我成功写了一个MFT文件的文件记录解析器(它解析了MFT数据运行并且数据似乎是连贯的)。我仍然很难拨入。我现在遇到的问题与$ DATA属性数据运行解析有关。
我运行的数据是41 01 81 3B 83 00 FC 18,分组后的数据是41 01 81 3B 83 00 | FC 18。第一次运行具有4个字节的偏移量和1个字节的长度,因此它是“ 8600449”簇的偏移量和1个簇的长度。第二轮让我感到困惑,因为它似乎是负面的。我发现的关于该主题的资源即使在文件稀疏或压缩的情况下也没有提到这一点。偏移量本身可以是负数,但长度如何?该文件有786个字节,因此完全适合第一次运行数据。