File Record Header

46 49 4c 45 
 "FILE" - Signature
30 00 
 Offset to fixup array
03 00 
 Fixup Entry Count
f3 66 10 00 00 00 00 00 
 ($LogFile) Sequence Number

01 00 
 Sequence Value
01 00 
 Link Count
38 00 03 00 80 03 00 00 00 04 00 00 
00 00 00 00 00 00 00 00 
 File reference to base record
04 00 
 Next Attribute ID
00 00 1e 00 00 00 
08 00 
Fixup Signature (rev #8) 
00 00 
Fixup Entry for sector 0 
00 00 
Fixup Entry for sector 1 
00 00 
Fixup Entry for sector 2 
Fixup Array 

 Attribute 0
 $STANDARD_INFORMATION Attribute
 Resident attribute header
                        10 00 00 00 
Attribute Type 
60 00 00 00 
Attribute Length 

00 
Non-Resident Flag 
00 
Name Length 
00 00 
Offset to Data 
00 00 
Flags 
00 00 
Attribute ID 
48 00 00 00 
Length of Attribute 
18 00 
Offset to Attribute 
00 
Indexed Flag 
00 
Padding 

 $STANDARD_INFORMATION DATA
c0 fd 77 d7 01 01 d3 01 
Creation Time - Wednesday, July 19, 2017, 7:42:34 PM 
e0 3b 39 50 04 01 d3 01 
e0 3b 39 50 04 01 d3 01 e0 3b 39 50 04 01 d3 01 
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
00 00 00 00 05 01 00 00 00 00 00 00 00 00 00 00 
00 00 00 00 00 00 00 00 


 Attribute 1
 $FILE_NAME Attribute
 Resident attribute header
                        30 00 00 00 
Attribute Type 
78 00 00 00 
Attribute Length 

00 
Non-Resident Flag 
00 
Name Length 
00 00 
Offset to Data 
00 00 
Flags 
03 00 
Attribute ID 
5a 00 00 00 
Length of Attribute 
18 00 
Offset to Attribute 
01 
Indexed Flag 
00 
Padding 

 $FILE_NAME DATA
05 00 00 00 00 00 05 00 
Parent Directory MFT Index (5) 
c0 fd 77 d7 01 01 d3 01 
File Creation Time 

c0 fd 77 d7 01 01 d3 01 
File Modification Time 
c0 fd 77 d7 01 01 d3 01 
MFT Modification Time 

c0 fd 77 d7 01 01 d3 01 
File Access Time 
00 00 00 00 00 00 00 00 
Allocated size of file - 0 bytes 

00 00 00 00 00 00 00 00 
Size of file - 0 bytes 
00 00 00 10 
Flags - Directory 
00 00 00 00 
Reparse Value 

0c 
Name Length 
00 
Name Space (POSIX) 
53 00 61 00 6d 00 70 00 6c 00 65 00 46 00 
6f 00 6c 00 64 00 65 00 72 00 
Name - SampleFolder 
00 00 50 00 00 00 


 Attribute 2
 $INDEX_ROOT Attribute
 Resident attribute header
90 00 00 00 
Attribute Type 
68 02 00 00 
Attribute Length 
00 
Non-Resident Flag 
04 
Name Length 
18 00 
Offset to Name 
00 00 
Flags 
01 00 
Attribute ID 

48 02 00 00 
Length of Attribute 
20 00 
Offset to Attribute 
00 
Indexed Flag 
00 
Padding 
24 00 49 00 33 00 30 00 
Name - $I30 

 $INDEX_ROOT DATA
30 00 00 00 
Attribute Type 
01 00 00 00 
Collation Rule 
00 10 00 00 
Bytes Per Index Record 
08 
Clusters Per Index Record 
00 00 00 
 Index Node Header
10 00 00 00 
Offset to first Index Entry 
38 02 00 00 
Total size of the Index Entries 
38 02 00 00 
Allocated size of the Node 
00 
Non-leaf node Flag (has sub-nodes) 
00 00 00 
Padding (align to 8 bytes) 

 Index Node Entries
 Index Node Entry 1
28 00 00 00 00 00 01 00 
File reference 
68 00 
Length of index entry 
52 00 
Length of stream 
00 
Flags 
00 00 00 
 $FILE_NAME Attribute
 $FILE_NAME DATA
1e 00 00 00 00 00 01 00 
Parent Directory MFT Index (30) 
f0 02 c3 0a 04 01 d3 01 
File Creation Time 

00 19 7c 07 04 01 d3 01 
File Modification Time 
00 19 7c 07 04 01 d3 01 
MFT Modification Time 

f0 02 c3 0a 04 01 d3 01 
File Access Time 
00 02 00 00 00 00 00 00 
Allocated size of file - 512 bytes 

08 00 00 00 00 00 00 00 
Size of file - 512 bytes 
20 00 00 00 
Flags -  
00 00 00 00 
Reparse Value 

08 
Name Length 
00 
Name Space (POSIX) 
45 00 74 00 65 00 78 00 74 00 2e 00 6f 00 
66 00 
Name - Etext.of 
Stream 
67 00 27 00 73 00 
 Index Node Entry 2
26 00 00 00 00 00 01 00 
File reference 

70 00 
Length of index entry 
5e 00 
Length of stream 
00 
Flags 
00 00 00 
 $FILE_NAME Attribute
 $FILE_NAME DATA
1e 00 00 00 00 00 01 00 
Parent Directory MFT Index (30) 

90 22 1c d0 03 01 d3 01 
File Creation Time 
e0 14 0a ca 03 01 d3 01 
File Modification Time 

e0 14 0a ca 03 01 d3 01 
MFT Modification Time 
90 22 1c d0 03 01 d3 01 
File Access Time 

00 02 00 00 00 00 00 00 
Allocated size of file - 512 bytes 
0e 00 00 00 00 00 00 00 
Size of file - 512 bytes 

20 00 00 00 
Flags -  
00 00 00 00 
Reparse Value 
0e 
Name Length 
00 
Name Space (POSIX) 
47 00 75 00 74 00 
65 00 6e 00 62 00 65 00 72 00 67 00 27 00 73 00 
2e 00 6f 00 66 00 
Name - Gutenberg's.of 
Stream 
00 00 
 Index Node Entry 3
2a 00 00 00 00 00 01 00 
File reference 

60 00 
Length of index entry 
4c 00 
Length of stream 
00 
Flags 
00 00 00 
 $FILE_NAME Attribute
 $FILE_NAME DATA
1e 00 00 00 00 00 01 00 
Parent Directory MFT Index (30) 

d0 c9 15 36 04 01 d3 01 
File Creation Time 
80 ef b1 30 04 01 d3 01 
File Modification Time 

80 ef b1 30 04 01 d3 01 
MFT Modification Time 
d0 c9 15 36 04 01 d3 01 
File Access Time 

00 02 00 00 00 00 00 00 
Allocated size of file - 512 bytes 
05 00 00 00 00 00 00 00 
Size of file - 512 bytes 

20 00 00 00 
Flags -  
00 00 00 00 
Reparse Value 
05 
Name Length 
00 
Name Space (POSIX) 
6f 00 66 00 2e 00 
6f 00 66 00 
Name - of.of 
Stream 
63 00 74 00 
 Index Node Entry 4
24 00 00 00 00 00 01 00 
File reference 

68 00 
Length of index entry 
56 00 
Length of stream 
00 
Flags 
00 00 00 
 $FILE_NAME Attribute
 $FILE_NAME DATA
1e 00 00 00 00 00 01 00 
Parent Directory MFT Index (30) 

50 92 b6 7d 03 01 d3 01 
File Creation Time 
50 b4 40 61 03 01 d3 01 
File Modification Time 

50 b4 40 61 03 01 d3 01 
MFT Modification Time 
50 92 b6 7d 03 01 d3 01 
File Access Time 

00 02 00 00 00 00 00 00 
Allocated size of file - 512 bytes 
0a 00 00 00 00 00 00 00 
Size of file - 512 bytes 

20 00 00 00 
Flags -  
00 00 00 00 
Reparse Value 
0a 
Name Length 
00 
Name Space (POSIX) 
50 00 72 00 6f 00 
6a 00 65 00 63 00 74 00 2e 00 6f 00 66 00 
Name - Project.of 
Stream 
00 00 

 Index Node Entry 5
2c 00 00 00 00 00 01 00 
File reference 
78 00 
Length of index entry 
62 00 
Length of stream 
00 
Flags 
00 00 00 
 $FILE_NAME Attribute
 $FILE_NAME DATA
1e 00 00 00 00 00 01 00 
Parent Directory MFT Index (30) 
e0 3b 39 50 04 01 d3 01 
File Creation Time 

40 56 81 4a 04 01 d3 01 
File Modification Time 
40 56 81 4a 04 01 d3 01 
MFT Modification Time 

e0 3b 39 50 04 01 d3 01 
File Access Time 
00 02 00 00 00 00 00 00 
Allocated size of file - 512 bytes 

10 00 00 00 00 00 00 00 
Size of file - 512 bytes 
20 00 00 00 
Flags -  
00 00 00 00 
Reparse Value 

10 
Name Length 
00 
Name Space (POSIX) 
53 00 68 00 61 00 6b 00 65 00 73 00 70 00 
65 00 61 00 72 00 65 00 27 00 73 00 2e 00 6f 00 
66 00 
Name - Shakespeare's.of 
Stream 
00 00 00 00 00 00 
 Index Node Entry 6
00 00 00 00 00 00 00 00 
File reference 

10 00 
Length of index entry 
00 00 
Length of stream 
02 
Flags 
00 00 00