0
使用十六進制編輯器掛載NTFS卷時,我發現卷中包含我感興趣的數據的偏移量。如何找出完整路徑/包含此卷偏移量的文件的名稱?如何在給定卷偏移的情況下在NTFS捲上查找文件
A
回答
0
您需要閱讀MFT並解析每個文件的數據屬性才能找到包含特定偏移量的數據屬性。
請注意,您可能需要查看每個文件流,而不僅僅是默認值,因此您必須解析所有數據屬性。
不幸的是,我找不到到NTFS數據屬性的二進制結構的快速鏈接。這是你自己的。
0
也許還有一些人在尋找解決方案。這個問題有一個工具:SleuthKit Tools。
給定從分區表開始的字節偏移量,您必須將它除以NTFS分區的塊大小(通常爲4096)。
的ifind的/ dev/... -d block_offset => inode_number文件
相關問題
- 1. 如何在沒有分配盤符的情況下獲取卷的卷文件系統?
- 2. 捲曲上傳:給文件不存在
- 3. 如何Twilio查找捲曲代碼轉移到PHP捲曲
- 4. 如何在沒有迭代的情況下在SOLR查詢中找到特定文檔的偏移量?
- 5. NTFS-Search(一個OSS項目)可以掃描NTFS捲上的任何文件嗎?
- 6. 如何在這種情況下使用龍捲風協程?
- 7. 估計NTFS捲上的USN記錄數
- 8. PHP - 捲曲默認情況下不
- 9. 捲動偏移溢出隱藏文獻
- 10. 如何停止在OS X上自動掛載NTFS卷?
- 11. 如何在給定條件的情況下編寫上下文無關語法
- 12. 在不使用DLL的情況下在Delphi中使用捲曲
- 13. 如何查找系統卷?
- 14. 基於DFT的OpenCV的卷積偏移
- 15. PHP捲曲工作的somecase,而不是在一些情況下
- 16. 在我的情況下,PHP捲曲輸出空白
- 17. CLI捲曲PHP捲曲上傳文件
- 18. 如何在給定字符數的情況下查找JTextField的寬度?
- 19. jQuery平滑滾動偏移量只在壓縮捲上?
- 20. 如何在給定上下文的情況下獲取佈局Inflater?
- 21. 如何在沒有IDE的情況下查找聲明/定義?
- 22. 爲什麼捲曲在這種情況下失敗?
- 23. 如何在不瀏覽文件的情況下上傳文件?
- 24. Docker:容器如何在容器中沒有卷的情況下保存數據?
- 25. 如何在運行RabbitMQ實例的情況下正確地快照EBS卷?
- 26. Primefaces環球免稅店 - 如何在沒有膠捲的情況下導航
- 27. 如何在沒有捆綁權重的情況下實現卷積連接?
- 28. 如何在不更換的情況下複製/移動文件
- 29. 如何在無需移動批處理文件的情況下
- 30. 如何查找磁盤卷的格式
討厭鬼的
ffind的/ dev/... inode_number =>位置。我希望可能有一種工具,而不必親自編寫代碼。好吧。 – Charles 2010-04-28 18:06:48