本文解析了属性头中10H类型的标准信息属性,包括其长度、常驻属性标志、属性名、压缩加密标志、ID、属性体长度及其偏移,帮助理解属性组织方式。
|
0 |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
A |
B |
C |
D |
E |
F | |
|
0 |
10 |
00 |
00 |
00 |
48 |
00 |
00 |
00 | ||||||||
|
属性类型10、30等 |
包括属性头在内本属性的长度 | |||||||||||||||
|
1 |
00 |
00 |
18 |
00 |
00 |
00 |
00 |
00 |
30 |
00 |
00 |
00 |
18 |
00 |
00 |
00 |
|
是否为常驻属性 |
属性名长度 |
属性名的开始偏移 |
压缩加密稀疏标志 |
属性ID |
属性体的长度 |
属性体开始的偏移 |
索引标志 |
无意义 | ||||||||
常驻没有属性名的属性头结构
08--0B四字节:为十六进制“10 00 00 00”,表示此属性是10H类型的属性,即$STANDARD---INFORMATION属性,称为标准信息属性:
0C---0F四字节:包括属性头在内的属性长度,这里为16进制48 00 00 00,也就是说该属性的总长度60H
10H为非常驻属性标志:“00”表示该属性为常驻属性,“10”类型的总是常驻属性,所以该字节总为00
11H为属性名长度,此处为16进制数“00”表示该属性没有属性名
12--13H为属性名开始的偏移,此处为16进制数“18 00”对于没有属性名的属性,该值毫无意义
14--15两个字节为属性标志,表示此属性是否压缩、加密等,为00 00H表示不是压缩、加密属性,只有非常住的80H属性(数据属性)此处才可能非00 00H
16--17为属性ID,此处为16进制值“00 00”
18--1B为属性体长度,此处为16进制数“48 00 00 00”也就是说属性体长度为48H
1C--1D为该属性体开始的偏移,此处为16进制数“18 00”,表示属性体开始的偏移为18H也就是属性头的长度:
1E为索引标志此处为“00”
1F没有实际意义,此处为00
|
0 |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
A |
B |
C |
D |
E |
F | |
|
0 |
10 |
00 |
00 |
00 |
48 |
00 |
00 |
00 | ||||||||
|
属性类型10、30等 |
包括属性头在内本属性的长度 | |||||||||||||||
|
1 |
00 |
00 |
18 |
00 |
00 |
00 |
00 |
00 |
30 |
00 |
00 |
00 |
18 |
00 |
00 |
00 |
|
是否为常驻属性 |
属性名长度 |
属性名的开始偏移 |
压缩加密稀疏标志 |
属性ID |
属性体的长度 |
属性体开始的偏移 |
索引标志 |
无意义 | ||||||||
扫一扫
1412
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
