博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
软件安全2.找到文件所占簇号(windows)
阅读量:5072 次
发布时间:2019-06-12

本文共 388 字,大约阅读时间需要 1 分钟。

  1. 以管理员身份!打开winhex,tools->open disk选择逻辑磁盘。
    打开箭头下的boot sector template
    MFT开始簇号为786432
  2. 去到MFT处。选择navigation->go to sector->cluster中输入786432.
    MFT前几个数据如图第五个元素记录根目录的相关信息。一个记录占两个扇区,因此要在原来的扇区数上加十:6291456+10=6291466。
    go to...
  3. 对于这个(根目录信息)文件记录,有一个Index Allocation属性,ID为0xA0. 此属性用来指示这个文件(即根目录)的索引所在的簇号。依次经过10、20...找到A0
    1240找到data run
    1240
    有两条记录:11 01 2C和03 b5 36
    第一条记录中,2C是起始簇号,十进制为44,跳到44号簇的位置:
    第一条data run
    第二条记录,44+03 b5 36转换为十进制:
    第二条记录

转载于:https://www.cnblogs.com/yingtaomj/p/6751972.html

你可能感兴趣的文章
PHP count down
查看>>
JVM参数调优:Eclipse启动实践
查看>>
(旧笔记搬家)struts.xml中单独页面跳转的配置
查看>>
不定期周末福利:数据结构与算法学习书单
查看>>
strlen函数
查看>>
Java中的String,StringBuilder,StringBuffer三者的区别
查看>>
Python爬虫
查看>>
python的列表与shell的数组
查看>>
关于TFS2010使用常见问题
查看>>
软件工程团队作业3
查看>>
python标准库——queue模块 的queue类(单向队列)
查看>>
火狐、谷歌、IE关于document.body.scrollTop和document.documentElement.scrollTop 以及值为0的问题...
查看>>
深入理解JVM读书笔记--字节码执行引擎
查看>>
vue-搜索功能-实时监听搜索框的输入,N毫秒请求一次数据
查看>>
批处理 windows 服务的安装与卸载
查看>>
React文档翻译 (快速入门)
查看>>
nodejs fs路径
查看>>
动态规划算法之最大子段和
查看>>
linux c:关联变量的双for循环
查看>>
深入浅出理解zend framework(三)
查看>>