Восстановление данных. Практическое руководство, стр. 43

Практический пример

Рассказ о файловой системе NTFS был бы неполным без практической иллюстрации техники разбора файловой записи вручную. До сих пор мы витали в облаках теоретической абстракции. Пора спускаться на грешную землю.

Воспользовавшись любым дисковым редактором, например, Disk Probe, попробуем декодировать одну файловую запись вручную. Найдем сектор, содержащий сигнатуру

в его начале (не обязательно брать первый встретившийся сектор). Он может выглядеть, например, как в листинге 6.4.

Листинг 6.4. Ручное декодирование файловой записи (разные атрибуты выделены разным цветом)

Первым делом необходимо восстановить оригинальное содержимое последовательности обновления. По смещению

от начала сектора лежит 16-разрядный указатель на нее, равный в данном случае (значит, это NTFS 3.0 или более ранняя версия). А что у нас лежит по смещению ? Это — пара байт . Данная последовательность представляет собой номер последовательности обновления. Сверяем его с содержимым двух последних байт этого и следующего секторов (смещения и соответственно). Они равны! Следовательно, данная файловая запись цела (по крайней мере, на первый взгляд), и можно переходить к операции ее восстановления. По смещению расположен массив, содержащий оригинальные значения последовательности обновления. Количество элементов в нем равно содержимому 16-разрядного поля, расположенному по смещению от начала сектора и уменьшенного на единицу (в данном случае имеем ). Извлекаем два слова, начиная со смещения (в данном случае они равны и ) и записываем их в конец первого и последнего секторов.

Теперь нам необходимо выяснить, используется ли данная файловая запись, или же ассоциированный с ней файл или каталог был удален. 16-разрядное поле, расположенное по смещению

, содержит значение . Следовательно, перед нами файл, а не каталог, и этот файл еще не удален. Но является ли эта файловая запись базовой для данного файла или мы имеем дело с ее продолжением? 64-разрядное поле, расположенное по смещению , равно нулю, следовательно, данная файловая запись — базовая.

Очень хорошо, теперь переходим к исследованию атрибутов. 16-разрядное поле, находящееся по смещению

, равно , следовательно, заголовок первого атрибута начинается со смещения от начала сектора.

Первое двойное слово атрибута равно

, значит, перед нами атрибут типа . 32-разрядное поле длины атрибута, находящееся по смещению и равное в нашем случае байт, позволяет нам вычислить смещение следующего атрибута в списке: (смещение нашего атрибута) (его длина) (смещение следующего атрибута). Первое двойное слово следующего атрибута равно , значит, это атрибут типа , и следующее 32-разрядное поле хранит его длину, равную в данном случае . Сложив длину атрибута с его смещением, мы получим смещение следующего атрибута — . Первое двойное слово третьего атрибута равно , следовательно, это атрибут типа , хранящий основные данные файла. Складываем его смещение с длиной — . И вот здесь мы наткнулись на частокол , сигнализирующий о том, что атрибут последний в списке.

Теперь, разбив файловую запись на атрибуты, можно приступить к исследованию каждого из атрибутов в отдельности. Начнем с разбора имени. 8-разрядное поле, находящееся по смещению

от начала атрибутного заголовка (и по смещению от начала сектора), содержит флаг нерезидентности. В данном случае этот флаг равен нулю. Это значит, атрибут резидентный, и его тело хранится непосредственно в самой файловой записи, что уже хорошо. 16-разрядное поле, расположенное по смещению от начала атрибутного заголовка (и по смещению от начала сектора) равно нулю, следовательно, тело атрибута не сжато и не зашифровано. Таким образом, можно приступать к разбору тела атрибута. 32-разрядное поле, расположенное по смещению от начала атрибутного заголовка (и по смещению от начала сектора), содержит длину атрибутного тела, равную в данном случае байт. 16-разрядное поле, расположенное по смещению от начала атрибутного заголовка и по смещению от начала сектора, хранит смещение атрибутного тела, равное в данном случае . Следовательно, тело атрибута располагается по смещению от начала сектора.