【发布时间】:2011-02-13 11:31:40
【问题描述】:
使用十六进制编辑器挂载 NTFS 卷,我在卷中找到了一个包含我感兴趣的数据的偏移量。如何找出包含此卷偏移量的文件的完整路径/名称?
【问题讨论】:
标签: ntfs
【发布时间】:2011-02-13 11:31:40
【问题描述】:
也许还有一些人在寻找解决方案。有一个工具可以解决这个问题:SleuthKit Tools。
给定从分区表开始的字节偏移量,您必须将其除以 NTFS 分区的块大小(通常为 4096)。
ifind /dev/... -d block_offset => inode_number
find /dev/... inode_number => 文件位置
【讨论】:
您需要读取MFT 并解析每个文件的数据属性以找到包含特定偏移量的文件。
请注意,您可能需要查看每个文件流,而不仅仅是默认文件,因此您必须解析所有 Data 属性。
很遗憾,我找不到 NTFS 数据属性的二进制结构的快速链接。你要靠你自己。
【讨论】:
-
德拉特。我希望可能有一个工具,而不是自己编写代码。哦,好吧。