数据运行的解析问题
谁能帮忙解析一下这个我d盘根目录元数据文件中a0h类型属性中的这段数据运行:31 01 B9 88 13 31 01 A5 74 FF 31 01 D6 F9 C7 0C
03 89 F3 0B 31 01 DC 3A 01 21 01 27 07 31 01 54
E3 F2 31 01 3E C5 07 31 01 8A 22 0A 21 01 F6 FE
21 01 1E 03 21 01 0A 01 00 1D 5A E1 08 D0 71 81
run1 :31 01 B9 88 13
run2 :31 01 A5 74 FF
run3 :31 01 D6 F9 C7
????run4 :0C ????
运行4这里该怎么解释呢?
就算该a0H类型属性的数据运行是稀疏的,但是0C这个无法解释,“运行大小为0簇,运行起始簇号占C个字节”这样显然不可能。
运行这里我理解的比较浅显,谁能帮忙解释一下? 运行4显然是不合法的,其实第3个运行也不对,你算算就知道了
假设簇大小是8扇区的话
计算结果是
10241480—— 10241487
9956080—— 9956087
-19416672——-19416665
显然,运行3也是错误的. 不明白,在找什么呢,如果是数据,八十属性啊
回复 2# 的帖子
用winhex可以提取出簇列表,但实在不知道winhex怎么得来的后面的运行。按照80H属性的解析,第一个,第二个运行计算的结果都是对的,第三个运行的结果按照原来的计算方法就无法得出。回复 3# 的帖子
我在开发一款数据恢复软件,现在FAT/FAT32/NTFS下都能够正常稳定的恢复,A0H属性是索引分配,通过解析A0H类型属性可以加速扫描过程。 多谢回帖,希望大家积极参与讨论。 这个数据运行是有点怪,不知LZ是否能上传这个MFT的镜像文件(2个扇区)来分析一下。 原帖由 dnfreeuser 于 2009-3-12 08:37 发表 http://bbs.intohard.com/images/common/back.gif每个扇区的最后两字节要自己恢复的。以前就是这个问题困扰了我好久,就是没人说......
31 01 B9 88 13 31 01 A5 74 FF 31 01 D6 F9 C7 0C
C7 0C这两个明显不对
我知道你要问的问题,但你不上传这个MFT的镜像,别人怎么给你问满意的答案?