数据运行的解析问题

zhaoliangcn · 发表于 2009-3-7 09:02:28

谁能帮忙解析一下这个我d盘根目录元数据文件中a0h类型属性中的这段数据运行：
31 01 B9 88 13 31 01 A5 74 FF 31 01 D6 F9 C7 0C
03 89 F3 0B 31 01 DC 3A 01 21 01 27 07 31 01 54
E3 F2 31 01 3E C5 07 31 01 8A 22 0A 21 01 F6 FE
21 01 1E 03 21 01 0A 01 00 1D 5A E1 08 D0 71 81

run1 :31 01 B9 88 13
run2 :31 01 A5 74 FF
run3 :31 01 D6 F9 C7

????run4 :0C ????
运行4这里该怎么解释呢？
就算该a0H类型属性的数据运行是稀疏的，但是0C这个无法解释，“运行大小为0簇，运行起始簇号占C个字节”这样显然不可能。
运行这里我理解的比较浅显，谁能帮忙解释一下？

ijcl · 发表于 2009-3-9 10:22:36

运行4显然是不合法的,其实第3个运行也不对,你算算就知道了
假设簇大小是8扇区的话
计算结果是
10241480—— 10241487
9956080—— 9956087
-19416672——-19416665
显然,运行3也是错误的.

二月三日 · 发表于 2009-3-9 14:58:16

不明白，在找什么呢，如果是数据，八十属性啊

zhaoliangcn · 发表于 2009-3-11 22:28:43

用winhex可以提取出簇列表，但实在不知道winhex怎么得来的后面的运行。按照80H属性的解析，第一个，第二个运行计算的结果都是对的，第三个运行的结果按照原来的计算方法就无法得出。

zhaoliangcn · 发表于 2009-3-11 22:31:56

我在开发一款数据恢复软件，现在FAT/FAT32/NTFS下都能够正常稳定的恢复，A0H属性是索引分配，通过解析A0H类型属性可以加速扫描过程。

zhaoliangcn · 发表于 2009-3-11 22:34:00

多谢回帖，希望大家积极参与讨论。

tclrz100e · 发表于 2009-3-12 00:16:23

这个数据运行是有点怪，不知LZ是否能上传这个MFT的镜像文件（2个扇区）来分析一下。

dnfreeuser · 发表于 2009-3-12 08:37:14

提示: 作者被禁止或删除内容自动屏蔽

tclrz100e · 发表于 2009-3-12 08:42:53

原帖由 dnfreeuser 于 2009-3-12 08:37 发表

 登录/注册后可看大图

每个扇区的最后两字节要自己恢复的。以前就是这个问题困扰了我好久，就是没人说......

31 01 B9 88 13 31 01 A5 74 FF 31 01 D6 F9 C7 0C
C7 0C这两个明显不对

我知道你要问的问题，但你不上传这个MFT的镜像，别人怎么给你问满意的答案？