$Boot是用于系统启动的元文件,该文件的数据流指向卷的启动扇区,包含有卷大小、簇大小和MFT等信息。它是唯一不能重新部署的文件,其位置一旦确定就不能再移动。$Boot元文件由4个属性构成,如图4-458所示。

元文件$Boot分析-数据恢复迷

图4-458 $Boot的文件记录

(1)10H属性

10H属性定义了$Boot创建时间、最后修改时间、该MFT修改时间、文件最后访问时间、文件标志等信息。

(2)30H属性

30H属性定义了$Boot的父目录的文件参考号为根目录、$Boot的一些时间属性、系统分配给$Boot的大小(这里为2000H字节)、实际使用的大小(这里为2000H字节);定义了文件的标志为06H,表示其为隐藏、系统文件;定义了该文件的文件名长度为5个字、命名空间为3,即Win32 & DOS命名空间;在属性的最后定义了该文件的文件名为Unicode字符串“$Boot”。

(3)50H属性

50H属性定义了$Boot的安全信息。

(4)80H属性

80H属性定义了引导文件的数据流在卷中的位置、系统分配给该属性的大小和实际使用的大小。$Boot一般情况占16个扇区,从卷的逻辑0扇到15扇,并且其位置是不能移动的。这里定义的其起始VCN为0簇,结束VCN为1簇,占两个簇。还定义了其起始LCN为0簇,引导文件在磁盘中的起始簇(LCN)号总是0。有关引导扇区的描述在4.6.3节中已有详细介绍,这里就不再赘述了。