Обзор программы NTFS Stream Explorer

Давно не делал обзоры на разный интересный прикладной софт для работы с файловыми системами. Тут недавно пришлось поработать с малопопулярными атрибутами (недоступными из штатного меню Проводника) и попалась на глаза утилитка NTFS Stream Explorer.

Сейчас краткий экскурс в интерфейс. Для начала откроем имеющийся файл на жёстком диске при помощи выделенной ниже кнопки:

Вкладка “Базовая информация”

  • Идентификаторы файла.
  • Размер файла (а также фактически выделенное место, выражающееся в количестве выделенных секторов).
  • Функция добавления новых атрибутов – вернёмся к ней позже. Но в общем виде скажу так, что можно добавить как дополнительный атрибут, так и файловый поток или ссылку. Подробнее о ссылках советую почитать тут.

Вкладка “Имена файла”

Имена да имена, казалось бы. Ан нет! Как я писал раньше, у файла есть несколько имён (см. атрибут $FILENAME). У каждого из атрибутов имени файла есть свои времена, которые чаще всего будут совпадать попарно, но не всегда… В этом окне можно посмотреть содержимое каждого из атрибутов $FILENAME.

Вкладка “Стандартная информация”

Здесь мы видим, кто бы мог подумать, стандартную информацию о файле – большое количество атрибутов, опять же времена создания/изменения атрибута, флаги состояний файла и ссылку на USN-запись. Большинство из этих параметров вам никогда не понадобятся, но флаги можно выставлять и снимать). Позже я хочу подготовить несколько статей про самые любопытные из этих флагов, позволяющих почудить с NTFS.

Вкладка “Атрибуты MFT”

Здесь перечень всех атрибутов с указанием их флагов.

Вкладка “Идентификатор объекта”

Перечень идентификаторов объекта. Связан с атрибутом $OBJECT_ID. На всякий случай, вдруг не знали – обращаться к файлу можно не только по имени, но также по идентификатору. В общем виде идентификатор – 64 байта, однозначно идентифицирующих файл или каталог в пределах тома. Значимыми являются первые 16, остальные 48 – содержат произвольные данные.

Старые версии антивируса Касперского использовали указанный атрибут, чтобы повторно не проверять файлы, которые были перемещены в пределах тома и не были изменены.

В общем довольно занятная программка, которую я использовал исключительно для того, чтобы получить все возможные времена из файла, т.к. имелись факты, косвенно свидетельствующие о фальсификации стандартных атрибутов.

Интересно? Поделись с другом
Litl-Admin.ru

Comments:

Leave a Reply