数据运行的解析问题

huangczm · 发表于 2009-3-13 12:11:15

这个运行应该是跨越了两个扇区吧？不然不会有这种情况！

zhaoliangcn · 发表于 2009-3-13 19:30:02

该MFT有两个A0H类型属性，两个B0H类型属性，第二个A0H类型属性似乎是可以获得正确的簇列表，那么，在什么情况下，会有两个A0H和两个B0H呢

tclrz100e · 发表于 2009-3-13 19:42:34

这么特别的MFT，LZ能不能上传个镜像，让我们见识见识？

zhaoliangcn · 发表于 2009-3-13 20:23:47

附件上传该mft，文本格式存储，d.txt
请大家帮忙解析，谢谢

tclrz100e · 发表于 2009-3-13 22:11:09

LZ先按这个图中的第三个和第四个Dataruns对应的数据看对不对，如果对，我们再继续探讨这个问题！！

tclrz100e · 发表于 2009-3-13 22:24:17

这个MFT中的后面一个A0属性和B0属性是这个MFT原来残留的信息（后来可能由于某种原因，MFT的数据减少导致的），既然第二个A0能得到正确的数据，而第一个是现在的A0属性，唯一有区别就是在扇区的最后两个字节（更新序列号）把原来正确的数据覆盖了，但它一定在这个MFT中的某一位置存在！LZ只要再多比较一下，然后在研究一下，答案就出来了（其实你离成功只差一步）！！多想想，有时自己研究出来的，比别人给你现成的答案，印象要深的多，我的提示到此为止！！

dnfreeuser · 发表于 2009-3-18 11:00:04

提示: 作者被禁止或删除内容自动屏蔽

ijcl · 发表于 2009-3-18 16:52:16

众多高手参与讨论，真是热闹，我谈下自己的看法

31 01 B9 88 13 31 01 A5 74 FF 31 01 D6 F9 D2 0C
03 89 F3 0B 31 01 DC 3A 01 21 01 27 07 31 01 54
E3 F2 31 01 3E C5 07 31 01 8A 22 0A 21 01 F6 FE
21 01 1E 03 21 01 0A 01 00 1D 5A E1 08 D0 71 81
应该是残留的datarun,其中的D2 0C是魔法数字，从14楼的附件来看，这两个扇区最后两个魔法数字都是D2 0C,
也就是说
最后两个魔法数字将原来的残留的datarun的两个字节覆盖了，其中0C被覆盖前应该是 31
D2只能分析全盘才能得出结论，能否分析出来和有没有必要分析要看情况而定，不知道各位高手对我的看法能不能给个意见？

[ 本帖最后由 ijcl 于 2009-3-18 16:53 编辑 ]