NTFS分区格式化后用WINHEX手工提取数据一例

逆水寒 · 发表于 2008-7-6 11:32:26

看到这么多朋友顶，真的好高兴.以后再有好的案例一定放上来大家共同交流.

tclrz100e · 发表于 2008-7-6 11:37:52

原帖由 逆水寒 于 2008-7-6 11:28 发表
我上面说了呀，新建一个文本记事本就行了，输入想要查找的文件名保存，再用WINHEX打开就行了

我的不行，要一个转换工具才能行！！下一个帖子中我上传两个样本你看看。

tclrz100e · 发表于 2008-7-6 11:44:05

可能是电脑的原因吧！！

lughon · 发表于 2008-7-6 15:53:16

这个我想楼主少说了一句话,用记事本保存UNICODE格式再用WINHEX打开,去掉头FFFE,就是我们想要的了

[ 本帖最后由 lughon 于 2008-7-6 15:56 编辑 ]

chaowei2008 · 发表于 2008-7-6 16:13:10

现在的好人还真多哈哈谢谢了

johnson · 发表于 2008-7-6 16:26:21

多个DATA RUN书中有详细介绍.......我理解是多个DATA RUN就是类似FAT的不连续簇链.....

其实我们可以利用NTFS的文件名存储去找文件名.....

我是这样的:::客户提供名字的话....我会在NTFS分区建立一个与之相同的文件....然后用WINHEX找刚刚建立的文件....转到文件记录....如果是常驻的...一点该文件就到文件记录了...然后再文件记录里找$30文件名属性值...那个就是我们想找的UNICODE文件名了

这方法有点迂回...但我喜欢（38：