Início / user-1144251

user3629081's questions

Martin Hope
user3629081
Asked: 2023-06-30 22:16:53 +0800 CST
  • 8

Por motivos principalmente acadêmicos, tenho aprendido a interpretar a execução da cadeia de clusters do bloco de atributos de dados de um registro MFT de um volume NTFS.

Assisti a um vídeo que mostra um exemplo. Aqui está o exemplo:

Bandeiras | Contagem de clusters | Primeiro cluster
41 02 f8 38 c7 01
21 02 c5 07
31 04 83 43 01
21 08 c0 fc
31 10 44 0b 00
31 01 f7 ef f9
21 1f c6 e7
21 10 6b 28
31 01 00 52 e4

Agora, o vídeo mostra algum software de edição de disco que está interpretando a saída hexadecimal. Isso é útil, porque o autor do vídeo pula completamente pelo menos 3 conceitos fundamentais:

  1. O campo "Primeiro cluster" é cumulativo. Fácil o suficiente para descobrir se você usar uma calculadora.
  2. O campo "First cluster" é um inteiro com sinal, para que possa navegar para trás no disco. Isso foi mais complicado de descobrir, mas eu entendi.
  3. O terceiro conceito completamente ignorado é quando o byte menos significativo do campo "First cluster" é zero. Como esses campos são interpretados como little-endian e como esse é um campo de comprimento flexível (os sinalizadores dizem quantos bytes), então por que você teria zeros à esquerda?

Então, aqui está como eu calculo.

Bandeiras | Contagem de clusters | Primeiro cluster
41 02 f8 38 c7 01
2 clusters começando no cluster # 29.833.464
21 02 c5 07
2 mais clusters começando em 1.989 de 29.833.464, que é o cluster # 29.835.453
31 04 83 43 01
Mais 4 clusters começando em 82.819 de 29.835.453, que é o cluster # 29.918.272
21 08 c0 fc
8 mais clusters começando em 832 antes de 29.918, 272, que é o cluster nº 29.917.440
31 10 44 0b 00
16 mais clusters começando em 2.884 de 29.917.440, que é o cluster # 29.920.324
É aqui que minha matemática se desvia da matemática deles. Eles dizem cluster # 29.840.452. Preciso de ajuda aqui.
31 01 f7 ef f9
21 1f c6 e7
21 10 6b 28
31 01 00 52 e4

Como funciona a matemática quando você tem zeros à esquerda em um dos campos? Também tenho um exemplo separado em que os zeros à esquerda estão no campo "Contagem de clusters", não no campo "Primeiro cluster"; isso é tratado de forma diferente?"

filesystems