数据恢复技术常用属性介绍

教学方法与学做合一相适应 ◆ 教学评价与职业要求相适应
教学目标与行业要求相适应
◆
教学内容与就业创业相适应
POSIX是最大的文件命名空间，它支持的最大文件名长度为255，除空字符 （0x00）和斜线“/”外，其他所有的Unicode字符都可以使用。在这个命名空间 中，字母的大小写是敏感的，即ABC.txt与abc.txt表示两个不同名字的文件。 Win32命名空间是POSIX命名空间的子集，它允许使用除“/”、“＼”、 “：”、“<”、“>”及“？”以外的所有Unicode字符，但不能以“.”或空格 结束。 DOS命名空间是Win32命名空间的子集，只使用大写字母，使用8.3格式文件名， 即文件的名字部分最长不超过8个字符，扩展名部分最长不超过3个字符。在这个 命名空间中，即使将一个文件命名为abc.txt，保存时也是保存为ABC.TXT，因此， 在abc.txt存在的情况下，建立ABC.TXT文件会被判定为文件名产生同名而不允许 使用。 Win32&DOS命名空间是指文件拥有一个标准的 DOS命名空间文件名，不需要两个 四 文件名。如果在给一个文件命名的时候使用了非DOS命名空间，Windows会强制为 它建立一个8.3 DOS格式文件名，这时候该文件就有两个文件名。 总体来讲，文件名属性中有很多属性值是在标准属性中已经描述过的，所不同的 是它含有文件名及可以用来确定文件完整路径的父目录参考号，30H属性的结构如 表4-11所示。
教学方法与学做合一相适应 ◆ 教学评价与职业要求相适应
教学目标与行业要求相适应
◆
教学内容与就业创业相适应
Βιβλιοθήκη Baidu
表4-8 标准信息属性
偏移 ～ 00H 08H 10H 18H 20H 24H 28H 大小 ～ 8B 8B 8B 8B 4B 4B 4B 含 义
属性头 文件建立时间，用64位来表示日期和时间，用Windows的时间API函数取得
教学方法与学做合一相适应 ◆ 教学评价与职业要求相适应
教学目标与行业要求相适应
◆
教学内容与就业创业相适应
四、任务总结
本次课主要给学习了:常用属性介绍
教学方法与学做合一相适应 ◆ 教学评价与职业要求相适应
教学方法与学做合一相适应 ◆ 教学评价与职业要求相适应
教学目标与行业要求相适应
◆
教学内容与就业创业相适应
下面来看一个实际的例子，如图4-5所示：
四
图4-5 文件名属性示例
教学方法与学做合一相适应 ◆ 教学评价与职业要求相适应
教学目标与行业要求相适应
◆
教学内容与就业创业相适应
如上图所示，该文件有两个30H属性，它们只是在文件 名部分不同，其他的属性内容都是一致的。该文件的父 目录参考号是5，$Root元文件的MFT编号正是5，因此这 个文件是在根目录下的文件。文件的传统属性为20H， 说明是普通档案文件。该文件有两个文件名，分别是 DOS和Win32长文件名。 Windows操作系统使用的编码是GB18030，是GBK的子集， 但MFT中记录文件名却是用的Unicode编码，因此在 Winhex中英文字母还能看懂，但汉字就显示为乱码了。 四 要知道真正的文件名，必须借助于转换工具，为此， Microsoft提供了一个编码转换器“gbunicnv.exe”， 可以从网上免费下载，另外，记事本程序在保存的时候 也可以选择编码，实现转码功能
四
起始VCN（属性是常驻时总为0）
属性在扩展文件记录的索引号（参考MFT头中的索引号字段，偏 移20H） 属性ID（似乎总为0） Unicode格式的属性名（如果有的话）
教学方法与学做合一相适应 ◆ 教学评价与职业要求相适应
教学目标与行业要求相适应
◆
教学内容与就业创业相适应
三、30H属性
文件名属性的类型值为30H，用于存储文件名，它总是常驻属性， 可容纳255个Unicode字符的文件名长度。任何文件和目录在它的 MFT项中都至少有一个文件名属性，每个文件名属性都有它自己的 详细资料和父目录参考号，数据恢复人员可以通过这个信息来确 定文件所在的路径位置。 NTFS通过为一个文件创建多个文件名的 方式实现了POSIX式的硬链接，当一个硬链接文件被删除时，就从 MFT记录中删掉这个文件名，当最后一个硬链接也删除时，文件就 真正的删除了。 Windows记录文件名采用16位的Unicode字符编码，每个字符占2个 字节空间，文件名必须符合某个特定的命名空间。 NTFS针对不同 四 的操作系统提出了三种文件名命名空间，其字符集从大到小依次 为：POSIX、WIN32、DOS。
常用属性介绍
教学目标与行业要求相适应
◆
教学内容与就业创业相适应
一、10H属性
标准信息属性的类型值为10H，总是常驻属性， 它包含一个文件或目录的基本元数据，如时间 、所有权和安全信息。所有文件和目录部必须 有这个属性，因为该属性中包含有加强数据安 全和磁盘配额方面的数据信息。每个文件或目 录的第一个属性便是这个标准属性，因为它的 类型值在所有类型值中是最低的。 10H属性头共 四 48H个字节，结构如表4-8所示：
安全ID，Windows 2000以后才有，用于访问安全元文件$Secure中索引关键字 配额管理，Windows 2000以后才有，配额占用情况，为0表示未使用配额 更新序列号，Windows 2000以后才有，是进入元数据文件$UsnJrnl的索引关 键字
40H
8B
教学方法与学做合一相适应 ◆ 教学评价与职业要求相适应
含义 属性头 父目录的文件参考号（MFT头的记录编号，偏移2CH） 文件创建时间 文件修改时间 MFT修改时间 文件最后访问时间 文件分配大小 文件实际大小 标志（传统文件属性） 四 （扩充属性）使用的空间，或$REPARSE_POINT（重解析点属 $EA 性）的类型 文件名长度（字符数L） 文件名命名空间 （0＝POSIX，1=WIN32，2=DOS，3=WIN32 & DOS） Unicode文件名
文件最后修改时间 MFT修改时间 文件最后访问时间 传统文件属性 最大版本数，为0则表示没有版本 版本数，如果偏移24H处为0则此处也为0 分类ID（一个双向的类索引）
2CH
30H 34H 38H
4B
4B 4B 8B
所有者ID，Windows 2000以后才有，用于访问磁盘配额$Quota中索引关键字
教学目标与行业要求相适应
◆
教学内容与就业创业相适应
偏移20H处的传统文件属性值按位分别代表不同的含义， 有些值可以叠加，如表4-9所示：
教学方法与学做合一相适应 ◆ 教学评价与职业要求相适应
教学目标与行业要求相适应
◆
教学内容与就业创业相适应
表4-9 传统文件属性
标志值 0x0001 0x0002 0x0004 0x0020 0x0040 0x0080 0x0100 0x0200 0x0400 0x0800 0x1000 0x4000 0x10000000 0x20000000
教学方法与学做合一相适应 ◆ 教学评价与职业要求相适应
教学目标与行业要求相适应
◆
教学内容与就业创业相适应
表4-10 属性列表结构
偏移 ～ 00H 04H 06H 07H 08H 10H 18H 1AH 大小 ～ 4B 2B 1B 1B 8B 8B 2B ～ 含义 属性头 属性类型 记录长度 属性名长度（字符个数），为0则表示没有属性名 属性名的偏移（如果没有属性名，则指向属性内容）
含义 只读 隐含 系统 档案 设备 常规 临时 稀疏 重解析点 压缩 脱机 加密 目录
索引视图
教学方法与学做合一相适应 ◆ 教学评价与职业要求相适应
教学目标与行业要求相适应
◆
教学内容与就业创业相适应
二、20H属性
属性列表的类型值为20H，正常情况下，每个文 件只占一条文件记录项，如果一个记录项装不 下，就需要分配额外的记录项，20H属性包括一 系列不同长度的记录，用于描述其他属性的类 型和位置。有几种情况可能会需要20H属性：文 件有很多硬链接（多个文件名）；有很多运行 碎片；或者有很多命名流（如数据流）。 20H属 四 性结构如表4-10所示。
教学方法与学做合一相适应 ◆ 教学评价与职业要求相适应
教学目标与行业要求相适应
◆
教学内容与就业创业相适应
表4-11 文件名属性结构
偏移 ～ 00H 08H 10H 18H 20H 28H 30H 38H
大小 ～ 8B 8B 8B 8B 8B 8B 8B 4B
3CH
40H 41H 42H
4B
1B 1B L×2