在使用硬盘物理扇区读写技术,探索NTFS文件系统的扇区存储规律的过程中,有时需要了解一个扇区区段中,都有哪些扇区发生了写操作。
如果设定的扇区区段比较小,例如只有几个扇区,或至多几十个扇区,前面章节中介绍的工具程序完全可以胜任。
如果根据实际操作的需要,必须将扇区区段设定的很大,例如设定几万个扇区,甚至将某一个逻辑驱动器的全部扇区都包括在内,前面介绍的工具程序就无能为力了。如果一个扇区一个扇区地进行查看和对比,且不说浪费很多时间,操作者的劳动强度也是可想而知的。
为此,笔者编写了本节的“监测扇区数据变化. exe”程序。该程序的第一个功能是“备份扇区校验值”,能在操作者设定的扇区区段中进行扫描,将每一个扇区的特征值记录在备份文件中。
硬盘经过了其他操作以后,在设定的扇区区段内,某些扇区可能发生了写操作。操作者只要再运行该程序,使用程序的第二个功能“比较扇区校验值”,将区段内现在的扇区特征值,与先前记录在备份文件中的扇区特征值逐一进行比较,就能发现哪些扇区被写进了新数据,从而找到文件系统的某些扇区存储规律。
由于对扇区特征值进行备份和比较的两个过程,都是由程序自动进行的,所以工作效率很高,并且避免了人工比较容易出现的失误。
在对NTFS文件系统进行探秘的过程中,有时需要查找扇区中系统记录的某一个字段的位置。而扇区中的字段值是以十六进制的形式记录的,所以需要将扇区数据先转换成十六进制,然后再与扇区中的字段进行比较,以便确定字段记录的位置。
本节介绍的工具程序,能根据操作者输入的字节值,进行扇区扫描。当找到符合要求的扇区以后,将扇区号显示在对话框中。
高手在这里啊 呵呵
程序在这里呀;
第3个封面吧。
第一个好。
支持一下。。。。。。。。。。。。。
我比较喜欢第二个,
完善一下,不同的工具,尝试
完善一下,不同的工具,尝试