元文件$Bitmap分析 | 数据恢复迷
$Bitmap元文件用来管理卷上簇的使用情况。它的数据流由一系列的位构成,每一位代表一个LCN。低位代表了前面的簇,高位代表了后面的簇,其数据流的第一个字节的第0位代表了卷的0号簇的使用情况,1位代表了卷中1号簇的使用情况,2位代表了卷中2号簇的使用情况,以此类推。当该位为1表示其对应的簇已经分配给文件使用了。
元文件$Bitmap一般由3个属性构成,如图4-457所示。
图4-457 $Bitmap的文件记录
(1)10H属性
10H属性定义了$Bitmap创建时间、最后修改时间、该MFT修改时间、文件最后访问时间、文件标志等信息。
(2)30H属性
30H属性定义了$Bitmap的父目录的文件参考号为根目录、$Bitmap的一些时间属性、系统分配给$Bitmap的大小(这里为76000H字节)及实际使用的大小(这里为753C8H字节);定义了文件的标志为06H,表示其为隐藏、系统文件;定义了该文件的文件名长度为7个字符、命名空间为3,即Win32 & DOS命名空间;在属性的最后定义了该文件的文件名为Unicode字符串“$Bitmap”。
(3)80H属性
80H属性定义了位图文件数据的数据流在卷中的位置,再次定义了系统分配给该属性的大小和实际使用的大小。在本例中$Bitmap其起始VCN号为0,最后的VCN号为75H,起始LCN为4015H簇,总共占用了76H个簇。
赞 (0)