yjip520 发表于 2014-8-6 16:03:30

ntfs文件系统下的$RECYCLE.BIN子文件名30属性保存的是短文件名如何找到长文件名?

在MFT头里面多了20属性。现在没有找到20属性里那些的具体含意。求高手指教……,如何分析出长文件名。

bsmao 发表于 2014-8-6 18:01:31

    既然有20属性(属性列表),说明一个文件记录放不下所有的属性,剩下的只能保存在一个新的文件记录中,并且依此类推。
    20属性中描述了这些新的文件记录的文件记录号。从贴图上看,第二个30属性存放在173780号文件记录中。所以跳转到173780号文件记录,也就找到了第二个30属性,就能根据属性分析出长文件名了。

yjip520 发表于 2014-8-6 19:08:25

20属性(属性列表)怎么分析,很少的资料。你怎么分析出173780号文件记录,哦是不是20里面都含有10 30 等属性的位置 。根据我上面的图片分析20里面是不是有10 0X04C8,30 0X01C8,30 0XA6D4,有不有详细的结构说明。为什么是读这两位。

yjip520 发表于 2014-8-6 19:16:37

bsmao有没有讲解20属性结构的资料。你是怎么分析出下个文件记录号。为是什么不是0X2d4a6呢?

yjip520 发表于 2014-8-6 19:37:53

你好。你有没有分析20属性的结构资料。我在网上没有找到。现在看到你的回答。有一点了解了20属性里的10 30 也是表示的属性。不知道是不是正确的。但是不知道结构所以不知道怎么分析 。比如我20属性里有 30 00 00 00 20 00 00 1A 00 00 00 00 00 00 00 00   
                                                         D4 A6 02 00 00 00 1A 00 00 D9 C5 E8 03 00 00 为什么下个30属性的文件记录号为什么是0x2d4a6,后面指的什么哟。还有偏移到1A后。D9C5030000代表什么。

bsmao 发表于 2014-8-6 21:39:15

学习一下《数据恢复深度揭秘》和《数据重现》这两本书,对于入门很有帮助,网上有pdf 。

i1988 发表于 2014-8-6 21:54:38

正在看《数据恢复深度揭秘》实体书,还是看纸质的舒服。

2535743738 发表于 2014-8-6 22:26:34

yjip520 发表于 2014-8-7 10:22:26

我也是看的这个。感觉结果上讲得不太深入。

数据重现55 发表于 2016-3-28 14:07:15

在学习中,,,,,,
页: [1] 2
查看完整版本: ntfs文件系统下的$RECYCLE.BIN子文件名30属性保存的是短文件名如何找到长文件名?