100H($LOGGED_UTILITY_STREAM)属性分析
时间:01-02来源:作者:点击数:
100H类型属性,即$LOGGED_UTILITY_STREAM,即EFS加密属性。该属性主要用于存储实现EFS加密的有关加密信息,如合法用户列表、解码密钥等。正如$AttrDef所定义,该属性没有最小字节数限制,但最大只能到65 536字节。其属性描述见表4-77。
表4-77 100H类型属性描述表
| 字节偏移 | 字段长度(字节) | 描述 |
|---|---|---|
| ~ | ~ | 标准属性头(已分析过) |
| 0x00 | 任意数据(EFS加密后的数据,或者是其Run List位置描述表) |
所有的属性学习完之后,就可以对实际文件进行分析了,随后将对NTFS文件系统中最重要的文件——元文件进行逐一分析。
方便获取更多学习、工作、生活信息请关注本站微信公众号
上一篇:E0H($EA)属性分析
下一篇:元文件$MFTMirr分析
湘公网安备 43102202000103号