|
[求助]ntfs文件系统中,找到了$mft如何再解析出文件来,网上资料太少,求大家指点下!!
你是不是要自己通过自己读取扇区内容,根据ntfs文件系统结构,查找某一文件内容?上午看你帖的时候还以为你要恢复$MFT这个文件的内容 找某一个文件的内容(如要读取文件F:\WINDOWS\SYSTEM32\abc.exe,具体步骤如下: (1)读取分区表/分区链表信息,找到磁盘F的起始扇区。 (2)读取F盘的第一个扇区(分区的BOOTSETOR)取得分区的每簇大小,MFT表起始簇号等信息。 (3)读取MFT表的第五个记录(根目录)找到目录索引所在簇号。 (4)读取根目录索引,查找WINDOWS目录所在的MFT记录号 (5)读取WINDOWS目录的MFT记录,找到目录索引所在簇号。 (6)读取WINDOWS目录的索引,查找SYTEM32目录所在MFT记录号 (7)读取SYTEM32目录的MFT记录,找到目录索引所在簇号。 (8)读取SYTEM32目录的索引,查找abc.exe所在MFT记录号 (9)读取abc.exe文件的MFT记录,找到它的DATA属性。 (10)根据DATA属性中指定的文件数据存放位置读取出abc.exe文件的数据。 推荐参考书:《数据安全与编程技术》 涂彦晖,戴士剑 |
|
|
|
|
|
[求助]请问IMAGE_EXPORT_DIRECTORY中Base的问题
"当通过Ordinal(序数)来查询一个函数时,用序数减去Base值,得到的结果被用来作进入EAT的索引“ Q:对于第一个序数0,如果减去Base值1就成0xFFFFFFFF,这个索引应该是错误的。但是问题出在什么地方呢? Ordinal(序数)是我们在GetProcAddress()中输入的,>= 1; 然后再减去Base得到进入EAT的索引 |
|
[求助]关于编写一个简单的磁盘整理软件
以簇为磁盘空间分配单位。读取,用户可以按照字节数来读取,操作系统实际上应该是按照页面大小来读取的吧 |
|
[求助]问一个DBR的问题
我来解释下: 1、程序开头表明了 686p,说明肯定是32位机,程序运行在实模式下面,只有20根地址线有效,但是不影响使用32位的EAX积存器。因为EAX是当作寄存器来使用,也就是用来存放数据,而不是用来存放指令地址的。 2、DS:24h == 它的前面有指令 MOV AX,7C00H (7C0h应该是你写错了) MOV DS,AX 也就是DS 指向了本段程序的开始位置,[24h] = 80h,其他的也都是这样,数据都在这个里面。 code:7C0C db 2, 8, 7 dup(0), 0F8h, 2 dup(0), 3Fh, 0, 0FFh, 0, 3Fh, 7 dup(0), 80h, 0, 80h, 0, 4Dh code:7C0C db 83h, 0EEh, 7 dup(0), 0Ch, 5 dup(0), 10h, 7 dup(0), 0F6h, 3 dup(0), 1, 3 dup(0), 61h code:7C0C db 0F5h, 0B9h, 0B3h, 2Fh, 0F6h, 33h, 13h, 4 dup(0) |
|
|
|
|
|
[求助]关于CreateFileMapping的使用方法
不需要 s_hFileMap = CreateFileMapping(INVALID_HANDLE_VALUE, NULL, PAGE_READWRITE, 0, 4 * 1024, TEXT("MMFSharedData")); |
|
|
|
|
|
[求助]怎样计算某一个运行程序的内存基址
Module = GetModuleHandle(); //进程映像的基址 |
|
[求助]菜鸟求助,修改exe文件
WinHex工具要装完整才能修改,UltraEdit修改后则它会备份 |
|
[求助]菜鸟求助,修改exe文件
这个很好找的。用程序也可以,手动改也可以。 192.168.100.200 在.exe 文件中是用字符串存储的。用WinHex或UltraEdit等16进制编辑器就可以直接修改。 |
|
[求助]硬盘I/O读写怎样扩展范围?[还没答案]
扩展INT13 是用8字节的空间来存放扇区号的,理论上可以读写2^64 * 512 Byte, 实际中可寻址空间为2T,2^32 * 512 = 2^41B = 2T。 |
|
|
|
[求助]求一本清晰的有顺序的WIN32汇编电子书!谢谢
推荐老罗的windows环境下32位汇编语言程序设计(第2版) |
|
[求助]判断已经联上互联网的最好方法?
楼上的瞎说! |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值