NTFS0x90屬性和0xa0屬性和0xb0屬性的一一對應關系是index_entry中的index_node中VCN和runlist和bitmap

第一部分:

0: kd> dt _FILE_RECORD_SEGMENT_HEADER 0xc1241400
Ntfs!_FILE_RECORD_SEGMENT_HEADER
?? +0x000 MultiSectorHeader : _MULTI_SECTOR_HEADER
?? +0x008 Lsn????????????? : _LARGE_INTEGER 0x80e74aa
?? +0x010 SequenceNumber?? : 5
?? +0x012 ReferenceCount?? : 1
?? +0x014 FirstAttributeOffset : 0x38
?? +0x016 Flags??????????? : 3
?? +0x018 FirstFreeByte??? : 0x2b8
?? +0x01c BytesAvailable?? : 0x400
?? +0x020 BaseFileRecordSegment : _MFT_SEGMENT_REFERENCE
?? +0x028 NextAttributeInstance : 0xa
?? +0x02a SegmentNumberHighPart : 0
?? +0x02c SegmentNumberLowPart : 5
?? +0x030 UpdateArrayForCreateOnly : [1] 0x131
0: kd> dt ATTRIBUTE_RECORD_HEADER 0xc1241400+38
Ntfs!ATTRIBUTE_RECORD_HEADER
?? +0x000 TypeCode???????? : 0x10
?? +0x004 RecordLength???? : 0x48
?? +0x008 FormCode???????? : 0 ''
?? +0x009 NameLength?????? : 0 ''
?? +0x00a NameOffset?????? : 0x18
?? +0x00c Flags??????????? : 0
?? +0x00e Instance???????? : 0
?? +0x010 Form???????????? : __unnamed
0: kd> dt ATTRIBUTE_RECORD_HEADER 0xc1241400+38+48
Ntfs!ATTRIBUTE_RECORD_HEADER
?? +0x000 TypeCode???????? : 0x30
?? +0x004 RecordLength???? : 0x60
?? +0x008 FormCode???????? : 0 ''
?? +0x009 NameLength?????? : 0 ''
?? +0x00a NameOffset?????? : 0x18
?? +0x00c Flags??????????? : 0
?? +0x00e Instance???????? : 1
?? +0x010 Form???????????? : __unnamed
0: kd> dt ATTRIBUTE_RECORD_HEADER 0xc1241400+38+48+60
Ntfs!ATTRIBUTE_RECORD_HEADER
?? +0x000 TypeCode???????? : 0x40
?? +0x004 RecordLength???? : 0x28
?? +0x008 FormCode???????? : 0 ''
?? +0x009 NameLength?????? : 0 ''
?? +0x00a NameOffset?????? : 0
?? +0x00c Flags??????????? : 0
?? +0x00e Instance???????? : 9
?? +0x010 Form???????????? : __unnamed
0: kd> dt ATTRIBUTE_RECORD_HEADER 0xc1241400+38+48+60+28
Ntfs!ATTRIBUTE_RECORD_HEADER
?? +0x000 TypeCode???????? : 0x50
?? +0x004 RecordLength???? : 0x48
?? +0x008 FormCode???????? : 0x1 ''
?? +0x009 NameLength?????? : 0 ''
?? +0x00a NameOffset?????? : 0x40
?? +0x00c Flags??????????? : 0
?? +0x00e Instance???????? : 2
?? +0x010 Form???????????? : __unnamed
0: kd> dt ATTRIBUTE_RECORD_HEADER 0xc1241400+38+48+60+28+48
Ntfs!ATTRIBUTE_RECORD_HEADER
?? +0x000 TypeCode???????? : 0x90
?? +0x004 RecordLength???? : 0xe0
?? +0x008 FormCode???????? : 0 ''
?? +0x009 NameLength?????? : 0x4 ''
?? +0x00a NameOffset?????? : 0x18
?? +0x00c Flags??????????? : 0
?? +0x00e Instance???????? : 6
?? +0x010 Form???????????? : __unnamed
0: kd> dt ATTRIBUTE_RECORD_HEADER 0xc1241400+38+48+60+28+48+e0
Ntfs!ATTRIBUTE_RECORD_HEADER
?? +0x000 TypeCode???????? : 0xa0
?? +0x004 RecordLength???? : 0x58
?? +0x008 FormCode???????? : 0x1 ''
?? +0x009 NameLength?????? : 0x4 ''
?? +0x00a NameOffset?????? : 0x40
?? +0x00c Flags??????????? : 0
?? +0x00e Instance???????? : 8
?? +0x010 Form???????????? : __unnamed
0: kd> dt ATTRIBUTE_RECORD_HEADER 0xc1241400+38+48+60+28+48+e0+58
Ntfs!ATTRIBUTE_RECORD_HEADER
?? +0x000 TypeCode???????? : 0xb0
?? +0x004 RecordLength???? : 0x28
?? +0x008 FormCode???????? : 0 ''
?? +0x009 NameLength?????? : 0x4 ''
?? +0x00a NameOffset?????? : 0x18
?? +0x00c Flags??????????? : 0
?? +0x00e Instance???????? : 7
?? +0x010 Form???????????? : __unnamed
0: kd> dt ATTRIBUTE_RECORD_HEADER 0xc1241400+38+48+60+28+48+e0+58+28
Ntfs!ATTRIBUTE_RECORD_HEADER
?? +0x000 TypeCode???????? : 0xffffffff
?? +0x004 RecordLength???? : 0
?? +0x008 FormCode???????? : 0 ''
?? +0x009 NameLength?????? : 0 ''
?? +0x00a NameOffset?????? : 0
?? +0x00c Flags??????????? : 0
?? +0x00e Instance???????? : 0
?? +0x010 Form???????????? : __unnamed


第二部分:

0: kd> db? 0xc1241400+38+48+60+28+48+e0+58
c1241688? b0 00 00 00 28 00 00 00-00 04 18 00 00 00 07 00? ....(...........
c1241698? 08 00 00 00 20 00 00 00-24 00 49 00 33 00 30 00? .... ...$.I.3.0.
c12416a8? 03 00 00 00 00 00 00 00-ff ff ff ff 00 00 00 00? ................
c12416b8? 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00? ................
c12416c8? 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00? ................
c12416d8? 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00? ................
c12416e8? 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00? ................
c12416f8? 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00? ................


c12416a8? 03 00 00 00 00

0011 0000 0000 0000?? ?說明第一個vcn和第二個vcn都被使用

第三部分:

0: kd> db 0xc1241400+38+48+60+28+48+e0
c1241630? a0 00 00 00 58 00 00 00-01 04 40 00 00 00 08 00? ....X.....@.....
c1241640? 00 00 00 00 00 00 00 00-01 00 00 00 00 00 00 00? ................
c1241650? 48 00 00 00 00 00 00 00-00 20 00 00 00 00 00 00? H........ ......
c1241660? 00 20 00 00 00 00 00 00-00 20 00 00 00 00 00 00? . ....... ......
c1241670? 24 00 49 00 33 00 30 00-31 01 5d 71 51 31 01 8c? $.I.3.0.1.]qQ1..
c1241680? 6a b0 00 e1 48 d9 17 ba-b0 00 00 00 28 00 00 00? j...H.......(...
c1241690? 00 04 18 00 00 00 07 00-08 00 00 00 20 00 00 00? ............ ...
c12416a0? 24 00 49 00 33 00 30 00-03 00 00 00 00 00 00 00? $.I.3.0.........

31 01 5d 71 51?? ?長度為1:0x51715d是LCN號

31 01 8c 6a b0?? ?長度為1:0xbo6a8c是LCN號

第四部分:

0: kd> dt index_root? 0xc1241400+38+48+60+28+48+20
Ntfs!INDEX_ROOT
?? +0x000 IndexedAttributeType : 0x30
?? +0x004 CollationRule??? : 1
?? +0x008 BytesPerIndexBuffer : 0x1000
?? +0x00c BlocksPerIndexBuffer : 0x1 ''
?? +0x00d Reserved???????? : [3]? ""
?? +0x010 IndexHeader????? : _INDEX_HEADER
0: kd> dx -id 0,0,899a2278 -r1 (*((Ntfs!_INDEX_HEADER *)0xc1241580))
(*((Ntfs!_INDEX_HEADER *)0xc1241580))???????????????? [Type: _INDEX_HEADER]
??? [+0x000] FirstIndexEntry? : 0x10 [Type: unsigned long]
??? [+0x004] FirstFreeByte??? : 0xb0 [Type: unsigned long]
??? [+0x008] BytesAvailable?? : 0xb0 [Type: unsigned long]
??? [+0x00c] Flags??????????? : 0x1 [Type: unsigned char]
??? [+0x00d] Reserved???????? [Type: unsigned char [3]]
0: kd> dt index_entry? 0xc1241400+38+48+60+28+48+20+20
Ntfs!INDEX_ENTRY
?? +0x000 FileReference??? : _MFT_SEGMENT_REFERENCE
?? +0x000 DataOffset?????? : 0xd4a
?? +0x002 DataLength?????? : 0
?? +0x004 ReservedForZero? : 0x10000
?? +0x008 Length?????????? : 0x88
?? +0x00a AttributeLength? : 0x6e
?? +0x00c Flags??????????? : 1?? ??? ??? ?//索引節點VCN?? ?00000000 00000000
?? +0x00e Reserved???????? : 0
0: kd> dd 0xc1241400+38+48+60+28+48+20+20+88-8
c1241610? 00000000 00000000 00000000 00000000
c1241620? 00000018 00000003 00000001 00000000
c1241630? 000000a0 00000058 00400401 00080000
c1241640? 00000000 00000000 00000001 00000000
c1241650? 00000048 00000000 00002000 00000000
c1241660? 00002000 00000000 00002000 00000000
c1241670? 00490024 00300033 715d0131 8c013151
c1241680? e100b06a ba17d948 000000b0 00000028
0: kd> dt index_entry? 0xc1241400+38+48+60+28+48+20+20+88
Ntfs!INDEX_ENTRY
?? +0x000 FileReference??? : _MFT_SEGMENT_REFERENCE
?? +0x000 DataOffset?????? : 0
?? +0x002 DataLength?????? : 0
?? +0x004 ReservedForZero? : 0
?? +0x008 Length?????????? : 0x18
?? +0x00a AttributeLength? : 0
?? +0x00c Flags??????????? : 3?? ??? ??? ?//索引節點VCN?? ?c1241628? 00000001 00000000
?? +0x00e Reserved???????? : 0
0: kd> dd? 0xc1241400+38+48+60+28+48+20+20+88+18-8
c1241628? 00000001 00000000 000000a0 00000058
c1241638? 00400401 00080000 00000000 00000000
c1241648? 00000001 00000000 00000048 00000000
c1241658? 00002000 00000000 00002000 00000000
c1241668? 00002000 00000000 00490024 00300033
c1241678? 715d0131 8c013151 e100b06a ba17d948
c1241688? 000000b0 00000028 00180400 00070000
c1241698? 00000008 00000020 00490024 00300033

本文來自互聯網用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。
如若轉載,請注明出處:http://www.pswp.cn/bicheng/82372.shtml
繁體地址,請注明出處:http://hk.pswp.cn/bicheng/82372.shtml
英文地址,請注明出處:http://en.pswp.cn/bicheng/82372.shtml

如若內容造成侵權/違法違規/事實不符,請聯系多彩編程網進行投訴反饋email:809451989@qq.com,一經查實,立即刪除!

相關文章

PCB 通孔是電容性的,但不一定是電容器

哼?……這是什么意思?…… 多年來,流行的觀點是 PCB 通孔本質上是電容性的,因此可以用集總電容器進行建模。雖然當信號的上升時間大于或等于過孔不連續性延遲的 3 倍時,這可能是正確的,但我將向您展示為什…

Flutter 3.32 新特性

2天前,Flutter發布了最新版本3.32,我們來一起看下29到32有哪些變化。 簡介 歡迎來到Flutter 3.32!此版本包含了旨在加速開發和增強應用程序的功能。準備好在網絡上進行熱加載,令人驚嘆的原生保真Cupertino,以及與Fir…

漢諾塔超級計算機數據區結構和源代碼詳細設計

### 數據區結構與源代碼詳細設計 基于"滿秩二叉樹"存儲模型的設計理念,我設計了以下數據區結構和實現方案: #### 1. 滿秩二叉樹存儲模型 **數據結構設計**: python class TreeNode: """二叉樹節點結構&#xff0c…

GitHub Copilot 現已支持 AI Coding Agent

VS Code 開始越來越像 Cursor 和 WindSurf 了。 這周,GitHub 發布了一個新的編程代理,直接嵌入到 GitHub 中。當你將 GitHub 問題分配給 Copilot 或在 VS Code 中提示它時,該代理會啟動一個由 GitHub Actions 驅動的安全且完全可定制的開發環境。 這一公告來自微軟首席執行…

【辰輝創聚生物】FGF信號通路相關蛋白:解碼生命調控的關鍵樞紐

在生命科學的探索旅程中,成纖維細胞生長因子(Fibroblast Growth Factor,FGF)信號通路猶如精密儀器中的核心齒輪,驅動著眾多生命活動的有序進行。FGF 信號通路相關蛋白作為該通路的重要組成部分,其結構與功能…

算法的學習筆記— 構建乘積數組(牛客JZ66)

構建乘積數組 1. 問題背景與描述 1.1 題目來源與鏈接 本題來源于NowCoder在線編程平臺,是劍指Offer系列面試題中的經典問題。題目鏈接為:NowCoder。該問題在算法面試中出現頻率較高,主要考察數組操作和數學思維。 1.2 問題描述與要求 給…

SpringBoot+ELK 搭建日志監控平臺

ELK 簡介 ELK(Elasticsearch, Logstash, Kibana)是一個目前主流的開源日志監控平臺。由三個主要組件組成的: Elasticsearch: 是一個開源的分布式搜索和分析引擎,可以用于全文檢索、結構化檢索和分析,它構建…

python36

仔細回顧一下神經網絡到目前的內容,沒跟上進度的同學補一下進度。 作業:對之前的信貸項目,利用神經網絡訓練下,嘗試用到目前的知識點讓代碼更加規范和美觀。 # 先運行之前預處理好的代碼 import pandas as pd import pandas as pd…

SGlang 推理模型優化(PD架構分離)

一、技術背景 隨著大型語言模型(LLM)廣泛應用于搜索、內容生成、AI助手等領域,對模型推理服務的并發能力、響應延遲和資源利用效率提出了前所未有的高要求。與模型訓練相比,推理是一個持續進行、資源消耗巨大的任務,尤…

模型實戰(28)之 yolov5分類模型 訓練自己的數據集

模型實戰(28)之 yolov5分類模型 訓練自己的數據集 本文以手寫數字數據集為例總結YOLO分類模型如何訓練自己的數據集,關于數據集的預處理可以看這篇:https://blog.csdn.net/yohnyang/article/details/148209978?spm=1001.2014.3001.5502 yolov5曾是在 2021-2023 年十分流行…

醫學寫作人才管理策略

1. 人才選擇:精準定位核心能力 1.1 人才篩選標準 1.1.1 硬性要求 初創生物制藥公司醫學寫作崗位對專業背景要求嚴格,候選人需具備醫學、藥學或生物學碩士及以上學歷,博士優先。同時,熟悉ICH、FDA/EMA等法規指南是必備條件,且至少有1-3年醫學寫作經驗,或相關領域如臨床研…

Axure酒店管理系統原型

酒店管理系統通常被設計為包含多個模塊或界面,以支持酒店運營的不同方面和參與者。其中,管理端和商戶端是兩個核心組成部分,它們各自承擔著不同的職責和功能。 軟件版本:Axure RP 9 預覽地址:https://556i1e.axshare.…

云原生安全之HTTP協議:從基礎到實戰的安全指南

🔥「炎碼工坊」技術彈藥已裝填! 點擊關注 → 解鎖工業級干貨【工具實測|項目避坑|源碼燃燒指南】 一、基礎概念:HTTP協議的核心要素 HTTP(HyperText Transfer Protocol)是云原生應用中客戶端與服務器通信的基礎協議&a…

怎樣解決photoshop閃退問題

檢查系統資源:在啟動 Photoshop 之前,打開任務管理器檢查 CPU 和內存的使用情況。如果發現資源占用過高,嘗試關閉不必要的程序或重啟計算機以釋放資源。更新 Photoshop 版本:確保 Photoshop 是最新版本。Adobe 經常發布更新以修復…

修復ubuntu server筆記本合蓋導致的無線網卡故障

下班回到家發現走時還好的局域網 ubuntu server 24 連不上了,趕緊打開筆記本查看下原因,發現控制臺出了一堆看不懂的內容: 根據搜索結果,筆記本合蓋導致無線網卡故障可能與電源管理設置和系統休眠策略有關,以下是具體…

CMake指令:find_package()在Qt中的應用

目錄 1.簡介 2.Qt 核心組件與常用模塊 3.配置模式的工作流程 4.完整示例:構建 Qt GUI 應用 5.常見問題與解決方案 6.總結 1.簡介 在 CMake 中使用 find_package(Qt) 是集成 Qt 庫的核心步驟。Qt 從 5.x 版本開始全面支持 配置模式(Config Mode&…

Docker 鏡像調試最佳實踐

當你已經構建了一個 Docker 鏡像,但運行它的容器啟動后立即退出(通常是因為服務異常或配置錯誤),你仍然可以通過以下幾種方式進入鏡像內部進行調試。 ? 最佳實踐:如何對一個“啟動即退出”的鏡像進行命令行調試&#…

使用Java制作貪吃蛇小游戲

在這篇文章中,我將帶你一步步實現一個經典的貪吃蛇小游戲。我們將使用Java語言和Swing庫來構建這個游戲,它包含了貪吃蛇游戲的基本功能:蛇的移動、吃食物、計分以及游戲結束判定。 游戲設計思路 貪吃蛇游戲的基本原理是:玩家控制…

【linux】umask權限掩碼

umask這個接口在一些程序初始化的時候經常會見到,處于安全性,可以縮小進程落盤文件的權限。 1、linux文件系統的權限規則 文件的默認權限由系統決定(通常是 0666,即所有人可讀可寫)。 目錄的默認權限通常是 0777&am…

esp32cmini SK6812 2個方式

1 #include <SPI.h> // ESP32-C系列的SPI引腳 #define MOSI_PIN 7 // ESP32-C3/C6的SPI MOSI引腳 #define NUM_LEDS 30 // LED燈帶實際LED數量 - 確保與實際數量匹配&#xff01; #define SPI_CLOCK 10000000 // SPI時鐘頻率 // 顏色結構體 st…