诡异的indx到FILERECORD
事情是这个样子的遍历某个ntfs盘文件的时候 遇到了从indx索引计算某个文件夹位置错误的情况
首先是mft的文件图:
然后是indx图片 第一索引项应该是cfg文件夹
最后是正确的cfg文件夹FileRecord图片
从最后一图可以看出cfg文件夹偏移位置为0x7309a4000
但偶计算出来的是c0000000+0x1c754 * 2 * 512
与正确值相差甚远
求各路大神指点 多谢~~
ps:应该不是碎片问题导致 因为其他盘也有碎片 但都没有问题 问题2:
也是计算位置出现问题
首先是mft图片
然后是mft的indx索引图里面的1文件夹
最后是1文件夹的正确偏移filerecord图
多谢多谢撒~ 簇大小 4096,每簇record数 4
1--- mft record num---169fd=92669
mft runlist
32 40 3e 00 00 0c--0x0c0 ...
dnfreeuser 发表于 2012-2-10 13:16 http://bbs.intohard.com/images/common/back.gif
原来如此多谢银烁石兄指点
页:
[1]