使用十六进制编辑器安装NTFS卷,我在包含我感兴趣的数据的卷中找到了一个偏移量。如何计算出包含此卷偏移量的文件的完整路径/名称? / p>
答案 0 :(得分:1)
也许仍有一些人在寻找解决方案。有一个工具可以解决这个问题:SleuthKit工具。
给定从分区表开头的字节偏移量,您必须将其除以NTFS分区的块大小(通常为4096)。
ifind / dev / ... -d block_offset => inode_number
ffind / dev / ... inode_number =>文件位置
答案 1 :(得分:0)
您需要阅读MFT并解析每个文件的数据属性,以找到包含特定偏移的文件。
请注意,您可能需要查看每个文件流,而不仅仅是默认值,因此您必须解析所有数据属性。
不幸的是,我找不到NTFS数据属性的二进制结构的快速链接。你自己就是这个。