我一直在努力从MFT中检索文件信息。我看到MFT记录有关于标准信息,文件名,数据和其他一些属性的信息。我尝试解析MFT记录以获取它包含的所有细节。我能够获取所有文件的文件名,数据(包括备用流的数据),但我无法获取指定备用数据流的文件名。出于测试目的,我创建了一个包含两个包含数据的命名备用流的文件。当我解析对应于该文件的MFT记录时,我无法识别备用流名称。这是否意味着备用流名称不存储在MFT中?那么一些实用程序如stream.exe如何识别备用流名称?
我认为这个问题更适合Stack Overflow。引用MSDN:“默认数据流没有名称。可以使用FindFirstStreamW和FindNextStreamW函数枚举数据流。” (来源)
—
1414年
@ and31415d这些功能无法在未安装的情况下应用于磁盘映像文件。这些功能不适合我的需要,这就是我尝试使用MFT的原因。
—
user3226732 2014年
如果您指的是此Streams实用程序,则其旧版本包含源代码。程序不直接查询MFT,而是调用NtQueryInformationFile函数。您可能想看一下现有项目,例如analyzeMFT和NTFS-3G。
—
1414年