分区总扇区数的计算
进入分区0号扇区(WinHex点击一下分区自动跳转到0扇区)
当前位置偏移到6291456(十进制偏移)扇区(大约是3GB大小的位置)*截图一张
找到偏移之后的右侧ASCII字符串的$MFT(对应的Hex是24 00 4D 00 46 00 54),左侧24 00 4D 00 46 00 54下一行的开头为MFT的80属性,80属性向下第四行为簇流运行,下截图为例
如图所示 31 40 00 00 0C
分解第一个数字 31 后面的1代表 31 数字后1个字节 (这里指的是40)前面的3代表40后面三个字节(00 00 0C);这里读取的时候直接跳过一个字节读取连续三个字节的参数;
上图示范2:假设80属性下的簇流运行的参数为33 40 21 30 00 00 51 则这里直接跳过33后面三个字节之后读取连续三个字节参数;
读取参数的方法,打开数据解释器,点击后面需要连续读取参数的第一个字节,查看数据解释器的32bit参数
此处的参数得知为786432
然后从此处向下偏移12个扇区(十进制12)到$Bitmap文件位置,使用模板读取Bitmap文件大小
从上图得知,Bitmap的大小为491424字节
计算簇大小,使用公式:簇大小 = $MFT文件位置 / 上图得到簇流运行参数
分区总扇区数 = Bitmap大小 8 簇大小 -1
上图参数可直接计算簇大小的数值为:6291456 / 786432 = 8
分区总扇区数 = 491424 8 8 - 1 = 31451135
评论