欢迎来到天天文库
浏览记录
ID:51618872
大小:1.11 MB
页数:13页
时间:2020-03-26
《p115:常用属性介绍 p115:常用属性介绍常用属性介绍.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、常用属性介绍一、10H属性四标准信息属性的类型值为10H,总是常驻属性,它包含一个文件或目录的基本元数据,如时间、所有权和安全信息。所有文件和目录部必须有这个属性,因为该属性中包含有加强数据安全和磁盘配额方面的数据信息。每个文件或目录的第一个属性便是这个标准属性,因为它的类型值在所有类型值中是最低的。10H属性头共48H个字节,结构如表4-8所示:偏移大小含义~~属性头00H8B文件建立时间,用64位来表示日期和时间,用Windows的时间API函数取得08H8B文件最后修改时间10H8BMFT修改时间18H8B文件最后访问时间20H4B传统文件
2、属性24H4B最大版本数,为0则表示没有版本28H4B版本数,如果偏移24H处为0则此处也为02CH4B分类ID(一个双向的类索引)30H4B所有者ID,Windows2000以后才有,用于访问磁盘配额$Quota中索引关键字34H4B安全ID,Windows2000以后才有,用于访问安全元文件$Secure中索引关键字38H8B配额管理,Windows2000以后才有,配额占用情况,为0表示未使用配额40H8B更新序列号,Windows2000以后才有,是进入元数据文件$UsnJrnl的索引关键字表4-8标准信息属性偏移20H处的传统文件属性值
3、按位分别代表不同的含义,有些值可以叠加,如表4-9所示:标志值含义0x0001只读0x0002隐含0x0004系统0x0020档案0x0040设备0x0080常规0x0100临时0x0200稀疏0x0400重解析点0x0800压缩0x1000脱机0x4000加密0x10000000目录0x20000000索引视图表4-9传统文件属性二、20H属性四属性列表的类型值为20H,正常情况下,每个文件只占一条文件记录项,如果一个记录项装不下,就需要分配额外的记录项,20H属性包括一系列不同长度的记录,用于描述其他属性的类型和位置。有几种情况可能会需要20
4、H属性:文件有很多硬链接(多个文件名);有很多运行碎片;或者有很多命名流(如数据流)。20H属性结构如表4-10所示。四偏移大小含义~~属性头00H4B属性类型04H2B记录长度06H1B属性名长度(字符个数),为0则表示没有属性名07H1B属性名的偏移(如果没有属性名,则指向属性内容)08H8B起始VCN(属性是常驻时总为0)10H8B属性在扩展文件记录的索引号(参考MFT头中的索引号字段,偏移20H)18H2B属性ID(似乎总为0)1AH~Unicode格式的属性名(如果有的话)表4-10属性列表结构三、30H属性四文件名属性的类型值为30H
5、,用于存储文件名,它总是常驻属性,可容纳255个Unicode字符的文件名长度。任何文件和目录在它的MFT项中都至少有一个文件名属性,每个文件名属性都有它自己的详细资料和父目录参考号,数据恢复人员可以通过这个信息来确定文件所在的路径位置。NTFS通过为一个文件创建多个文件名的方式实现了POSIX式的硬链接,当一个硬链接文件被删除时,就从MFT记录中删掉这个文件名,当最后一个硬链接也删除时,文件就真正的删除了。Windows记录文件名采用16位的Unicode字符编码,每个字符占2个字节空间,文件名必须符合某个特定的命名空间。NTFS针对不同的操作
6、系统提出了三种文件名命名空间,其字符集从大到小依次为:POSIX、WIN32、DOS。四POSIX是最大的文件命名空间,它支持的最大文件名长度为255,除空字符(0x00)和斜线“/”外,其他所有的Unicode字符都可以使用。在这个命名空间中,字母的大小写是敏感的,即ABC.txt与abc.txt表示两个不同名字的文件。Win32命名空间是POSIX命名空间的子集,它允许使用除“/”、“\”、“:”、“<”、“>”及“?”以外的所有Unicode字符,但不能以“.”或空格结束。DOS命名空间是Win32命名空间的子集,只使用大写字母,使用
7、8.3格式文件名,即文件的名字部分最长不超过8个字符,扩展名部分最长不超过3个字符。在这个命名空间中,即使将一个文件命名为abc.txt,保存时也是保存为ABC.TXT,因此,在abc.txt存在的情况下,建立ABC.TXT文件会被判定为文件名产生同名而不允许使用。Win32&DOS命名空间是指文件拥有一个标准的DOS命名空间文件名,不需要两个文件名。如果在给一个文件命名的时候使用了非DOS命名空间,Windows会强制为它建立一个8.3DOS格式文件名,这时候该文件就有两个文件名。总体来讲,文件名属性中有很多属性值是在标准属性中已经描述过的,
8、所不同的是它含有文件名及可以用来确定文件完整路径的父目录参考号,30H属性的结构如表4-11所示。四偏移大小含义~~属性头00H8B父目
此文档下载收益归作者所有