试图从Python 3中获取MFT表

Question

我尝试从python的本地磁盘读取MFT表。当然，如果我写这样的东西：

input_file = open('C:\$MFT', "rb")

我会得到

Errno 13被拒绝：'C:\$MFT‘

我试着使用pyMFTGrabber，但是它不起作用；我得到了很多"socket.errors“。

使用Python读取这个文件的最佳方法是什么？

也许是一些WinAPI，还是别的什么？阅读完后，我想用"analyzeMFT"来分析它

Answer 1

对于蟒蛇来说，这是相当痛苦的，因为它并不完全是低水平的。

不过，我认为你应该从这个开始：

L"\\\\?\\C:\\$MFT"是您需要在MS的VC++ API中使用的名称空间，以便为VC++创建句柄。

您应该考虑查看您提到的pyMFTGrabber的抓取器的源代码，然后向下滚动到底部，然后向您展示作者是如何访问文件的(它看起来很准确--读取扇区，而不是试图直接访问$MFT，它看起来也很好)。如果您阅读了该项目的详细信息，说明它是一个“从活动系统检索NTFS文件系统的主文件表(MFT)记录的脚本”。

Answer 2

与此同时，还出现了其他选项:有一个库可以分析名为$MFT的NTFS文件系统中的主文件表( analyzeMFT )。

analyzeMFT.py旨在完全解析NTFS文件系统中的MFT文件，并尽可能准确地以多种格式显示结果。

要获得它，请使用pip (当前版本2.0.19)或从GitHub上找到的源代码安装它

pip install analyzeMFT