我有一个分区,格式化为 NTFS。我研究过格式化为 NTFS 的设备有一个 MFT(主文件表),其中包含有关设备内容的大量信息。
MFT 真的是文件吗?
它位于哪里?
如何查看?
我实际上想查看 $BITMAP 以了解分区中所有文件和目录的位置。
更新:似乎我只能使用 HexEditor 查看 MFT 文件。虽然仍在寻找更多选择...
问问题
12387 次
4 回答
4
访问磁盘的集群 BITMAP 可以通过FSCTL_GET_VOLUME_BITMAP API 调用来读取。但是,它不会告诉每个集群中有哪些文件。您需要解析 MFT(更快)或在每个文件上递归调用FSCTL_GET_RETRIEVAL_POINTERS(慢)。
于 2010-09-05T20:16:18.660 回答
0
如果您的意图是列出驱动器中的文件并查看它们的路径,请在此处查看源文件链接。这家伙解析 MFT 并搜索其中是否存在文件。只需修改代码即可帮助您获取文件和目录的路径。
于 2014-04-05T17:47:43.780 回答
-1
我不完全知道它在哪里,但你可以尝试下一条路径\\.\C:,据我所知就是这样。您可以查看该程序,该程序显示了如何获取已删除的文件。
于 2012-04-14T19:29:26.137 回答
-6
MFT 不是文件。MFT 是文件系统的一部分。要查看它,您必须访问较低级别的磁盘,例如块模式。
于 2010-08-08T15:30:27.770 回答