我一直在努力从 MFT 检索文件信息。我看到 MFT 记录包含有关标准信息、文件名、数据和其他一些属性的信息。我尝试解析 MFT 记录以获取其中包含的所有详细信息。我能够获取所有文件的文件名、数据(包括备用流的数据),但无法获取命名备用数据流的文件名。为了进行测试,我创建了一个文件,其中包含两个包含数据的命名备用流。当我解析与文件对应的 MFT 记录时,我无法识别备用流名称。这是否意味着备用流名称未存储在 MFT 中?那么 stream.exe 等某些实用程序如何识别备用流名称?
答案1
备用数据流没有与文件名属性关联。这就是为什么备用数据流有时也称为命名数据流的原因。对于文件通常预期的单个数据流(例如您的 Word 文档),您不需要为该流命名,因为 $MFT 的其他属性具有这些详细信息。由于备用数据流作为第二个数据流“搭载”此文件,因此它不能具有这些属性,因此流的名称是该流的第一部分。
http://blogs.technet.com/b/askcore/archive/2013/03/24/alternate-data-streams-in-ntfs.aspx