NTFS文件系统
NTFS $Quota文件
2021-07-01
55
0
NTFS $Quota文件用于用户磁盘配客管理,它位于$Extend 录下,它有两个索引,$O和$Q,都使用标准的索引根属性和索引分配属性来存储它们的索引项。
$O索引关联一个属主ID的SID,$Q索引将属主信息关系至配客信息。
$O索引的索引项项结如下:
| 字节偏移 | 字节数 | 含 义 |
|---|---|---|
| 00~01 | 2 | 属性ID的偏移 |
| 02~03 | 2 | 属性ID的长度 |
| 04~07 | 4 | 未用 |
| 08~09 | 2 | 索引项的大小 |
| 0a~0b | 2 | SID大小(L) |
| 0c~0f | 4 | 文件标志0x0001-只读0x0002-隐藏0x0004系统0x0020-存档0x0040-设备0x0080-常规0x0100-临时0x0200-稀疏0x0400-重解析点0x0800-压缩0x1000-脱机0x2000-没有为了快速搜索而编入索引0x01000-加密 |
| 10~(10+L-1) | L | SID |
| 0FF+ | 属主ID |
$Q配客管理索引的索引结构
| 字节偏移 | 字节数 | 含 义 |
|---|---|---|
| 00~01 | 2 | 配额信息的偏移 |
| 02~03 | 2 | 配额信息的大小 |
| 04~07 | 4 | 未用 |
| 08~09 | 2 | 索引项大小 |
| 0A~0B | 2 | 属主ID大小 |
| 0C~0F | 4 | 标志00000001-使用默认限制00000002-限制范围00000004-ID删除00000010-跟踪数据00000020-强制00000040-使用强制的跟踪00000080-开始即建立日志00000100-达到限制时建立日志00000200-废弃00000400-损坏00000800-未决删除 |
| 10~13 | 4 | 属主ID |
| 14~17 | 4 | 版本 |
| 18~1B | 4 | 配额标志 |
| 1C~23 | 8 | 记入用户配额帐目的字节数 |
| 24~2B | 8 | 最后记入的时间 |
| 2C~33 | 8 | 临界值(软件限制) |
| 34~3B | 8 | 硬限制值 |
| 3C~43 | 8 | 超过时间 |
| 44~4F | 12 | SID |
如果存在子节点,偏移0x0C~0处的标志将设置为0x01;如果当前项是该节点的最后一项,设为0x02.
