NTFS文件系统
NTFS $UsnJrnl文件
2021-07-01
163
0
NTFS $UsnJrnl文件即变更日志文件,用于记录文件的改变。当文件发生改变时,这种变化将被记录进”$Extend$UsnJrnl”文件的一个名字为$J的数据属性中。$J数据属性具有稀疏属性,它由变更日志项组成,每个变更日志项的大小有可能不同,还有一个称为$Max的数据属笥,其中记录着有关用户日志的最大设置等信息。
$UsnJrnl属性变更日志项的数据结构:
| 字节偏移 | 字节数 | 含义 |
|---|---|---|
| 00~03 | 4 | 本日志项长度 |
| 04~05 | 2 | 主版本号 |
| 06~07 | 2 | 次版本号 |
| 08~0F | 8 | 导致该项产生的文件的文件参考号 |
| 10~17 | 8 | 导致该项产生的文件的父目录文件参考号 |
| 18~1F | 8 | 日志项的USN(更新序列号) |
| 20~27 | 8 | 时间戳 |
| 28~2B | 4 | 变更日志有类型标志 00000001-覆写了默认数据属性00000002-扩允了默认数据属性00000004-由头部开始覆写了默认数据属性00000010-覆写了命名数据属笥00000020-扩允了命名数据属性00000040-由头部开始覆写了命名数据属性00000100-建立了文件或目录 00000200-删除了文件或目录00000400-文件的扩展属性发生了变化00000800-安全描述符发生了变化00001000-名字变化-变更日志项使用原名00002000-名字变化-变更日志项使用新名00004000-内容索引状态改变00008000-基本文件或目录属性改变00010000-新建或删除硬链接00020000-压缩状态改变00040000-加密状态改变000800000-对象ID改变001000000-重解析点值改变002000000-建立、删除或修改命名数据属性800000000-引以为荣或目录已关闭 |
| 2C~2F | 4 | 源信息 |
| 30~33 | 4 | 安全ID |
| 34~37 | 4 | 文件属性 |
| 38~39 | 2 | 文件名长度 |
| 3A+ | 文件名 |
$Max属性包含基本的变更日志管理信息:
| 字节偏移 | 字节数 | 含义 |
|---|---|---|
| 00~07 | 8 | 最大长度 |
| 08~0F | 8 | 分配长度 |
| 10~17 | 8 | ID的USN |
| 18~1F | 8 | 最低USN |
