表了后面的簇,其数据流的第一个字节的第0位代表了卷的0号簇的使用情况,1位代表 ...