备用数据流名称的MFT信息

Question

我一直致力于从MFT中检索文件信息。我看到MFT记录包含有关标准信息、文件名、数据和一些其他属性的信息。我尝试解析MFT记录以获取它包含的所有详细信息。我能够获得所有文件的文件名、数据(包括备用数据流的数据)，但我无法获得命名备用数据流的文件名。出于测试的目的，我创建了一个包含两个包含数据的命名交替流的文件。当我解析对应于该文件的MFT记录时，我无法识别替代流名称。这是否意味着备用流名称不会存储在MFT中？那么，像stream.exe这样的实用程序如何识别备用流名呢？

Answer 1

如果您自己解析属性，您可以在属性的公共标头中找到属性名称的偏移量。如果我没记错的话，在属性的偏移量0x0A处的头部有一个WORD值(我发现它是here)。偏移量指向属性的名称。属性报头大小+属性名称的偏移量长度+数据的偏移量长度(如果不是常驻数据，则运行数据，否则为实际数据)应与存储在公共报头字段中的属性长度(偏移量0x04)相匹配。

如果你使用的是Windows API，你可以在一个文件上使用FindFirstStreamW函数来获取它的流。它通常返回一个包含流名称的WIN32_FIND_STREAM_DATA结构。