Я работал над получением информации о файле из MFT. Я вижу, что запись MFT имеет информацию относительно стандартной информации, имен файлов, данных и некоторых других атрибутов. Я попытался проанализировать запись MFT, чтобы получить все детали, которые она содержит. Я могу получить имя файла, данные (включая данные для альтернативных потоков) для всех файлов, но мне не удалось получить имена файлов для названных альтернативных потоков данных. Для тестирования я создал файл с двумя именованными альтернативными потоками, содержащими данные. Когда я проанализировал MFT-запись, соответствующую файлу, я не смог определить альтернативные имена потоков. Означает ли это, что имена альтернативных потоков не хранятся в MFT? Тогда как некоторые утилиты, такие как stream.exe, идентифицируют имена альтернативных потоков?
1 ответ
0
Нет атрибутов имени файла, связанных с альтернативным потоком данных. Вот почему альтернативный поток данных также иногда называют именованным потоком данных. Для обычно ожидаемого единственного потока данных для файла, такого как ваш текстовый документ, вам не нужно имя для потока, потому что другие атрибуты $ MFT содержат эти детали. Поскольку альтернативный поток данных "соединяется" с этим файлом как второй поток данных, он не может иметь эти атрибуты, поэтому имя потока является первым разделом этого потока.
http://blogs.technet.com/b/askcore/archive/2013/03/24/alternate-data-streams-in-ntfs.aspx