В данной теме я рассмотрю четыре вида метаданных, которые могут быть прикреплены к файлу или каталогу средствами файловой системы NTFS. Я опишу, в каких целях можно использовать тот или иной тип метаданных, приведу пример его применения в какой-либо технологии Microsoft или стороннем программном обеспечении.

Речь пойдёт о точках повторной обработки (reparse points), идентификаторах объектов (object id) и о других типах данных, которые может содержать файл помимо своего основного содержимого.

В 2006 году Microsoft купила компанию Sysinternals. Разработчики Марк Руссинович и Брюс Когсвелл написали большое количество полезных системных утилит для управления, диагностики, устранения неполадок и мониторинга среды Microsoft Windows.

Сайт Sysinternals стал частью Microsoft Technet, утилиты по-прежнему доступны для загрузки здесь и здесь. Но до покупки компании, на сайте можно было скачать исходные коды программ, а теперь исходные коды недоступны.

Майкрософт утверждает, что исходный код был убран по причине того, что его доступность может вызвать проблемы с поддержкой других компонентов Windows.

Исходники программ Sysinternals демонстрировали такие возможности, как сокрытие информации в реестре, перехват и подключение API-функций для мониторинга файловой системы и другие интересные вещи. Зачастую в программах использовались недокументированные функции Native API, для выполнения действий, невозможных при использовании стандартного WinAPI.

К счастью, кто-то выложил на торренты зеркало сайта Sysinternals от 18 июля 2006 года (дата покупки компании), которое содержит не только страницы сайта, но и все утилиты и исходный код.

Ещё ссылки:

• Sysinternals Suite — все утилиты в одном архиве (без исходных кодов) на Microsoft Technet
• Блог Марка Руссиновича на русском языке.

В NTFS есть поддержка разреженных файлов (sparse files). Это такие файлы, которые занимают меньше дискового пространства, чем их собственный размер. Данная технология не имеет отношения к встроенной в NTFS поддержке компрессии файлов, так как экономия места на диске в sparse-файлах основана на другом принципе. Никакого сжатия данных не осуществляется. Вместо этого, в файле высвобождаются области, занятые одними лишь нулями (0x00). Приложение, читающее разреженный файл, дойдя до области с нулями, прочитает нули, но реального чтения с диска не произойдёт.

Про потоки NTFS на хабре писали уже не раз, я же покажу, как с их помощью преодолеть одно ограничение Windows по работе с процессами. Тут эта тема в одном посте уже поднималась, но как-то вскользь. Я же хочу обратить на неё внимание.

Вы наверное знаете, что .exe файл работающего процесса невозможно удалить, пока он работает. Можно перемещать файл, но только в пределах своего раздела. С помощью потоков NTFS всё таки можно удалить файл процесса во время его работы.

В блокноте есть ключ /.SETUP, он присутствует в программе ещё со времён Windows 98, возможно был и раньше. Когда выходит новая версия Windows, я всегда проверяю, сохранился ли в блокноте этот ключ. Недавно вышла Windows 7, проверил — никуда не делся!

Что делает этот ключ? Посмотрите сами.

Пуск => Выполнить => notepad.exe /.SETUP

Открывается блокнот. Если попробуете кликнуть по нему — не будет реагировать на нажатия. И за блокнотом начнут проступать значки рабочего стола. В Windows 7 не так — значки за блокнотом можно двигать мышкой, но через окно приложения они не видны.
В Windows XP можно было в панели задач нажать по блокноту второй кнопкой мыши, нажать «развернуть» и продолжать работать с блокнотом, правда у него появлялось два скроллбара и становилась неактивной кнопка «свернуть». В Windows 7 у меня так сделать не получилось.

Кроме того, ключ /.SETUP ещё был у Калькулятора (calc.exe /.SETUP). Запущенный с этим ключом калькулятор отказывался считать и показывал вместо цифр последовательность 0e,+1 (точно не помню, вроде эту, негде посмотреть в данный момент). В Windows 7 калькулятор, видимо, был переписан, и теперь он не реагирует на этот ключ.