元文件$Extend分析 | 数据恢复迷
$Extend文件是一个包含$ObjId、$Quota、$Reparse和$UsnJrnl四个元文件的目录。
$Extend文件一般包含3个属性,如图4-462所示。
图4-462 $Extend的文件记录
(1)10H属性
10H属性用来定义$Extend的创建时间、最后修改时间、该MFT修改时间、文件最后访问时间、文件标志等信息。
(2)30H属性
30H属性定义了$Extend的父目录的文件参考号为根目录、$Extend的一些时间属性、系统分配给$Extend的大小;定义了文件的标志为06000010H,即目录、系统、隐藏文件;定义了该文件名的长度为7个字符,命名空间为3,即Win32 & DOS命名空间;在属性的最后定义了该文件的文件名为Unicode字符串“$Extend”。
(3)90H属性
90H属性定义了该文件是一个普通目录,包含了$ObjId、$Quota、$Reparse和$UsnJrnl四个元文件的索引。90H属性是常驻属性,所以属性体就在该属性中。因为只有四个文件的索引位于该目录下,所以就不需要索引分配和位图属性,而只需要一个包含四个索引的索引根属性(90H属性)就可以了。
赞 (0)