从 NTFS 图像中提取 $bitmap 文件答案

【问题标题】：Extract $bitmap file from NTFS Image从 NTFS 图像中提取 $bitmap 文件
【发布时间】：2010-06-21 00:35:15
【问题描述】：

有人知道有什么软件可以从 NTFS 图像中提取$bitmap 文件吗？

或者有没有人知道有足够的 NTFS 文档，以便我可以自己编写代码？

（我想阅读$bitmap，这样我就可以确定哪些集群没有被使用，因此可以从图像中删除它们。）

【问题讨论】：

标签： ntfs

【解决方案1】：

这本早年有才华的人发表的一小段：

【讨论】：

我还发现了这个：data.linux-ntfs.org/ntfsdoc.pdf 这应该足够我自己做。
在dubeyko.com/development/FileSystems/NTFS/ntfsdoc.pdf 和jaist.dl.sourceforge.net/project/ntfsofuefi/… 找到的镜像将来也可能会消失。立即获取您的副本。
Wayback Machine 拥有 Alex Ionescu 的原件：web.archive.org/web/20110124171746/http://www.alex-ionescu.com/…
虽然理论上可以回答这个问题，it would be preferable 在这里包含答案的基本部分，并提供链接以供参考。

【解决方案2】：

我在不同的地方回答了这个问题，但在实时 Windows 机器上，最好的答案可能是使用 FSCTL_GET_VOLUME_BITMAP。这将反映 FS 知道的不在磁盘上的任何更改。

【讨论】：

【解决方案3】：

还有 Brian Carrier 的“Forensic File Systems”。它确实详细解释了 NTFS。 ntfs.org 也很有帮助。

由于$Bitmap是系统文件，所以不能打开阅读。另请注意，如果磁盘正在使用中，它可能会发生变化。

【讨论】：