我知道 NTFS 支持 ADS,这意味着多个数据流,而每个数据流都有不同的名称。但是,我目前正在尝试解析我的卷,并且特定的 MFT 记录拥有 3 个 未命名、唯一(大小和数据运行不同)数据流。 该文件填充了 256mb 的“~”(单个字符),所有数据流都在相关的 MFT 记录中找到,这些记录是收集到的属性列表属性。在正常的“流”中,我会解析所需流的数据运行,并从所需的偏移量中读取所需的长度。我应该如何处理这种情况? (== 读取文件内容)
【问题讨论】:
每个备用数据流 (ADS) 都应该有一个唯一的名称。你有几个$DATA 类型的属性是对的,但它应该有不同的名称。例如。如果某个文件 multiple.txt 具有名称为 overhere 的 ADS,它应该具有以下 $DATA 属性。来自here的样本:
Type: $DATA (128-1) Name: $Data Resident size: 15
Type: $DATA (128-5) Name: overhere Resident size: 26
128-1的全称是multiple.txt,128-5的全称是multiple.txt:overhere
其他未命名的属性通常是:
Type: $STANDARD_INFORMATION (16-0) Name: N/A Resident size: 72
Type: $FILE_NAME (48-2) Name: N/A Resident size: 90
Type: $OBJECT_ID (64-3) Name: N/A Resident size: 16
为您的 MFT 记录尝试 istat Sleuthkit 实用程序:
istat -f ntfs <SourceName> <ID>
使用other tools from collection,您将能够复制这些数据流的内容。
它是开源的,因此您可以查看NTFS 实现的详细信息,并研究如何从$DATA 检索数据。
【讨论】: