元文件$ObjId分析 | 数据恢复迷
卷中的每个文件都有一个唯一的ID号,$ObjId存放着该卷上使用的所有$Object_ID属性的一个索引。$ObjId一般有4个属性,如图4-463所示。
图4-463 $ObjId的文件记录
(1)10H属性
10H属性用来定义$ObjId的创建时间、最后修改时间、该MFT修改时间、文件最后访问时间、文件标志等信息。
(2)30H属性
30H属性定义了$ObjId的父目录的文件参考号为$Extend、$ObjId的一些时间属性、系统分配给$ObjId的大小(这里为0字节)、实际使用的大小(这里也是0字节)、文件的标志(这里为20000026H,即索引视图、存档、系统、隐藏文件);定义了该文件名的文件名长度为6个字符、命名空间为3,即Win32 & DOS命名空间;在属性的最后定义了该文件的文件名为Unicode字符串“$ObjId”。
(3)90H属性
90H属性的属性名为“$ O”(关于索引类型的描述见表4-69)。$O是对象ID的索引,不要与元文件$Quota中的同样名称的索引相混淆。$O用GUID存储,这种规则与索引根不一样。一个文件中有GUID的对象ID可在这里找到,索引数据提供了一个返回到文件的MFT参考号。$O索引的结构见表4-85。
表4-85 $O索引
(4)A0H属性
A0H属性也是$O索引,但是和90H属性不同,它是非常驻属性,其索引项在属性的数据流中存储。
(5)B0H属性
只要有A0H属性的地方其后必然会有B0H类型属性,该属性用来描述其索引的VCN使用情况。
赞 (0)