我尝试从python的本地磁盘读取MFT表。当然,如果我写这样的话:
input_file = open('C:\$MFT', "rb")
我会得到
[Errno 13]许可被拒绝:' C:\ $ MFT'
我尝试使用pyMFTGrabber,但它没有用;我得到了很多" socket.errors"。
使用Python读取此文件的最佳和最简单的方法是什么?
也许是一些WinAPI,还是其他什么?
阅读后我想用"analyzeMFT"
答案 0 :(得分:1)
python非常痛苦,因为它并不完全是低级别的。
我认为你应该从这开始:
L" \\ \ C:\ $ MFT" 是您在MS的VC ++ API中需要使用的命名空间,以便创建MFT的句柄。
您应该考虑查看您提到的抓取器的源代码pyMFTGrabber并向下滚动到底部,它会向您显示作者如何访问该文件(它看起来很准确 - 读取扇区而不是尝试直接访问$ MFT,它看起来也很好评论)。如果您阅读了项目的详细信息,则表示它是一个从实时系统中检索NTFS文件系统的主文件表(MFT)记录的脚本。'
答案 1 :(得分:0)
与此同时,出现了其他选项:有一个库来分析来自名为analyzeMFT的NTFS文件系统的主文件表($ MFT)。
上找到的来源安装它analyzeMFT.py旨在从NTFS完全解析MFT文件 文件系统并尽可能准确地呈现结果 多种格式。
pip install analyzeMFT