我正在编写一个代码来解析 NTFS 的 MFT。我正在尝试分析非住宅 $INDEX_ALLOCATION 属性的数据运行:
11 01 2C 11 02 FE 11 00 9F 0B 21 01 DB 00 21 01 D9 00 21 01 E0 00 21 01 F6 00 21 01 10 01 00 F1
重组后,我在 Data Run No 3 中看到问题: DataRun 1: 11 01 2C DataRun 2: 11 02 FE DataRun 3: 11 00 9F <- “00” 是什么意思?
我尝试使用 Active Disk Editor 3 对其进行分析,该软件将其分解为: DataRun 3: 11 00 9F 0B 在我看来 DataRun 3 ("11") 的标头意味着 1 个长度和 1 个偏移量,因此标头后应该有 2 个字节,但是有3个字节。
任何想法?