ShkudW/NTFS-forensics

# NTFS 取证工具 一系列底层 C++ 工具，用于通过原始磁盘访问（`\\.\PhysicalDrive0`）直接探索 NTFS 磁盘结构，完全绕过 Windows API。 作为以下文章的配套工具而构建： **"From Sector Zero to Hero / Below the API: Extracting Files from Raw Disk Without Windows Knowing"** ## 工具： Sector_HEX_Dumper - 将任意扇区转储为 HEX + ASCII 格式 Sector2_GPT_Partitions - 从扇区 2 解析 GPT 分区条目 NTFS_BOOT_SECTOR - 解析 NTFS 引导扇区 — 提取 MFT 位置 MFT_RECORD_HEADER - 读取并显示 MFT 记录头 MFT_Record_ATTR_HEADER - 遍历并显示 MFT 记录的所有属性 Show_DATA_RUN - 将原始字节映射到 ATTR_HEADER 结构体（判定驻留/非驻留） Find_Sector_File - 扫描两个扇区之间的 MFT 记录，按文件名进行搜索 Read_DATA_Resident_File - 读取并转储驻留 `$DATA` 属性的内容

标签：C++, GPT分区解析, HTTP工具, MFT解析, NTFS取证, PhysicalDrive0, 十六进制转储, 原始磁盘读取, 启动扇区分析, 域渗透, 底层磁盘访问, 数字取证, 数据 carving, 数据恢复, 数据提取, 数据擦除, 数据驻留属性, 电子数据取证, 硬盘取证, 磁盘取证工具, 磁盘结构分析, 绕过Windows API, 网络安全, 网络安全审计, 自动化脚本, 隐私保护