元文件$Volume分析 | 数据恢复迷
$Volume的文件记录号是03H,这是一个描述卷信息的元文件,它是唯一一个包含有卷名(60H类型属性)和卷信息(70H类型属性)这两种属性的元文件。
$Volume一般由7个属性构成,如图4-450所示。
图4-450 $Volume的文件记录
(1)10H属性
10H属性定义了$Volume创建时间、最后修改时间、该MFT修改时间、文件最后访问时间、文件标志等信息,如图4-451所示。
图4-451 $Volume文件10H属性的参数模板
(2)30H属性
30H属性定义了$Volume的父目录的文件参考号为根目录;定义了系统分配给$Volume的大小(一般为0)、实际使用的大小(一般为0);并再次定义了文件的标志为06H,表示其为隐藏、系统文件;定义了文件名的长度为7个字符、命名空间为3,也即Win32 & DOS;在属性的最后定义了该文件的文件名为Unicode字符串“$Volume”。其模板如图4-452所示。
图4-452 $Volume文件30H属性的参数模板
(3)40H属性
40H属性定义了$Volume的全局对象ID,即指派给该文件的一个唯一的ID号,这里为十六进制数“F6 A8 B3 51 05 9E 52 4B 80 6C FD E4 4A 99 67 79”。
(4)50H属性
50H属性定义了卷的安全信息。
(5)60H属性
60H属性定义了卷的卷标,这是$Volume文件特有的属性,这个属性只是简单的包含卷的名称,以00H表示结束,其卷标为Unicode字符串“Win2003”。
(6)70H属性
70H属性定义了该卷的版本和状态,其属性长为12字节,后面的4字节无意义,同样它只有在元文件$Volume中才有。在该属性中可知卷的主版本号是3,次版本号为1,则表示该系统是Windows XP以上版本。70H类型属性的标志字节为16进制“00 00”,它表示该卷不需要进行修复坏区、调整日志文件大小、更新装载、装载到NT4、删除进行中的USN、修复Ids和用chkdsk修正卷等操作。
(7)80H属性
80H属性是数据属性,但元文件$Volume没有数据流,所以该属性没有属性体。