MFTエントリが同じなので当然といえば当然の結果なのかもしれませんが、なかなか面白いですね。 F:\>echo stream > a.txt:h.txtF:\>more f:\b.txt:h.txt stream この時の MFT エントリ 36-128-6 の情報は下記になります。代替データストリームは $DATA (128-…

もう少し詳しく調べてみる必要がありますが・・・ ハードリンクを作成した場合でも、新たに MFT エントリが作成されるということではなく、リンク元となったファイルの MFT レコードに新しいファイル名（リンク）が追加されるということのようですね。（$FIL…

プログラマから見た NTFS 2000 Part1: ストリームとハード リンク（http://www.microsoft.com/japan/msdn/windows/windows2000/ntfs5.asp#ntfs5_topic6 ）より引用ここから 『ハード リンクは、同じ NTFS ボリューム内で作成しなければならないので注意が必…

MFTレコードの内容を確認 Pointed to by file: F://note.exe F://NOTEPAD.EXE F:/test/noteB.txt File Type: MS-DOS executable (EXE), OS/2 or MS Windows MD5 of content: 518cfcf8e0c7b133d365ddaa22916052 SHA-1 of content: 8aa33633f4abcd071782a5ce50…

MFTレコードの内容を確認 Pointed to by file: F://b.txt F://a.txt F:/test/c.txt File Type: ASCII text, with CRLF line terminators MD5 of content: a55ab7512f0d0ff4527d898d06afd5c5 SHA-1 of content: b1b0f3993c24e223152a9a41242cdd6757754a86 Det…

Autopsy 2.05でddイメージを確認 r / r a.txt 2005.09.10 22:12:37 (JST) 2005.09.10 22:12:37 (JST) 2005.09.10 22:35:03 (JST) 7 0 0 36-128-3 r / r b.txt 2005.09.10 22:12:37 (JST) 2005.09.10 22:12:37 (JST) 2005.09.10 22:35:03 (JST) 7 0 0 36-128-…

VMware 上の Windows XP SP2 環境に、NTFS ハードリンクのテスト用にサイズ 100M の仮想ハードディスクを追加。NTFS でフォーマットし、以下の二つのファイルを作成。 echo test > a.txt copy c:\windows\notepad.exe notepad.exe 最初に作成した a.txt はサ…