我正在编写一个代码来解析NTFS的MFT。我正在尝试分析非住宅的数据运行$ INDEX_ALLOCATION attrib:
11 01 2C 11 02 FE 11 00 9F 0B 21 01 DB 00 21 01 D9 00 21 01 E0 00 21 01 F6 00 21 01 10 01 00 F1
重新组合后,我在数据运行3中看到问题: DataRun 1:11 01 2C DataRun 2:11 02 FE DataRun 3:11 00 9F< - 什么意思是“00”?
我尝试使用Active Disk Editor 3对其进行分析,此软件将其分解为: DataRun 3:11 00 9F 0B 在我看来,DataRun 3(“11”)的标题意味着1个长度和1个偏移,所以在标题之后应该有2个字节,但是有3个字节。
有什么想法吗?