软件安全2.找到文件所占簇号(windows)

  1. 以管理员身份!打开winhex,tools->open disk选择逻辑磁盘。
    打开箭头下的boot sector template

    软件安全2.找到文件所占簇号(windows)_第1张图片
    MFT开始簇号为786432
  2. 去到MFT处。选择navigation->go to sector->cluster中输入786432.
    软件安全2.找到文件所占簇号(windows)_第2张图片
    MFT前几个数据如图
    第五个元素记录根目录的相关信息。一个记录占两个扇区,因此要在原来的扇区数上加十:6291456+10=6291466。
    软件安全2.找到文件所占簇号(windows)_第3张图片
    go to...
  3. 对于这个(根目录信息)文件记录,有一个Index Allocation属性,ID为0xA0. 此属性用来指示这个文件(即根目录)的索引所在的簇号。依次经过10、20...找到A0


    软件安全2.找到文件所占簇号(windows)_第4张图片

    找到data run



    有两条记录:11 01 2C和03 b5 36

    第一条记录中,2C是起始簇号,十进制为44,跳到44号簇的位置:


    软件安全2.找到文件所占簇号(windows)_第5张图片
    第一条data run

    第二条记录,44+03 b5 36转换为十进制:
    软件安全2.找到文件所占簇号(windows)_第6张图片
    第二条记录

你可能感兴趣的:(软件安全2.找到文件所占簇号(windows))