打开数据解释器
开始分析 NTF第一个扇区 就是他的DBR扇区
EB 52 90
0B 0C
表示一个扇区的字节大小 512字节0D
一个字节 是簇大小 每簇要占 8 个扇区1C 1F
四个字节 表示整个磁盘隐藏扇区数 204828 2F
64位 表示NTF整个分区大小 有多少扇区 分区大小 134,211,583
30 37
八个字节 表示MFT的起始簇号 786,432
*8
跳转扇区大小即可786432*8=6291456
在6291456号扇区38 3F
八个字节 表示MFTMIRO(MFT备份)的起始簇号
跳转
46 49 4C 45
FF FF FF FF
每个文件 都有文件记录项,文件记录项占用2个扇区
2C 2F
文件记录头序号
文件记录头
46 49 4C 45
16 17
代表文件状态 正在使用、删除····
14 15
表示文件记录头占用大小
38 00
即为3行多八个字节2C 2F
四个字节表示文件记录项的序号30 31
更新序列号 校验 应与记录项最后两个字节一致属性头
属性体的开头就是属性体的属性名
10H
属性:标准信息30H
属性:文件名80H
属性:数据90H
属性:索引根A0H
属性:索引分配属性项的大小
60H
代表6行 、 16 * 6
行 个字节常驻、非常驻性质
00H
01H
属性体大小:常驻
48H
代表4行多8个字节 、 16 * 8 + 8
个字节属性头大小:常驻
18H
代表1行多8个字节 、 16 * 1 + 8
个字节非常驻属性
簇流开始位置
40H
表示,从属性头向后4行之后 是数据流的信息31 40 00 00 0C 00 00 00
簇流第一个字节:压缩字节
31H
地位1 高位340H
簇流大小 占64个簇簇流可能出现多个簇流数据!
31 01 FF FF 0B 31 01 26 00 F4
31H
代表簇流的大小和位置,往后还有一个31H
代表另一个簇流的大小位置第二个簇的起始簇流-786,394
查找文本
46 49 4C 45
开头的,即为正确的文件项30H
属性中内容在80H
属性中
21H
01H
簇流大小 占1个簇2表示簇流大小后面2字节为簇流的起始簇号
6393 * 8 = 51144扇区
提取文件时,应该提取文件的实际大小