NTFS格式文件的定位.docxVIP

手工定位NTFS格式文件

第一步：

图片

如图所示，在E盘中有一张“haizeiwang.jpeg

第二步：用WINHEX工具打开E盘，第0扇区为E盘

DBR扇，如图可知：$MFT文件在(00000C0000000000H)簇，转换为十进制数也就是第786432簇=(786432*8)扇区

=6291456扇区。

此处(08H)为每簇所占扇区数

此处的8字节(00

000C00000000

00H)表示$MFT文

件的起始簇号！

第三步：定位到6291456扇区，也就是$MFT文件的文件

记录(普通情况都为两个扇区)，$MFT记录的前十六个文件记录都是固定的系统的十六个文件记录，由于我们要找文件位置，所以就要定位到系统文件$root(根目录文件记录)的文件记录。$root文件记录固定为第五个文件记录，又因为一个文件记录占用两个扇区，所以也就是$MFT文件记录后的第十个扇区，也就是(6291456+10)扇就是$root的文件记录。

第四步：定位到$root文件的文件记录，如下图，文件记

录里有不少文件的属性，这里我们用不到，也就不分析了。因为是根目录的文件记录，所以在普通情况下是两个扇区是无法记录完目录下的文件的，所以就有了