软件安全2.找到文件所占簇号(windows)

最新推荐文章于 2022-07-29 11:10:06 发布
最新推荐文章于 2022-07-29 11:10:06 发布
阅读量515 收藏
点赞数
原文链接:http://www.cnblogs.com/yingtaomj/p/6751972.html
版权
  1. 以管理员身份!打开winhex,tools->open disk选择逻辑磁盘。
    打开箭头下的boot sector template
    MFT开始簇号为786432
  2. 去到MFT处。选择navigation->go to sector->cluster中输入786432.
    MFT前几个数据如图第五个元素记录根目录的相关信息。一个记录占两个扇区,因此要在原来的扇区数上加十:6291456+10=6291466。
    go to...
  3. 对于这个(根目录信息)文件记录,有一个Index Allocation属性,ID为0xA0. 此属性用来指示这个文件(即根目录)的索引所在的簇号。依次经过10、20...找到A0
    1240找到data run
    1240
    有两条记录:11 01 2C和03 b5 36
    第一条记录中,2C是起始簇号,十进制为44,跳到44号簇的位置:
    第一条data run
    第二条记录,44+03 b5 36转换为十进制:
    第二条记录

转载于:https://www.cnblogs.com/yingtaomj/p/6751972.html

weixin_30781107
关注
windows xp系统system文件
11-12
windows/system32/config/system文件丢失或损坏,当windows xp系统system文件损坏或丢失,造成我们无法正常启动windows xp系统,我们可以用PE进入系统,把文件放到对应的位置windows/system32/config/system,再重新...
利用winhex在NTFS文件系统下定位文件找到其目录项和簇号等等
热门推荐
小雅的博客
03-26 3万+
软件安全的实验,记录一下,首先需要对NTFS文件系统有了解,有时间的推荐先看这篇博客一、NTFS需要的基础1、MFT:磁盘上的所有数据都是以文件的形式存储,其中包括元文件。 每个文件都有一个或多个文件记录,每个文件记录用两个扇区 $MFT元文件就是专门记录每个文件文件记录。 其中第五个目录是根目录文件记录。 第一个目录是MFT本身的文件记录。2、簇号: NTFS文件系统使用逻辑簇号(LCN)和
文件系统:FAT12
ITer之家
03-15 1490
FAT12结构介绍及格式化、镜像创建等
NTFS文件系统分析
inpilen的专栏
07-13 1578
NTFS File System MBR( Master boot record ) MBR { 0x003JMP指令( 0xEB5290) 0x034ID NTFS文件系统 0x0B2每扇区字节数 0x0D1每扇区数...
用winhex工具:利用FAT表找出目录的下一个
Kiolng的博客
04-03 3973
利用FAT表找出目录的下一个 当第一个目录里的文件比较多时,一个存不下所有的文件,就会增加一个来存放文件,但它们往往不连续,就需要通过FAT表来定位目录的下个是第几 寻找步骤: 本例子要找的是“数据恢复.rar” ①将要找的文件名“数据恢复.rar”用字符编码器转换为ANSI字符”CAFDBEDDBBD6B8B4” ②一个有16kb,根目录80kb,说明有5个 ...
数据恢复笔记——NTFS文件系统
weixin_46146678的博客
05-18 4998
Winhex数据恢复(NTFS文件系统)DBR的数据结构NTFS文件系统的元文件文件表MFTMFT属性类型10h属性体数据结构30h属性体的数据结构60h属性体的数据结构70h属性体的数据结构80h属性体的数据结构MFT属性中的属性头数据结构MFT的流运行数据结构手工提取文件数据手工提取片段文件数据常驻80h属性 DBR的数据结构 偏移 描述 00-02 跳转指令 0D-0D 每扇区数 28-2F 文件系统扇区总数 30-37 (MFT)主文件表起使簇号 跳转指令对应数
Windows下读取群晖盘数据的软件
最新发布
01-11
3. 预览数据:扫描完成后,软件会列出找到文件,用户可以预览确认是否需要恢复。 4. 恢复文件:选择需要恢复的文件,指定保存位置,然后启动恢复过程。 请注意,在恢复过程中,不要将数据直接恢复到原来的硬盘上...
xmind软件所需文件.7z
07-21
在"Xmind软件所需文件.7z"这个压缩包中,包含的是与XMind软件相关的教程所需文件。这可能包括示例模板、插件、用户手册、教程视频或者演示文稿等,帮助用户更好地理解和掌握XMind的使用技巧。 XMind的核心功能: 1...
windows.h 下载
10-14
main header file for the Win32 API windows.h Abstract: Master include file for Windows applications.
SVNDrv驱动文件.zip
04-20
操作系统:windows10 说明:华为secoclient由于签名问题连接不上,SVN Adapter V1.0驱动标黄色感叹。禁用驱动程序强制签名 也可以解决此问题,但一次性禁用的方式太麻烦,永久性禁用要修改BIOS(新版的命令提示符...
MFT的流数据结构详解
weixin_34355881的博客
07-09 1068
上节课我们已经知道非常驻属性的属性体是一个流信息。那么流信息具体是什么呢。流其实是用来描述数据内容的存放地址。流信息可以是一组流或者多组,一组流信息表示这个数据内容只有一个片段是连续的。如果是多组流信息,那么就说明这个数据内容是有多个片段组成是,是不连续的。每一组流信息是由3部分组成。第一部分描述后面两组成流信息所需要的字节数。第二部分描述这个流所用的...
OS学习笔记六:文件系统
勿忘初心
10-10 2633
一、文件文件系统 1、文件是什么? 文件 是 对磁盘的 抽象 所谓文件 是指 一组带标识(标识即为文件名)的、在逻辑上有完整意义的信息项的序列 信息项:构成文件内容的基本单位(单个字节,或多个字节),各信息项之间具有顺序关系 文件内容的意义:由文件建立者和使用者解释 2、文件系统 操作系统中统一管理信息资源的一种软件,管理文件的存储、检索、更新,提供安全可靠的共享和保护手段
FAT32文件系统学习(3) —— 数据区(DATA区)
慕斯筱婕
10-27 1116
今天继续学习FAT32文件系统的数据区部分(Data区)。其实这一篇应该是最有意思的,我们可以通过在U盘内放入一些文件,然后在程序中读取出来;反过来也可以用程序在U盘内写入一下数据,然后在windows下可以看到写入的文件。这些笔者都会在这篇文章中演示(后来发现并没有成功,不过笔者也找到相关的原因,详见后来的更新部分吧:) )。同时,在写这篇文章的时候笔者也发现了许多意想不到的规律。 1、本
FAT32笔记
weixin_45283799的博客
07-29 1332
文件系统,fat32
Linux下查看根目录文件内存大小
滕志峰的博客
03-11 1万+
一、linux中查看服务器中内存使用情况以及快速查看服务器文件大小。 1、df -h命令查看整体磁盘使用情况 2、使用du -ah --max-depth=1/ 可以查看根目录下各个文件用情况 使用命令du -h /root/o2m/data/log/app-01/*查看/root/o2m/data/log/app-01/路径下所有文件的大小 du -sh /* 查看哪个目录最大,一步一步的查找大文件,比如: 3、查看某个目录:du -bsh...
winhex教程
weixin_34383618的博客
12-09 1522
winhex教程 winhex 数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数...
接上一章winhex数据恢复新手入门教程
weixin_43724254的博客
04-01 4169
对于才开始学习数据恢复的小白可以看看,都是数据恢复入门知识。这几章讲解了FAT32的文件系统结构。博主个人整理记录,如需转载请发布原文链接。
文件系统 -- 磁盘基础知识和FAT32文件系统详细介绍
积木的笔记
06-17 4437
主要介绍了磁盘的基本知识和详细介绍了FAT32文件系统
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值