关于ntfs被删除的文件如何查找
ntfs文件存储是基于b+树的索引如果删除了一个文件
那么索引里面对应的索引项就没了
所以请前辈指导下如何手动查找那些被删除的文件
读取$logfile文件么?
多谢 在 mft中查找. 在 mft中查找.
330wang 发表于 2011-10-14 05:13 http://bbs.intohard.com/images/common/back.gif
是否可以详细说明下?多谢撒
因为我之前也是从5号mft开始读取
分析90和runlist
但被删除的文件已经不在indx里面了
要是用mft的方式寻找的话 是否需要全盘搜索?
是否有其他较方便的办法 从mft 5开始到mft结束
每个record看是否是已删除的
话说楼主有$logfile的详细资料?
目前网上很多都不 ...
dnfreeuser 发表于 2011-10-14 08:29 http://bbs.intohard.com/images/common/back.gif
$logfile文件的资料 只找到这个http://www.reddragonfly.org/ntfs/files/logfile.html
如果从mft5到结束的话 是不是就不能按b+树的逻辑搜索了
毕竟那些被删除的文件已经不存在在indx的索引里了
类似全盘搜索 然后对比删除标志
不知道理解的是否正确?
多谢指点
才发现是银烁石大牛
话说你写的fscmd 关于被删除文件的查找 没找到具体命令
⊙﹏⊙b汗 回复 3# 白玉箫
直接在MFT搜索 文件名。不用从根目录开始。
楼主是否公开一下$LOGfile 资料? 回复 6# 330wang
我找到的资料也很模糊 5楼的链接
回复 7# dnfreeuser
ok 那明白了 多谢(49: 12345楼主发帖好辛苦支持一下 。呵呵 希望有人做一个这样的教程 好好学习 天天向上
页:
[1]
2