16進エディタを使用してNTFSボリュームをマウントすると、関心のあるデータを含むボリューム内にオフセットが見つかりました。このボリュームオフセットを含むファイルのフルパス/名前を確認するにはどうすればよいですか。
1071 次
2 に答える
1
解決策を模索している方もいらっしゃるのではないでしょうか。この問題を解決するツールがあります: SleuthKit Tools.
パーティション テーブルの先頭からのバイト オフセットを指定すると、それを NTFS パーティションのブロック サイズ (通常は 4096) で割る必要があります。
ifind /dev/... -d block_offset => inode_number
ffind /dev/... inode_number => ファイルの場所
于 2015-08-23T12:37:56.547 に答える
0
MFT特定のオフセットを含むファイルを見つけるには、各ファイルのデータ属性を読み取って解析する必要があります。
デフォルトだけでなく、すべてのファイルストリームを確認する必要がある場合があるため、すべてのデータ属性を解析する必要があることに注意してください。
残念ながら、NTFSデータ属性のバイナリ構造へのクイックリンクが見つかりませんでした。あなたはこれのためにあなた自身です。
于 2010-04-28T17:51:04.980 に答える