从 NTFS 映像中提取 $bitmap 文件

Question

有谁知道有什么软件可以从 NTFS 图像中提取 $bitmap 文件吗？

或者有人知道有哪个网站提供了足够的 NTFS 文档，以便我可以自己编写代码吗？

（我想读取 $bitmap 这样我就可以识别哪些簇没有使用，这样就可以将它们从图像中删除。）

Answer 1

在这份早期出版物中，有一个才华横溢的人的一小段：

http://www.alex-ionescu .com/NTFS.pdf

Answer 2

我在另一个地方回答了这个问题，但在实时 Windows 计算机上，最好的答案可能是使用 FSCTL_GET_VOLUME_BITMAP。这将反映 FS 知道但不在磁盘上的任何更改。

Answer 3

还有 Brian Carrier 的“取证文件系统”。它确实详细解释了 NTFS。
ntfs.org 也很有帮助。

由于 $Bitmap 是系统文件，因此您无法打开并读取它。另请注意，如果磁盘正在使用中，它可能会发生变化。