100H类型属性,即$LOGGED_UTILITY_STREAM,即EFS加密属性。该属性主要用于存储实现EFS加密的有关加密信息,如合法用户列表、解码密钥等。正如$AttrDef所定义,该属性没有最小字节数限制,但最大只能到65 536字节。其属性描述见表4-77。

表4-77 100H类型属性描述表

字节偏移 字段长度(字节) 描述
标准属性头(已分析过)
0x00 任意数据(EFS加密后的数据,或者是其Run List位置描述表)

所有的属性学习完之后,就可以对实际文件进行分析了,随后将对NTFS文件系统中最重要的文件——元文件进行逐一分析。