Файл $bitmap извлечения из Изображения NTFS
Делает любой знает о любом программном обеспечении, которое может извлечь $bitmap файл из изображений NTFS?
Или кто-либо знает какого-либо сайта, что документы NTFS достаточно так, чтобы я мог кодировать это сам?
(Я хочу читать $bitmap таким образом, я могу определить, какие кластеры не используются, таким образом, они могут быть удалены из изображений.)
3 ответа
В этой ранней публикации талантливого человека есть один короткий абзац:
Есть также "Forensic File Systems" Брайана Кэрриера. Он подробно объясняет NTFS. ntfs.org также может оказаться полезным.
Поскольку $Bitmap является системным файлом, вы не можете открыть его и прочитать. Также имейте в виду, что если диск используется, он может измениться.
Я ответил на этот вопрос в другом месте, но на работающем компьютере с Windows лучшим ответом, вероятно, будет использование FSCTL_GET_VOLUME_BITMAP. Это будет отражать любые изменения, о которых знает FS и которых нет на диске.