2 sqqsongqiqi sqqsongqiqi 于 2015.05.26 16:56 提问

如何用winhex在MFT表中添加记录被文件系统识别? 5C

如何用winhex在MFT表中添加记录被文件系统识别?

步骤如下:

1 我先在根目录下新建一个很小的TXT文件 例如a.txt 里面有内容123456789
2 用winhex找到啊a.txt在MFT表中的记录 复制十六进制数据
3 将复制的内容在MFT表中新建一个记录 修改其中的文件记录参考号+1 文件名 完成
但是 实际上没有被识别到
而且附加操作 新建一个文件 发现我刚刚粘贴的文件倍覆盖了

我以为是不是ntfs还有别的地方记录了 文件记录的索引 ?

3个回答

caozhy
caozhy   Ds   Rxr 2015.05.26 17:00

如果你使用windows 7,完全可以创建一个vhdx虚拟磁盘(注意要选择固定模式,不要动态扩展模式或者差分模式),不要太大,比如20MB,格式化成ntfs格式,然后你复制一份。
把复制的那份挂到系统中,然后创建一个文本文件。再取消挂载。用二进制文件比较工具看前后两个镜像的差异,也就是windows是怎么做的。照着模仿即可。

sqqsongqiqi
sqqsongqiqi   2015.05.27 08:51

发现一个关键位置
$INDEX_ROOT 索引根属性
也许不仅仅要填充记录 还得在父目录填充子文件和子目录的索引

sqqsongqiqi
sqqsongqiqi   2015.05.27 10:40

发现一个问题 修改子文件的MFT索引号+1
然后将 父目录中子文件的MFT索引号+1 进行统一 文件无法打开?

是不是有一个地方维护了 MFT的索引号 ? 不能随便自己修改???

Csdn user default icon
上传中...
上传图片
插入图片