有没有人知道任何可以从NTFS图像中提取$bitmap文件的软件?
或者有没有人知道任何足以记录NTFS的网站,以便我自己编写代码?
(我想阅读$bitmap,以便我可以确定哪些群集未被使用,因此可以从图像中删除它们。)
答案 0 :(得分:2)
这个早期出版物中有一个由人才组成的短段:
答案 1 :(得分:0)
Brian Carrier还有“取证文件系统”。它确实详细解释了NTFS。 ntfs.org也很有用。
由于$Bitmap是系统文件,因此您无法打开并阅读它。还要注意,如果磁盘正在使用中,它可能会发生变化。
答案 2 :(得分:0)
我在另一个地方回答了这个问题,但在实时Windows机器上,最好的答案可能就是使用FSCTL_GET_VOLUME_BITMAP。这将反映FS知道的不在磁盘上的任何更改。