- 以管理员身份!打开winhex,
tools->open disk选择逻辑磁盘。
- 去到MFT处。选择
navigation->go to sector->cluster中输入786432.
第五个元素记录根目录的相关信息。一个记录占两个扇区,因此要在原来的扇区数上加十:6291456+10=6291466。
- 对于这个(根目录信息)文件记录,有一个Index Allocation属性,ID为0xA0. 此属性用来指示这个文件(即根目录)的索引所在的簇号。依次经过10、20...找到A0
找到data run
有两条记录:11 01 2C和03 b5 36
第一条记录中,2C是起始簇号,十进制为44,跳到44号簇的位置:
第二条记录,44+03 b5 36转换为十进制:
第五个元素记录根目录的相关信息。一个记录占两个扇区,因此要在原来的扇区数上加十:6291456+10=6291466。
找到data run
