0x10属性在RAID分析中比较苻用的是时间戳信息，通过各成员盘时间戳的比较能够 判断出数据的新鲜度，有时候还能够判断出哪个条带是校验块。

以上图的文件记录内的0x10属性为例，0x10属性中“文件创建时间”的信息如下图所示。

上图中阴影部分是3块成员盘同一扇区0x10属性中的“文件创建时间”，旁边是数据解释器对时间信息的解释，很明显2.img的时间是不合理的，所以2.img当前扇区所在条带是校验块。

本文系转载，如有侵犯版权问题，请通知。我们立即删除。

转载请注明：成都千喜数据恢复中心 » $MFT的0x10属性在RAID数据恢复分析中的作用