python实现数据恢复_python解释NTFS runlist的代码

最新推荐文章于 2024-05-22 10:03:29 发布
最新推荐文章于 2024-05-22 10:03:29 发布
阅读量335 收藏
点赞数
文章标签: python实现数据恢复

代码如下:#!/usr/bin/python3

#http://www.frombyte.com 张宇

import os

import sys

import random

import hashlib

import struct

import zlib

import re

def help_exit():

print(" 命令格式:")

print(" python3 %s :" % sys.argv[0])

print(" File name:要解释的包含runlist的文件名称")

print(" Start bytes:文件中要解释runlist的起始位置")

print(" Start LCN:runlist开始的参考LCN值,如果是一段完整的runlist,这个值应为0.")

print(" Start VCN:runlist开始的参考VCN值,如果是一段没有0x20的runlist,这个值多数为0.")

print(" *返回值:一个二维队列,打印结果。\n")

exit()

#通过抛出异常判断第一个参数是否是A-F

def is_num_by_except(s):

try:

a=int(s,16)

if (a>0 and a<=16): return True

else: return False

except ValueError:

return False

if len(sys.argv)!= 5 :

print(" ***参数数量或格式错误!")

help_exit()

if sys.argv[2].isdigit():

spoi = int(sys.argv[2])

if spoi<0:

print("***错误,起始字节位置不能取负值")

help_exit()

else:

print("***错误,起始字节位置应为非负整数")

help_exit()

if sys.argv[3].isdigit():

slcn = int(sys.argv[3])

if slcn<0:

print("***错误,起始LCN不能取负值")

help_exit()

else:

print("***错误,起始LCN应为非负整数")

help_exit()

if sys.argv[4].isdigit():

svcn = int(sys.argv[4])

if svcn<0:

print("***错误,起始VCN不能取负值")

help_exit()

else:

print("***错误,起始VCN应为非负整数")

help_exit()

def get_i(vl,ilen):

q=0

for i in range(0,ilen):

q = q | ( vl[0][i] << i*8 )

#若为负数

if vl[0][ilen-1] > 0x80:

q = q - (1 << ilen*8 )

return q

f = open("%s"%sys.argv[1],'rb')

f.seek(spoi)

data = f.read(1024)

v1 = 1

i = 0

lists = [[0 for i in range(2)] ]

del lists[0]

while True:

t = struct.unpack_from('B',data,i)

v1 = t[0]

if v1 == 0:

break

v1_p = (v1 & 0xF0) >> 4

v1_l = (v1 &0xF)

if (v1_l >=8) or (v1_p >=8) or (v1_l == 0):

print("***偏移%d:run list长度和位置字节有错误!***"%(i+spoi))

break

i = i+1

if (i+8) >= 1024:

break

t = struct.unpack_from('8s',data,i)

v1_dl = get_i(t,v1_l)

if v1_dl < 0:

print("***偏移%d:run片断长度不能为负!***"%(i+spoi))

break

i = i+ v1_l

if (i+8) >= 1024:

break

t = struct.unpack_from('8s',data,i)

v1_dp = get_i(t,v1_p)

slcn = slcn + v1_dp

lists.append([slcn,v1_dl])

i = i + v1_p

#print("%x,%x:%x,%x"%(v1_l,v1_p,v1_dl,slcn))

print("Runlist(共%d个片断):"%len(lists))

print("%20s%20s%20s"%("VCN","LCN","LEN"))

for i in lists:

print("%20d%20d%20d"%(svcn,i[0],i[1]))

svcn += i[1]

f.close()

执行效果如下:

root@zhangyu-VirtualBox:~/NTFS-5# python3 read_runlist.py mft_source.img

***参数数量或格式错误!

命令格式:

python3 read_runlist.py :

File name:要解释的包含runlist的文件名称

Start bytes:文件中要解释runlist的起始位置

Start LCN:runlist开始的参考LCN值,如果是一段完整的runlist,这个值应为0.

Start VCN:runlist开始的参考VCN值,如果是一段没有0x20的runlist,这个值多数为0.

*返回值:一个二维队列,打印结果。

root@zhangyu-VirtualBox:~/NTFS-5# python3 read_runlist.py mft_source.img 5688 0 0

Runlist(共18个片断):

VCN LCN LEN

0 32212 1

1 157952 2

3 207115 3

6 244046 3

9 122523 1

10 157991 1

11 170296 3

14 40552 5

19 149853 2

21 122721 2

23 141674 1

24 145783 3

27 158109 3

30 145820 1

31 240236 1

32 154081 1

33 166379 3

36 178711 3

weixin_39751391
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
python 数据恢复 编程_Python | 数据恢复实验室 Data Recovery Laboratory
weixin_33350741的博客
02-03 1200
最近使用Python为项目开发一款绘图工具(绘出 声场三维模型)。因为希望能把Python脚本发布为脱离Python平台运行的可执行程序,比如单个的exe文件。PyInstaller恰满足这个需求。本文PyInstaller的版本是2.0,支持Python2.7。下面讨论怎样安装,使用PyInstaller。PyInstaller本身并不属于Python包。在安装 pyinstaller 之前假设...
python实现数据恢复_数据恢复/电子取证 非常有用的python库——Construct | 学步园...
weixin_39638801的博客
12-01 514
和硬盘打交道,不免会用到字节、大\小端对齐、结构等。C语言定义了很多类型,我们定义一个结构,配合mem***函数、大小端转换宏等几乎可以应付了。Python就没那么好用了,因为它本身也不是为这种低级操作而设计的。处理这种二进制数据,貌似只有struct库能沾上一点边,它用起来像printf,数据一多就会把你搞晕的,它还有几个致命缺点:1. 不支持小于1个字节的;2. 数据格式固定。总的来说,它的扩...
NTFS数据恢复的c++类代码
05-06
自己写的NTFS数据恢复的c++类代码,可供学习ntfs参考,能实现数据恢复的功能
python unpack函数_python的struct.unpack函数
weixin_28939623的博客
01-14 7701
struct.unpack()句法:struct.unpack(fmt,string)返回根据给定格式(第一个参数)解压缩的值v1,v2,.... 此函数返回的值将作为大小的元组返回,该大小等于在打包期间通过struct.pack()传递的值的数量。import struct# '?' -> _BOOL , 'h' -> short, 'i' -> int and 'l' -&g...
分析MFT:深入了解NTFS文件系统的神器
最新发布
gitblog_00052的博客
05-22 333
分析MFT:深入了解NTFS文件系统的神器 项目地址:https://gitcode.com/dkovar/analyzeMFT 项目简介 analyzeMFT 是一个由David kovar开发的Python工具,专为解析NTFS文件系统中的Master File Table(MFT)而设计。这个开源项目旨在以最准确的方式提取和展示MFT中的信息,并支持多种输出格式。虽然作者目前不再维护这个项目...
学习Python开发数据恢复工具(1)
08-24 4464
近期,由于业务需要,需要培养几个同事来做数据恢复工具开发。经过多方考虑,最终选择Python语言,一是库多,二学习难度低。本人也是第一次接触Python,和同事一起学习,把学习过程记录,共同分享。 所需Python内容 Python3 环境搭建 Python3 基础语法 Python3 基本数据类型 Python3 解释Python3 注释 Python3 运算符 Python3 数字(N...
python如何读取文件数据恢复_如何找回丢失的文件数据
weixin_33397740的博客
03-02 1944
不论你是个仔细还是粗心的人,都不能左右意外的发生。有时候突然发现自己辛苦耕耘几个月的重要文件丢失,那心底的愤恨和凄凉是无法接受的。不过古语有云,塞翁失马焉知非福,既然丢失了我们如果能让它们恢复回来不是也有意外惊喜么!那么具体怎么恢复丢失的文件数据呢?下面来告诉大家。 1.误删除文件的恢复。(1)回收站的利用:一个文件在磁盘中包括目录项部分和数据部分。目录项部分包含有文件名、扩展名、文件大小、建立...
python实现 路径排序算法_python_代码_下载
06-08
NELL995_data 是NELL995的works_for关系数据集。 DFS.py 深度优先遍历获取基础路经,path_dfs_all.txt 是结果;path_dfs.txt 是部分结果;path_threshold.txt是加了限制后的结果 model.py 获取实体路经三元组的...
Hoeffding 树算法 的Python实现_python_代码_下载
06-07
霍夫丁树 Hoeffding 树算法的 Python 实现,也称为超快速决策树 ...比如大部分的类和变量名,都是遵循Weka的实现,是为了方便我一些习惯Weka的同行在执行数据挖掘任务时使用算法,但是后面的代码可能会有很大的变化.
code.rar_Python 实现基本数据结构_python 数据结构
07-15
数据结构的python实现,使用python实现基本的数据结构
Python数据分析与挖掘实战.zip_Python 数据挖掘_python_python 案例_python数据分析_挖掘实战
07-14
Python数据分析和挖掘的案例,非常不错
python入小课_代码实现30个.pdf
04-24
python入小课_代码实现30个.pdf
Python使用struct处理二进制(pack和unpack用法)
热门推荐
JackyOps
09-19 5万+
python有时需要处理二进制数据,例如 存取文件,socket操作时.这时候,可以使用python的struct模块来完成.可以用struct来处理c语言中的结构体. struct模块中最重要的三个函数是pack(), unpack(), calcsize # 按照给定的格式(fmt),把数据封装成字符串(实际上是类似于c结构体的字节流) pack(fmt, v1, v2, ...
python struct pack unpack
thinker
02-11 1313
为什么要进行 pack 操作和 unpack 操作 不同类型的语言支持不同的数据类型,比如 Go 有 int32、int64、uint32、uint64 等不同的数据类型,这些类型占用的字节大小不同,而同样的数据类型在其他语言中比如 Python 中,又是完全不同的处理方式,比如 Python 的 int 既可以是有符号的,也可以是无符号的,这样一来 Python 和 Go 在处理同样大小的数字...
Python实现数据库备份与恢复(定时&手动)
weixin_49291148的博客
04-25 4232
作用:Python定时备份数据库与恢复 优化:日志输出更详细,触发异常的error信息定位更具体 新增:添加了恢复数据的功能
python辅助u盘数据恢复
m0_56094505的博客
08-24 1394
u盘数据恢复+python辅助提取文件
Python 数据恢复实战 - 恢复U盘中的chk文件,以及误删的文件
qfcy的博客
11-04 5007
有时候,我们使用chkdsk工具之后,会发现硬盘里的文件消失了,其实是被系统临时放在了硬盘的"FOUND.xxx"文件夹里,可以用相关的软件恢复。本文介绍使用Python进行恢复数据的方法。
Python中struct.pack()和struct.unpack()用法详细说明
u012909001的博客
07-19 8604
转载:http://www.php.cn/python-tutorials-356984.html python中的struct主要是用来处理C结构数据的,读入时先转换为Python的字符串类型,然后再转换为Python的结构化类型,比如元组(tuple)啥的~。一般输入的渠道来源于文件或者网络的二进制流。 1.struct.pack()和struct.un
Pyecharts入门指南:Python实现数据可视化
Python数据可视化通过pyecharts实现了与Echarts的强大结合,不仅降低了数据可视化的复杂度,还提供了丰富的图表选项和自定义能力,适用于数据分析报告、网页应用等各种场景。学习者可以逐步掌握不同类型的图表创建和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值