MFT-Informationen für alternative Datenstromnamen

670
user3226732

Ich habe daran gearbeitet, Dateiinformationen von MFT abzurufen. Ich sehe, dass der MFT-Datensatz Informationen zu Standardinformationen, Dateinamen, Daten und einigen anderen Attributen enthält. Ich habe versucht, den MFT-Datensatz zu analysieren, um alle darin enthaltenen Details abzurufen. Ich kann Dateinamen, Daten (einschließlich Daten für alternative Streams) für alle Dateien abrufen, aber ich konnte die Dateinamen für die genannten alternativen Datenstreams nicht abrufen. Zum Testen habe ich eine Datei mit zwei benannten alternativen Datenströmen erstellt, die Daten enthalten. Als ich den der Datei entsprechenden MFT-Datensatz analysiert habe, konnte ich die alternativen Stream-Namen nicht identifizieren. Bedeutet das, dass die alternativen Stream-Namen nicht in der MFT gespeichert sind? Wie identifizieren dann einige Dienstprogramme wie stream.exe die alternativen Stream-Namen?

1
Ich denke, diese Frage eignet sich besser für [Stack Overflow] (http://stackoverflow.com/). MSDN zitiert: "Der Standarddatenstrom hat keinen Namen. Datenströme können mit [FindFirstStreamW] (http://msdn.microsoft.com/de-de/library/windows/desktop/aa364424 (v = vs.85) aufgelistet werden ) .aspx) und [FindNextStreamW] (http://msdn.microsoft.com/de-de/library/windows/desktop/aa364430 (v = vs.85) .aspx). " ([Quelle] (http://msdn.microsoft.com/de-de/library/windows/desktop/aa364404%28v=vs.85%29.aspx))) and31415 vor 9 Jahren 0
@ and31415d Diese Funktionen können nicht auf Disk-Image-Dateien ohne Mounten angewendet werden. Diese Funktionen passen nicht zu meinen Bedürfnissen und deshalb versuche ich, die MFT zu verwenden. user3226732 vor 9 Jahren 0
Wenn Sie sich auf dieses Dienstprogramm [Streams] (http://technet.microsoft.com/de-de/sysinternals/bb897440.aspx) beziehen, wird dessen [ältere Version] (http://web.archive.org/web/ 20051124041028 / http: //www.sysinternals.com/Utilities/Streams.html) enthaltener Quellcode. Das Programm fragt die MFT nicht direkt ab und ruft das [NtQueryInformationFile] auf (http://msdn.microsoft.com/de-de/library/windows/hardware/ff556646%28v=vs.85%29.aspx). Funktion stattdessen. Sie können sich vorhandene Projekte wie [analyseMFT] (https://github.com/dkovar/analyzeMFT) und [NTFS-3G] (http://bit.ly/1ofARi3) ansehen. and31415 vor 9 Jahren 0

1 Antwort auf die Frage

0
Erik Iker

Einem alternativen Datenstrom sind keine Dateinamenattribute zugeordnet. Daher wird ein alternativer Datenstrom manchmal auch als benannter Datenstrom bezeichnet. Für den normalerweise zu erwartenden einzelnen Datenstrom für eine Datei, z. B. Ihr Word-Dokument, benötigen Sie keinen Namen für den Datenstrom, da die anderen Attribute von $ MFT über diese Details verfügen. Da der alternative Datenstrom "piggybacks" für diese Datei als zweiten Datenstrom verwendet wird, kann er diese Attribute nicht haben. Daher ist der Name des Streams der erste Abschnitt dieses Streams.

http://blogs.technet.com/b/askcore/archive/2013/03/24/alternate-data-streams-in-ntfs.aspx

Verwandte Probleme