структура резидентного атрибута
| смещение | размер | значение | описание | ||||
| 00h | 4 |
| тип (type) атрибута (например,. 0x20, 0x80) | ||||
| 04h | 4 | длина атрибута, включая этот заголовок | |||||
| 08h | 1 | 01h | нерезидентный флаг (non-resident flag) | ||||
| 09h | 1 | N | длина имени атрибута (ноль если атрибут безымянный) | ||||
| 0Ah | 2 | 40h | смещение имени (ноль если атрибут безымянный) | ||||
| 0Ch | 2 | флаги | |||||
| значение | описание | ||||||
| 0001h | сжатый атрибут (compressed) | ||||||
| 4000h | зашифрованный атрибут (encrypted) | ||||||
| 8000h | разряженный атрибут (sparse) | ||||||
| 0Eh | 2 | идентификатор атрибута (attribute ID) | |||||
| 10h | 8 | начальный виртуальный кластер (starting VCN) | |||||
| 18h | 8 | конечный виртуальный кластер (last VCN) | |||||
| 20h | 2 | 2N+40h | смещение списка отрезков (data runs) | ||||
| 22h | 2 | размер блока сжатия (compression unit size), округленный до 4 байт вверх | |||||
| 24h | 4 | 00h | для выравнивания | ||||
| 28h | 8 | выделенный размер (allocated size), округленный до размера кластера | |||||
| 30h | 8 | реальный размер (real size) | |||||
| 38h | 8 | инициализированный размер потока (initialized data size of the stream) | |||||
| 40h | 2N | UNICODE | имя атрибута если есть | ||||
| 2N+40h | .. | список отрезков (data runs) |
