NTFS文件系统扇区存储探秘(第14章修改Bitmap扇区实现文件隐藏)
第14章 修改Bitmap扇区实现文件隐藏
有关读书的作文在NTFS文件系统的元数据文件中,有一个对簇的使用情况进行标记的文件,该文件称作“位图文件”,文件名为“$Bitmap”。
在位图文件的MFT表中,记录了位图文件的数据存储地址,该数据存储地址的字段记录方式与其他文件是相同的。
电脑亮度怎么调在位图文件的数据区内,扇区中的每一个字节的每一个位,表示了在本逻辑驱动器中的每一个簇的使用情况。如果某一个位为“0”,则表示其对应的簇未用,如果某一个位为“1”,则表示其对应的簇已经分配使用。 火凤凰演员表
如果将位图文件数据区内的某些原来为“0”的位,使用有关的工具程序修改为“1”,再在这些位所对应的簇中,写入需要隐藏的文件数据,就能实现隐藏文件的目的。
使用这种操作方法,能够实现隐藏文件的原理是这样的:系统在将文件数据写入扇区时,首先
要寻位图文件数据区中的“0”位,然后将文件数据写入这些“0”位所对应的簇中。对于那些为“1”的位,系统则认为它们所对应的簇已经分配使用,就不会再使用它们了。直到使用这些簇的文件被删除以后,系统将那些“1”位改为“0”位以后,这些对应的簇才会重新被分配使用。
使用这种方法写入扇区的文件数据,在其他的系统文件里没有记录,也不会在系统使用的任何控件或插件中表示出来。所以除了操作者之外,任何人都不可能发现这种隐藏的文件。
如果操作者本人需要使用隐藏文件时,可以使用读取扇区数据的方法,将文件恢复出来然后使用。所以这种隐藏文件的方法,适用于那些使用频率不高的文件。
大学生演讲稿这种隐藏文件方法的优点是:
1(文件数据是通过对物理扇区的写入而存储的,所以没有文件名,因此不存在误删除的问题。 保罗沃克没死
2(文件数据隐藏的效果好,其他人很难通过非法手段获得数据。
3(即使对逻辑盘进行了格式化,或是对硬盘重新进行了分区,存储在扇区中的数据仍然能够保存完好。同时由于当初写入数据时,必然记下了写入的扇区地址,所以恢复文件数据时的操作非常简单、准确和高效。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论