标签: filesystems ntfs
我注意到NTFS扇区的最后两个字节在不可预测的方式上运行。有时,它们与上下文无关。例如,这是扇区的最后8个字节。它是一个运行列表。
41 01 80 CB 92 00 E7 09
读取运行列表的函数将E7解析为数据运行头,因此它返回了一个非常拥抱的值。
此外,一些空扇区只填充了最后两个字节。