太好了,但是计算的哪有点不懂93955869
楼主的这个思路非常的好啊,谢谢分享你的经验
我们就直接来分析数据运行也只有这一个运行32 80 2D D5 58 17
这里边的32是什么意思?没有说啊93955869
163# e_cfj
32 80 2D D5 58 17
运行里存储了文件的起始簇号及所占的簇数。第一个字节的高4位表示的是文件的起始簇号在这个数据运行中所占的字节,(明显,在此运行中占3个字节)。而具体是占用的哪几个字节是数据运行的起始簇号要看第一个字节的低4位,低4位的所表示的是数据运行所占用的簇数在该运行中占用的字节数(也很明显占用了2个字节)。
那么这个运行的起始簇号为17 58 D5H即为1530069号簇。占用大小为2D 80H即为11648个簇。
这里说明一下,这个数据运行是有8个字节的,但我们计算时只用到了5个字节,后面的2个字节是没有意义的,因为在MFT中属性的长度总是能被8整除的,有时如果不能被8整除,系统会补上一些没有意义的数据,可能是0,也可能是别的,但当某一个运行位置描述的首字节的值为00H时,就表示这个运行结束了。所以这里只有一个运行。
我打印完,好好学习啊(38:
1# 逆水寒
我已经领悟了许多,但是这个方法在FAT16和FAT32中如何实现?93955869
学习了,好教程谢谢分享!
哇塞!~我正好要学这个呢?
非常地感谢~
楼主真是太有才了,什么时候我才能达到这种水平?
聪明的人聪明的头脑。。。多多进步哈。。。