Восстановление информации своими руками


Таблица 4 структура резидентного атрибута


 

смещение

размер

значение

описание

00h

4

 

тип (type) атрибута (например,. 0x20, 0x80)

04h

4

 

длина атрибута, включая этот заголовок

08h

1

01h

нерезидентный флаг (non-resident flag)

09h

1

N

длина имени атрибута (ноль если атрибут безымянный)

0Ah

2

40h

смещение имени (ноль если атрибут безымянный)

0Ch

2

 

флаги

значение

описание

0001h

сжатый атрибут (compressed)

4000h

зашифрованный атрибут (encrypted)

8000h

разряженный атрибут (sparse)

0Eh

2

 

идентификатор атрибута (attribute ID)

10h

8

 

начальный виртуальный кластер (starting VCN)

18h

8

 

конечный виртуальный кластер (last VCN)

20h

2

2N+40h

смещение списка отрезков (data runs)

22h

2

 

размер блока сжатия (compression unit size), округленный до 4 байт вверх

24h

4

00h

для выравнивания

28h

8

 

выделенный размер (allocated size), округленный до размера кластера

30h

8

 

реальный размер (real size)

38h

8

 

инициализированный размер потока (initialized data size of the stream)

40h

2N

UNICODE

имя атрибута если есть

2N+40h

..

 

список отрезков (data runs)




Начало  Назад  Вперед