ltgtp 发表于 2009-6-30 19:45:40

请教一个winhex恢复具体文件的问题

大家好,最近在学习用winhex恢复文件。
docxlspptbmpjpgpdfrar这些文件的开头标识都是比较好认的,
但是我在分析一个分区时,遇到一系列的以49 4E 44 58(INDX)开头的数据块,
每个49 4E 44 58都是位于sector的开头,我猜想应该是某种格式的文件,
请问大家知道这是什么格式吗?

ltgtp 发表于 2009-6-30 19:59:37

原来是根目录索引表,刚才看了一篇文章了解了。

haobinnan 发表于 2009-6-30 21:52:43

NTFS的索引INDX

chengjinle 发表于 2009-6-30 22:33:20

不错,有前途,进步很快恭喜你,太有才了

dgtan 发表于 2009-6-30 22:40:03

恭喜,真知离你好近,呵呵

sunfuxin 发表于 2009-7-1 09:07:46

INDX是NTFS的根目录

qiqin2736 发表于 2009-7-1 13:40:58

新手,刚来报到

qiqin2736 发表于 2009-7-12 21:46:41

是目录的索引表

qiqin2736 发表于 2009-7-12 21:49:04

如果目录下还有目录时,则此时目录所记录的文件信息很小,通常小于1KB,那么信息就记录在MFT中,
如果目录下有很多文件时,此时记录的信息很大,大于1KB,那么这时数据就放大另外的区域,需要运行指向
页: [1]
查看完整版本: 请教一个winhex恢复具体文件的问题