假皮 发表于 2010-12-16 08:42:04

复合文档WORD的研究规律

复合文档WORD的研究规律


1,ROOT目录一般在结尾(多数为倒数第4个扇区,所占2个扇区。有些也在开头第3个扇区左右)

2,SSAT表一般在ROOT的结尾,结构与FAT表一样(一般所占1个扇区)

3,SAT表一般紧挨着在ROOT的上面,结构与FAT表一样(有时SAT表扇区可能不是连续的)不是连续的时候,在偏移4C填写的地方要注意不要写错了

4,SAT和SSAT表多数都是01 00 00 00开头的(有些也不是,需要注意,主要看结构)

5,MSAT的第一个扇区开始位置可根据SAT最后一个扇区号+1得到的数值区搜索(如最后一个扇区号是3A 04 00 00我们就可以查找3B 04 00 00偏移为0)MSAT的第二个扇区开始位置,就是第一个MSAT扇区最后4个字节给出的位置,以后扇区以此类推。

6,加密的文档恢复方法也是一样的。

009注!!

xiongdeyuan 发表于 2010-12-16 08:51:16

不错 ,支持下

2434243 发表于 2010-12-16 09:09:45

支持一下, ,楼主辛苦发上来的 以后看到 学习下

29213080 发表于 2010-12-16 09:21:23

楼主的好经验 , 学习了~

sgqms 发表于 2010-12-16 10:02:31

不错,学习了!

xc1981 发表于 2010-12-16 21:31:19

经验之谈谢谢

一见飚血 发表于 2010-12-16 21:56:49

学习了,谢谢

muzisixin885 发表于 2010-12-17 10:36:10

受教了 呵呵

624286945 发表于 2010-12-20 15:10:38

支持一下…………&

602431325 发表于 2011-1-9 12:44:19

楼主的好经验 , 学习了~
页: [1] 2
查看完整版本: 复合文档WORD的研究规律