Informações da MFT para nomes de fluxo de dados alternativos

Navegue suas respostas
1

Eu tenho trabalhado na recuperação de informações de arquivos da MFT. Eu vejo que o registro MFT tem informações sobre informações padrão, nomes de arquivos, dados e alguns outros atributos. Eu tentei analisar o registro MFT para obter todos os detalhes que ele contém. Eu sou capaz de obter o nome do arquivo, dados (incluindo dados para fluxos alternativos) para todos os arquivos, mas eu não era capaz de obter os nomes de arquivos para os fluxos de dados alternativos nomeados. Para fins de teste, criei um arquivo com dois fluxos alternativos nomeados contendo dados. Quando analisei o registro da MFT correspondente ao arquivo, não consegui identificar os nomes dos fluxos alternativos. Isso significa que os nomes dos fluxos alternativos não são armazenados na MFT? Então, como alguns utilitários, como o stream.exe, identificam os nomes dos fluxos alternativos?

    
por user3226732 06.08.2014 / 08:13

1 resposta

0

Não há atributos de nome de arquivo associados a um fluxo de dados alternativo. É por isso que um fluxo de dados alternativo também é, às vezes, chamado de fluxo de dados nomeado. Para o fluxo de dados único esperado normalmente para um arquivo, como seu documento do Word, você não precisa de um nome para o fluxo porque os outros atributos do $ MFT têm esses detalhes. Como o fluxo de dados alternativo "piggybacks" nesse arquivo como um segundo fluxo de dados, ele não pode ter esses atributos, portanto, o nome do fluxo é a primeira seção desse fluxo.

link

    
por 13.04.2015 / 18:31

Tags

Como faço para pesquisar texto em páginas armazenadas no Firefox? [fechadas] vazamento de memória PageTable Windows 8.1