在解释RunList时不得不防USN

最新推荐文章于 2022-09-10 19:43:27 发布
最新推荐文章于 2022-09-10 19:43:27 发布
阅读量1.3k 收藏
点赞数
分类专栏: NTFS 文章标签: buffer file byte c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Laokaddk/article/details/2369632
版权
本文探讨了NTFS文件系统中用于保证数据完整性的USN(Update Sequence Number)概念。在解析FILE INDEX结构时,必须考虑USN,以避免意外结果。文章详细解释了FILE和INDEX中USN的位置及如何进行数据还原,以正确地解码FILE和INDEX。
摘要由CSDN通过智能技术生成

在NTFS中为数据的完整性,提出了USN的概念.

若要自己解释FILE  INDEX结构 ,则不得不考虑USN

否则将出现想像不到的结果

 

一.FILE结构的解释

BYTE  buffer[1024];

1.把FILE读入内存中

2.把USN修改回来

 buffer[510] = buffer[0x32];

 buffer[511] = buffer[0x33];

 buffer[1022] = buffer[0x34];

 buffer[1023] = buffer[0x35];

 

这样就可以对此FILE进行正常的Decode了...

 

 

 

在FILE和INDEX中有USN存在

  1. FILE中结构如下

   每个扇区的最后两字节的数据(第510,511字节)

和第0x30,0x31的数据相同,其原始的数据在第0x32,0x33之中.

  

------------------------------------------

|   FILE                                     |                                      

|                                            |

|0x30|0x31|0x32|0x33|0x34|0x35|--------------|

|                                            |

|                                            |

|                                            |

最低0.47元/天 解锁文章
Laokaddk
关注
专栏目录
数据恢复工程师教你用 python解释NTFS runlist的代码
weixin_34034261的博客
07-13 143
执行效果如下:root@zhangyu-VirtualBox:~/NTFS-5# python3 read_runlist.py mft_source.img ***参数数量或格式错误! 命令格式: python3 read_runlist.py <File name> <Start bytes> <Start LCN> <St...
数据恢复专业基础之python解释NTFS runlist的代码
weixin_34138139的博客
07-12 95
执行效果如下:root@zhangyu-VirtualBox:~/NTFS-5# python3 read_runlist.py mft_source.img*参数数量或格式错误! 命令格式: python3 read_runlist.py : File name:要解释的包含runlist的文件名称 Start bytes:文件中要解释r...
PYTHON代码:根据位图间的关系,连接IBM V7000的8G BS位图
weixin_33921089的博客
11-15 127
代码如下: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59...
linux结构体数组的定义数组,task_struct结构体中的run_list和array域
weixin_32467749的博客
05-14 459
他们的定义分别是:struct list_head run_list;prio_array_t *array;其中,想必struct list_head这个结构体大家很熟悉了struct list_head {struct list_head *next, *prev;};然而,prio_array_t的定义又如何呢:typedef struct prio_array prio_array_t;s...
一例硬盘逻辑坏道修复案例
大师的资源
03-30 2万+
驱动程序检测到设备 \Device\Harddisk0\DR0 会出故障。 请立即备份您的数据,替换硬盘驱动器。 故障可能会很快发生。 这个是事件查看器记录的。 这个是怎么了?请问我的硬盘是否要坏了。 chkdsk 使用 扫描并试图恢复坏扇区(N),发现4KB坏扇区 HD Tune Pro 检测发现一个坏块: LBA 65654776  32057MB
华为USN9810V900R011产品概述.pdf
10-04
华为USN9810是华为公司推出的一...综上所述,华为USN9810V900R011是一款专为满足现代网络需求而设计的高端路由器,其强大的处理能力、灵活的架构和丰富的功能特性,使其在移动通信和数据中心网络中具有广泛的应用价值。
Usn__Use.rar_USN
09-19
标题中的"Usn__Use.rar_USN"暗示了这个压缩包可能包含与USN日志(Update Sequence Number Journal)相关的程序或代码示例。USN日志是Windows操作系统中一个重要的系统组件,它记录了文件系统中所有更改的序列号,...
读取USN,建立索引优化后的全盘快速搜索工具
09-02
原理是读取USN文件日志,然后内建索引加快文件搜索速度。 1、列表文件支持批量处理(删除、复制、复制文件名路径、打开、重命名),或者引用系统菜单。 2、支持拼音首字母缩写搜索,指定文件夹内搜索,多关键词搜索...
USN物料资源编码2222
最新发布
01-18
USN物料资源编码2222
Unicode编码简介
哖_少オ輕狂
12-13 1235
先从ASCII说起。ASCII是用来表示英文字符的一种编码规范,每个ASCII字符占用1个字节(8bits) 因此,ASCII编码可以表示的最大字符数是256,其实英文字符并没有那么多,一般只用前128个(最高位为0),其中包括了控制字符、数字、大小写字母和其他一些符号 。而最高位为1的另128个字符被成为“扩展ASCII”,一般用来存放英文的制表符、部分音标字符等等的一些其他符号 这种字符编码规
硬盘文件系统系列专题之二 NTFS
存储随笔
09-10 8153
一、NTFS概述NTFS (New Technology File System),是 WindowsNT 环境的文件系统。新技术文件系统是Windows NT家族(如常见的Windows XP、Win7 、Win8、Win10)等的限制级专用的文件系统(操作系统所在的盘符的文件系统必须格式化为NTFS的文件系统,4096簇环境下)。NTFS取代了老式的FAT文件系统。NTFS可以支持的分区(如果采用动态磁盘则称为卷)大小可以达到2TB。
USN
lusic01的专栏
04-03 1876
我在第一次使用 Everything ,对其速度确实感到惊讶,后来了解到是通过操作 USN 实现的,并且有一定的局限性(只有 NTFS 下才能使用)。 近来清闲无事(失业了),搞些自己的小项目玩玩。其中也要处理到本地搜索这块,首先我想到的就是Everything 。 我仔细地将官网和他论坛的帖子都看了遍,基本没找到什么讲到原理的。倒是官网上提供了一个 Everything 的SDK 下载,是一个...
NTFS - 获取盘符内所有数据
weixin_43763292的博客
03-01 2090
NTFS系统解析-获取盘符所有文件一、概述二、解析与实现、 一、概述 1:文档 NTFS文件系统结构探索密码:4nbu 二、解析与实现、 1:boot头部数据 /*序列号*/ typedef union _SerialNumber{ /*+0x48*/ union _32{ quint8 SerialNumber_32[4]; quint32 SerialNumber_SN; } SerialNumberLow_32; /*+0x48*/
USB的八个问题和答案
weixin_30606669的博客
11-08 347
问题一:USB的传输线结构是如何的呢? 答案一:一条USB的传输线分别由地线、电源线、D+、D-四条线构成,D+和D-是差分输入线,它使用的是3.3V的电压(注意哦,与CMOS的5V电平不同),而电源线和地线可向设备提供5V 电压,最大电流为500MA(可以在编程中设置的,至于硬件的实现机制,就不要管它了)。 问题二:数据是如何在USB传输线里面传送的 答案二:数据在US...
20191207-CHKDSK命令修复磁盘教程
南岭笑笑生之家
03-21 1万+
WIN7下的磁盘突然不能打开。在网上找DiskGenius,结果只能显示可以找到哪些文件,但是不能恢复文件! 如果你想恢复文件,是要付费的! 本来想找WIN PE下的DiskGenius,想想还得准备1TB的移动硬盘呀!(1TB的磁盘出错了!) 没有想到直接使用chkdsk几分钟就可以解决问题了! Microsoft Windows [版本 6.1.7601] 版权所有 (c) 2009 Microsoft Corporation。保留所有权利。 C:\User...
一文读懂USB Type-C和USB3.0
热门推荐
杜莱的博客
09-20 3万+
手机电脑显示器常用接口的类型和协议介绍 接口类型和协议 类型是接口的物理呈现,而协议则是接口实现某种功能必须遵守的的标准。 同一种物理类型的接口可能包含多种标准协议。 接口类型 常见的接口类型有 USB的 Type-A 、Type-B、Type-C、lightning、Displayport、HDMI、DVI、VGA,接口里面的pin和电路不一样 。 Type-A就是鼠标键盘常用的; Type-B就是15款及之前Mac上的接口; mini USB接口则是很老的诺基亚手机充电线上的接口; micro USB
NTFS Change Journal(USN Journal)详解
于大大大洋
07-18 1万+
写在前面最近又用了一下usn日志来获取所有文件列表,在分多次加载文件列表的候发现有文件丢失的情况,后来发现一篇文章比较详细的讲了usn。用cmd来读取usn日志如图: 以下是转载内容:还是那个文件监控的应用,发现使用Windows API(ReadDirectoryChangesW)还是不能满足要求,如果变化量大又密集,丢失通知现象很严重。好在需要监控的大部分的Windows用户都转到NTFS
windows 磁盘修复命令 chkdsk
weixin_34008805的博客
11-24 3245
Microsoft Windows [版本 6.0.6002]版权所有 (C) 2006 Microsoft Corporation。保留所有权利。C:\Windows\system32>chkdsk /?检查磁盘并显示状态报告。CHKDSK [volume[[path]filename]]] [/F] [/V] [/R] [/X] [/I] [/C] [/L[:si...
NTFS文件系统结构--从零开始追踪一个文件的位置
刘洋_heaven的博客
04-14 2万+
前言:最近由于项目需要,研究了一下NTFS文件系统,NTFS文件系统是windows使用的文件系统,包括NT,2000,xp系列。无奈万恶资本主义的windows将自家的东西全部藏在阴暗的角落,NTFS理所当然地也不开源,尽管没有源代码,还是有足够丰富的资料将NTFS文件系统曝光在自由的阳光下。下面通过从NTFS文件系统的根源出发,展示如何通过一层层的解析,最终读取到其中的某个文件。 环境:LI
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值