|
|
0
发表于: 2011-01-22
, 来自: From:山东省
|
首先,需要确定文件系统的类型
一般flash的文件系统都是FAT,
NTFS很少,很少
基本上我们统计过90%以上是FAT16,FAT32
所以第一步可以搜索文本“FAT16"或者"FAT32"
确定好文件系统以后,我们需要确定页结构
页结构的分析基于FAT表,FAT表是最容易分析的
高手的话还可以从2E目录作分析,当然这需要文件目录项比较多的情况下才好分析,因为文件目录项也是有个连续关系的。
这个2E目录是通过搜索2E 和2E2E
windows规定短文件名是8+3的形式,即2E后面有10个20
但一般情况下,我们搜索时并不需要输入10个20
输个4,5个就可以
找到“2E2020202020(10个)后,看下一行是不是2E2E202020(9个),如果是的话就是找对了
那么我们找到FAT段和2E目录段以后,就需要找一个整页来分析
|
|
