NTFS分区格式化后用WINHEX手工提取数据一例

e_cfj · 发表于 2009-6-9 16:23:05

太好了,但是计算的哪有点不懂[qq]93955869[/qq]

twq119 · 发表于 2009-6-9 22:08:28

楼主的这个思路非常的好啊，谢谢分享你的经验

e_cfj · 发表于 2009-6-10 08:32:07

我们就直接来分析数据运行也只有这一个运行32 80 2D D5 58 17

这里边的32是什么意思?没有说啊[qq]93955869[/qq]

逆水寒 · 发表于 2009-6-10 11:14:51

163# e_cfj

32 80 2D D5 58 17

运行里存储了文件的起始簇号及所占的簇数。第一个字节的高4位表示的是文件的起始簇号在这个数据运行中所占的字节，（明显，在此运行中占3个字节）。而具体是占用的哪几个字节是数据运行的起始簇号要看第一个字节的低4位，低4位的所表示的是数据运行所占用的簇数在该运行中占用的字节数（也很明显占用了2个字节）。
那么这个运行的起始簇号为17 58 D5H即为1530069号簇。占用大小为2D 80H即为11648个簇。
这里说明一下，这个数据运行是有8个字节的，但我们计算时只用到了5个字节，后面的2个字节是没有意义的，因为在MFT中属性的长度总是能被8整除的，有时如果不能被8整除，系统会补上一些没有意义的数据，可能是0，也可能是别的，但当某一个运行位置描述的首字节的值为00H时，就表示这个运行结束了。所以这里只有一个运行。