Используя шестнадцатеричный редактор для монтирования тома NTFS, я нашел смещение в томе, содержащем интересующие меня данные. Как узнать полный путь/имя файла, содержащего это смещение тома?
Как найти файл на томе NTFS с учетом смещения тома
Ответы (2)
Вам нужно прочитать MFT и проанализировать атрибуты данных для каждого файла, чтобы найти тот который включает конкретное смещение.
Обратите внимание, что вам может потребоваться просмотреть каждый поток файлов, а не только поток по умолчанию, поэтому вам придется проанализировать все атрибуты данных.
К сожалению, мне не удалось найти быструю ссылку на двоичную структуру атрибута данных NTFS. вы сами по себе для этого.
person
Franci Penov
schedule
28.04.2010
Драт. Я надеялся, что может быть инструмент, а не писать код самому. Ну что ж.
- person Charles; 28.04.2010
Возможно, есть еще люди, которые ищут решение. Для решения этой проблемы есть инструмент: SleuthKit Tools.
Учитывая смещение в байтах от начала таблицы разделов, вы должны разделить его на размер блока вашего NTFS-раздела (обычно 4096).
ifind /dev/... -d block_offset => inode_number
ffind /dev/... inode_number => Местоположение файла
person
Christian
schedule
23.08.2015
