复合文档WORD的研究规律

假皮 · 发表于 2010-12-16 08:42:04

复合文档WORD的研究规律

1，ROOT目录一般在结尾（多数为倒数第4个扇区，所占2个扇区。有些也在开头第3个扇区左右）

2，SSAT表一般在ROOT的结尾，结构与FAT表一样（一般所占1个扇区）

3，SAT表一般紧挨着在ROOT的上面，结构与FAT表一样（有时SAT表扇区可能不是连续的）不是连续的时候，在偏移4C填写的地方要注意不要写错了

4，SAT和SSAT表多数都是01 00 00 00开头的（有些也不是，需要注意，主要看结构）

5,MSAT的第一个扇区开始位置可根据SAT最后一个扇区号+1得到的数值区搜索（如最后一个扇区号是3A 04 00 00我们就可以查找3B 04 00 00偏移为0）MSAT的第二个扇区开始位置，就是第一个MSAT扇区最后4个字节给出的位置，以后扇区以此类推。

6，加密的文档恢复方法也是一样的。

009注！！