-
-
[求助]通过文件记录遍历根目录下的所有文件,不能遍历完整,跪了~~
-
发表于: 2013-5-30 11:06
-
1、这里以C盘为例,首先读取MBR等信息获取$MFT文件记录的起始地址以及第5个文件记录$Root的首地址。
2、分析$Root的各个属性,首先获取$90属性,里面一般会存放一两个文件信息;此后获取$A0的属性值,获取RunData数据,得到索引项的首地址,如下图
3、来到索引项处,根据特定的数据结构解析
4、现在的问题是,会提前中断,不能遍历完所有的文件
5、现在去WinHex中查找8000这一项,而后直接遇到了结束项,后面能找到未遍历到的文件的字符串,但是结构就对不上了,这就完全没懂了
,求大神留步指点
2、分析$Root的各个属性,首先获取$90属性,里面一般会存放一两个文件信息;此后获取$A0的属性值,获取RunData数据,得到索引项的首地址,如下图
3、来到索引项处,根据特定的数据结构解析
4、现在的问题是,会提前中断,不能遍历完所有的文件
5、现在去WinHex中查找8000这一项,而后直接遇到了结束项,后面能找到未遍历到的文件的字符串,但是结构就对不上了,这就完全没懂了
,求大神留步指点
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
