元文件$UsnJrnl分析 | 数据恢复迷
元文件$UsnJrnl是变更日志文件,作用是记录文件发生的改变,文件一旦改变,其变化会记录在元文件$UsnJrnl中一个被命名为$J的数据属性中。$J数据属性具备稀疏属性,由变更日志项组成。$UsnJrnl中还有一个被命名为$Max的数据属性,用来记录有关用户日志的最大设置信息等参数。$UsnJrnl文件中$J数据属性的变更日志项结构见表4-89。
表4-89 $J数据属性的变更日志项结构
其中“变更类型标志值”的取值见表4-90。
表4-90 变更类型标志值的含义
| 标志值 | 描述 | 标志值 | 描述 |
| 0x00000001 | 默认数据属性被覆写 | 0x00002000 | 变更日志项使用了新的命名 |
| 0x00000002 | 默认数据属性被扩充 | 0x00004000 | 内容索引状态发生改变 |
| 0x00000004 | 默认数据属性被从头覆写 | 0x00008000 | 基本文件或目录属性发生改变 |
| 0x00000010 | 命名数据属性被覆写 | 0x0001000 | 硬连接被新建或删除 |
| 0x00000020 | 命名数据属性被扩充 | 0x00020000 | 压缩状态发生改变 |
| 0x00000040 | 命名数据属性被从头覆写 | 0x00040000 | 加密状态发生改变 |
| 0x00000100 | 文件或目录被创建 | 0x00080000 | 对象ID发生改变 |
| 0x00000200 | 文件或目录被删除 | 0x00100000 | 重解析点值发生改变 |
| 0x00000400 | 文件的扩展属性被改变 | 0x00200000 | 命名数据属性被创建、删除或修改 |
| 0x00000800 | 安全描述符被改变 | 0x80000000 | 文件或目录已关闭 |
| 0x00001000 | 变更日志项使用了原有命名 |
被命名为$Max的数据属性中包含基本的变更日志管理信息,具体结构见表4-91。
赞 (0)