有谁能帮我分析一下这个文件记录
我想在这个文件记录中找到文件中文件的文件记录的起始簇.已经研究了很长时间了,这个文件夹里面有一个叫lcm.doc的文件。我就是要找他的起始簇号,就是不知道哪个偏移是。 是不是应该先搜索lcm.doc在mft中的位置啊 lcm.doc的文件在$MFT的记录号为1F(第31个)记录中找该文件的$80属性中找文件的起始簇吧 80属性里有run list,找到这个文件的MFT,80属性里找, 可是这是一个文件夹,里面没有80属性啊! 文件夹里好像没有80属性,一般有90、A0 B0属性,如果这个文件夹里的文件或者文件夹比较少,只有A0属性,A0属性中放的就是这个文件夹中的文件或者文件夹的一些数据(主要是文件或者文件夹的30属性中的一些内容),如果文件夹里的文件或者文件夹比较多时,会出现A0和B0属性。90属性和B0属性总是常驻属性,A0属性总是非常驻属性。你这个文件夹中只有一个文件,所以这个文件的一些数据放在90属性中,没有A0属性和B0属性(A0属性和B0属性是同时出现的)。A0属性中只有这个文件的MFT参考号、父目录的MFT文件参考号、文件建立 修改 存取时间、文件大小、文件名等信息,所以在这里是找不么这个文件内容是占用哪些簇,如果要知道这个文件的内容,可以从文件的MFT参考号那儿开始找(如果想从文件夹这条线索找的话),从90属性中的索引项的内容可以看出:lcm.doc这个文件的MFT参考号是20H,换成10进制是32。所以现在你可以在第32个文件记录那儿找到你要的答案。下图是对你的图做了部分的标注,仅供参考!!
谢谢华兄的解答,真是太精彩了,再次谢谢你
[ 本帖最后由 tclcm056 于 2008-7-20 21:45 编辑 ] 我刚刚试了一下,LCM.DOC文件的文件记录在685482号扇 区,没有在20H上,
是不是我哪块弄错了还是我理解错了,请与指点,谢谢 20H是$MFT记录号,具体的文件开始簇得从记录的80属性中得到 分析的不错啊
页:
[1]