MFT的标准属性也就是0x10属性,它是一个常驻属性。因为标准属性的类型值是0x10,所以标准属性总是文件或目录的第一个属性。
这个标准属性包含时间日期属性,分为创建时间、修改时间、MFT改变时间和文件最后访问时间。这个标准属性还可以表示文件是否只读,是否为系统文件、压缩或加密等属性。下表是标准属性体的数据结构
| 偏移字节(16进制) | 描述 |
| 00-07 | 创建时间 |
| 08-0F | 最后修改时间 |
| 10-17 | MFT改变时间 |
| 18-1F | 文件最后访问时间 |
| 20-23 | 标志 0x01:只读;0x02:隐藏;0x04:系统; 0x20:存档;0x40:设备;0x80:常规; 0x100:临时;0x200:稀疏;0x400:重解析点; 0x800:压缩;0x1000:脱机;0x4000:加密 |
| 24-27 | 最高版本号 |
| 28-2B | 版本号 |
| 2C-2F | 分类ID |
| 30-47 | 无意义 |
下图是winhex中的MFT看到的标准属性
可以看到标准属性是个常驻属性,其属性头的数据结构在前面几章有讲。
属性头部分
0x00-0x03 10 00 00 00:属性类型是0x10说明是个标准属性
0x04-0x07 60 00 00 00:说明这个标准属性有0x60个字节 也就是90个字节
0x08-0x08 00:00表示这个属性是个常驻属性
0x09-0x09 00:表示属性名长度为0,也就说明没有属性名
0x0A-0x0B 18 00:表示属性属性名长度,由于之前已经知道没有属性名,所以这个字节无意义。
0x0C-0x0D 00 00 :表示没有特殊的属性
0x0E-0x0F 00 00 :属性ID
0x10-0x13 48 00 00 00:表示属性体的大小是0x48字节
0x14-0x15 18 00:表示属性头大小是0x18字节
下面是属性体的部分,从0x18偏移开始
0x18-0x1F:49 BF 89 CE 15 74 D1 01 文件创建时间
0x20-0x27:49 BF 89 CE 15 74 D1 01 最后修改时间
0x28-0x2F:49 BF 89 CE 15 74 D1 01 MFT改变时间
0x30-0x37:49 BF 89 CE 15 74 D1 01 最后访问时间
0x38-0x3B:06 00 00 00 标志
0x3C-3F:00 00 00 00 最高版本号
0x40-0x43:00 00 00 00 版本号
0x44-0x47:00 00 00 00 分类ID
转载于:https://blog.51cto.com/shujvhuifu/1819515
扫一扫
728
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
