使用十六进制编辑器挂载 NTFS 卷,我在卷中找到了一个包含我感兴趣的数据的偏移量。如何找出包含此卷偏移量的文件的完整路径/名称?
问问题
1071 次
2 回答
1
也许还有一些人在寻找解决方案。有一个工具可以解决这个问题:SleuthKit Tools。
给定分区表开头的字节偏移量,您必须将其除以 NTFS 分区的块大小(通常为 4096)。
ifind /dev/... -d block_offset => inode_number
find /dev/... inode_number => 文件位置
于 2015-08-23T12:37:56.547 回答
0
您需要读取MFT并解析每个文件的 Data 属性以找到包含特定偏移量的文件。
请注意,您可能需要查看每个文件流,而不仅仅是默认值,因此您必须解析所有 Data 属性。
不幸的是,我找不到 NTFS 数据属性的二进制结构的快速链接。这个是你自己的。
于 2010-04-28T17:51:04.980 回答