Глава 7. Файловая система NTFS

Содержание

Глава 7. Файловая система NTFS
Структуры на диске
$Boot
Индекс
Массивы адресных записей
Время в NTFS
Главная файловая таблица (MFT)
Структура записи MFT
Заголовок записи MFT
Атрибуты просмотра
$STANDARD_INFORMATION (0x10)
$ATTRIBUTE_LIST (0x20)
$FILENAME (0x30)
$OBJECT_ID (0x40)
$SECURITY_DESCRIPTOR (0x50)
$VOLUME_NAME (0x60)
$VOLUME_INFORMATION (0x70)
$DATA (0x80)
$INDEX_ROOT (0x90)
$INDEX_ALLOCATION (0xA0)
$BITMAP (0xB0)
$REPARSE_POINT (0xC0)
$EA_INFORMATION (0xD0) и $EA (0xE0)
Анализ NTFS
Создание файловых систем NTFS
Поддерживаемые файлы образов NTFS
Анализ NTFS вручную
Обработка $Boot
Восстановление $MFT
Обработка каталогов
Восстановление метаданных файла
Восстановление содержимого файла
Расширенный анализ NTFS
Последующие сведения файловой системы
Удалённые файлы
Фрагментированные файлы
Альтернативные потоки данных
Большие записи MFT
Выводы
Упражнения
Библиография

Структуры на диске

$Boot

Индекс

Массивы адресных записей

Время в NTFS

Главная файловая таблица (MFT)

Структура записи MFT

Заголовок записи MFT

Атрибуты просмотра

$STANDARD_INFORMATION (0x10)

$ATTRIBUTE_LIST (0x20)

$FILENAME (0x30)

$OBJECT_ID (0x40)

$SECURITY_DESCRIPTOR (0x50)

$VOLUME_NAME (0x60)

$VOLUME_INFORMATION (0x70)

$DATA (0x80)

$INDEX_ROOT (0x90)

$INDEX_ALLOCATION (0xA0)

$BITMAP (0xB0)

$REPARSE_POINT (0xC0)

$EA_INFORMATION (0xD0) и $EA (0xE0)

Анализ NTFS

Создание файловых систем NTFS

Поддерживаемые файлы образов NTFS

Анализ NTFS вручную

Обработка $Boot

Восстановление $MFT

Обработка каталогов

Восстановление метаданных файла

Восстановление содержимого файла

Расширенный анализ NTFS

Последующие сведения файловой системы

Удалённые файлы

Фрагментированные файлы

Альтернативные потоки данных

Большие записи MFT

Выводы

Упражнения

Библиография