@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

Folderと$BITMAP (0xB0)

フォルダの$BITMAP属性について確認します。

まず、「Windows」フォルダのMFTレコード番号(FILEレコード番号)を確認します。

f:id:hideakii:20180120092819p:plain

 $MFT内でオフセット1375232に移動し、$Bitmap属性を探します。

$INDEX_ROOT (0x90)があります。$I30という名前が設定されています。(Resident, Named)

f:id:hideakii:20180120093421p:plain

続けて$INDEX_ALLOCATION (0xA0)があります。$I30という名前が設定されています。(Non-Resident, Named)

f:id:hideakii:20180120093521p:plain

$BITMAP (0xB0)

$BITMAP (0xB0)がありました。(Resident, Named)

f:id:hideakii:20180120093730p:plain

Standard Attribute Header

B0 00 00 00 Attribute Type ⇒ $BITMAP (0xB0)
28 00 00 00 Length (including this header) ⇒ 40
00 Non-resident flag
04 Name length
18 00 Offset to the Name
00 00 Flags
04 00 Attribute Id (a)
08 00 00 00 Length of the Attribute
20 00 Offset to the Attribute (b)
00 Indexed flag
00 Padding
24 00 49 00 33 00 30 00 The Attribute's Name ⇒ $I30

The Attribute (c)
3F 00 00 00 00 00 00 00

0 0 1 1 1 1 1 1 ⇒ Bitmap ⇒ クラスタの利用状況

 $INDEX_ALLOCATION (0xA0)

Bitmapを利用している $INDEX_ALLOCATION (0xA0) の DataRunを確認してみます。

DataRun 21 06 D8 03

Size of the Offset field ⇒2
D8 03 ⇒ LCN 984
Size of the Length field ⇒1
Length ⇒ 6

Index Header の VCN of this INDX buffer in the Index Allocation を確認してみます。

LCN 984 ⇒ VCN 0
LCN 985 ⇒ VCN 1
LCN 986 ⇒ VCN 2
LCN 987 ⇒ VCN 3
LCN 988 ⇒ VCN 4
LCN 989 ⇒ VCN 5

f:id:hideakii:20180120104856p:plain

参考URL:

http://dubeyko.com/development/FileSystems/NTFS/ntfsdoc.pdf

 

f:id:hideakii:20180120105028j:plain