NTFSは複数のデータストリームを意味するADSをサポートしていますが、それぞれが異なる名前を持っています。しかし、私は現在ボリュームを解析しようとしています。特定のMFTレコードは、のユニークな(サイズとデータが異なる)データストリームという名前の3 を所有しています。 ファイルは256MBの "〜"(1文字)で埋められ、すべてのデータストリームは属性リスト属性で収集された関連するMFTレコードに見つかりました。通常の「フロー」では、目的のストリームのデータランを解析し、目的のオフセットから目的の長さを読み取ります。この状況にどうやって対処しなければなりませんか? (==ファイルの内容を読む)
各代替データストリーム(ADS)には一意の名前が必要です。タイプが$DATAのいくつかの属性がありますが、名前が異なる必要があります。例えば。 multiple.txtのファイルに、という名前のADSがある場合は、の次の$DATA属性を持つ必要があります。 hereからサンプル:
Type: $DATA (128-1) Name: $Data Resident size: 15
Type: $DATA (128-5) Name: overhere Resident size: 26
128-1のフルネームはmultiple.txtで、128から5のフルネームはmultiple.txtです:
他の無名の属性をoverhere通常、次のとおりです。
Type: $STANDARD_INFORMATION (16-0) Name: N/A Resident size: 72
Type: $FILE_NAME (48-2) Name: N/A Resident size: 90
Type: $OBJECT_ID (64-3) Name: N/A Resident size: 16
あなたのMFTレコードのistat Sleuthkitユーティリティを試してみてください。
istat -f ntfs <SourceName> <ID>
other tools from collectionを使用すると、これらのデータストリームのコンテンツをコピーすることができます。
オープンソースなので、NTFSの実装の詳細を確認し、$DATAからデータを取得した方法を調べることができます。