NTFS 10H属性头及属性体的分析
在图片中,偏移地址为:40002830~40002890。从图片中可以看到,我将10H的属性头标示上深红色。一共有24个字节,偏移 2838H~283BH 4个字节为属性类型,当前属性类型为10 00 00 00。即10H类型、偏移 2838CH~2838FH 4个字节为属性头及属性体的长度, 当前为 60 00 00 00。转换为十进制后为96,说明当前属性头和属性体一共由96个字节组成。
偏移 28400 该字节用来表示 属性类型。00表示常驻,01H表示非常驻、
偏移 28401H 该字节表示 属性名长度,当前为00。表示没有属性名、
偏移 2842H~2843H该字节用来表示 属性名的开始偏移。当前字节为:18 00H、
偏移 2844H~2845H 该字节表示文件类型,00 01H 表示压缩属性。40 00H 表示加密属性。
80 00H 表示稀疏属性,NTFS文件系统存在两种压缩属性类型。正确的定义应该是 稀疏文件、
当前数值为 00 00 为正常文件,没有经过压缩或加密。
偏移 2846H~2847H 该字节表示 属性ID。
偏移 2848H~284BH 该字节用来表示 属性体的长度,当前值为 48 00 00 00H。转换为十进制为72,说明属性体本身占用72字节。
偏移 284CH~284DH 该字节用来表示 属性体的开始偏移。当前值为 18 00H,和前面的属性名开始偏移吻合。
偏移 284EH 该字节表示 索引标志。
偏移 284FH 该字节 未知,有哪位前辈知道的请指导下。
偏移 2850~2897H 为属性体,共占用 72字节。
系统规定要1个小时后才可以上传图片到相册,我怕没时间等。只能先将图片当成附件发,凑合着用 - -
有关10H属性类型的资料,论坛有。不清楚的可以找找看、
30H属性 40H属性 50H属性 60H属性 70H...80H...90H...A0H...B0H...C0H...D0H...E0H...这些属性分析下次再发上来。
这些帖子都是给新手看的,前辈们勿喷!即使论坛已经有了相关的帖子,内容绝对不一样 = =。
以上内容只供参考……
如果还是没人顶,我以后不发论坛了。每次都是这样,只来了几个人 新手进来学习,没想到还是SF 新手 学习了...早上好 感謝樓主的分享..頂帖喔.. 我支持下 !!!!!!!!!!!! 谢谢分享,支持楼主! 支持楼主,学习一下。 这图片上面的水印好多啊 很有深度啊,支持,谢谢 着重讲下日志文件顶一个