如何使用正确的字段名称查看 NTFS $MFT?

信息安全 视窗 工具 取证 文件系统 ntfs
2021-08-24 21:33:02

我正在尝试查看NTFS 主文件表到目前为止,我使用的每个工具都会提取所有条目,但会放置非标准标题,例如STANDARD_INFORMATION_ON而不是 say $STANDARD_INFORMATION

我已经尝试过MFT2CSVntfswalk64MFT_Parser,但我想要一个工具,它可以为我提供原始格式的 MFT,所以我可以看到它们应该是的条目,即使我无法在没有解码的情况下读取时间戳.

有谁知道更准确和更原始的工具?

2个回答

我编写了一个解析 $MFT 记录和整个 $MFT 文件的工具。如果您能够读写 Python,那么以您想要的任何形式转储您想要的任何工件都会相对容易。代码在这里:

https://github.com/dkovar/analyzeMFT

其它你可能感兴趣的问题
上一篇字符串的 md5(或任何散列)是否包含空终止符? 下一篇如何知道两个 IP 地址是否指向同一个 Web 服务器?