Как найти файл на томе NTFS с учетом смещения тома

Question

Используя шестнадцатеричный редактор для монтирования тома NTFS, я нашел смещение в томе, содержащем данные, которые меня интересуют. Как я могу определить полный путь / имя файла, содержащего это смещение тома?

Answer 1

Возможно, еще есть люди, которые ищут решение. Существует инструмент для решения этой проблемы: SleuthKit Tools.

Учитывая смещение в байтах от начала таблицы разделов, вы должны разделить его на размер блока вашего NTFS-раздела (обычно 4096).

ifind / dev / ... -d block_offset => номер_узла

ffind / dev / ... inode_number => Расположение файла

Answer 2

Вам нужно прочитать MFT и проанализировать атрибуты данных для каждого файла, чтобы найти тот, который включает конкретное смещение.

Обратите внимание, что вам может потребоваться просмотреть каждый поток файлов, а не только стандартный, поэтому вам нужно проанализировать все атрибуты данных.

К сожалению, я не смог найти быструю ссылку на двоичную структуру атрибута NTFS Data. ты один для этого.