python解释NTFS runlist的代码

sol229

#!/usr/bin/python3　　
#http://www.frombyte.com 张宇
　　
import os
　　
import sys
　　
import random
　　
import hashlib
　　
import struct
　　
import zlib
　　
import re
　　

　　
def help_exit():
　　
    print("  命令格式:")
　　
    print("  python3 %s <File name> <Start bytes> <Start LCN> <Start VCN>:" % sys.argv[0])
　　
    print("      File name:要解释的包含runlist的文件名称")
　　
    print("      Start bytes:文件中要解释runlist的起始位置")
　　
    print("      Start LCN:runlist开始的参考LCN值，如果是一段完整的runlist，这个值应为0.")
　　
    print("      Start VCN:runlist开始的参考VCN值，如果是一段没有0x20的runlist，这个值多数为0.")
　　
    print("      *返回值：一个二维队列，打印结果。\n")
　　
    exit()
　　
#通过抛出异常判断第一个参数是否是A-F
　　
def is_num_by_except(s):
　　
    try:
　　
        a=int(s,16)
　　
        if (a>0 and a<=16): return True
　　
        else: return False
　　
    except ValueError:
　　
        return False
　　

　　
if len(sys.argv)!= 5 :
　　
    print("  ***参数数量或格式错误!")
　　
    help_exit()
　　

　　
if sys.argv[2].isdigit():
　　
    spoi = int(sys.argv[2])
　　
    if spoi<0:
　　
      print("***错误，起始字节位置不能取负值")
　　
      help_exit()
　　
else:
　　
    print("***错误，起始字节位置应为非负整数")
　　
    help_exit()
　　

　　
if sys.argv[3].isdigit():
　　
    slcn = int(sys.argv[3])
　　
    if slcn<0:
　　
      print("***错误，起始LCN不能取负值")
　　
      help_exit()
　　
else:
　　
    print("***错误，起始LCN应为非负整数")
　　
    help_exit()
　　

　　
if sys.argv[4].isdigit():
　　
    svcn = int(sys.argv[4])
　　
    if svcn<0:
　　
      print("***错误，起始VCN不能取负值")
　　
      help_exit()
　　
else:
　　
    print("***错误，起始VCN应为非负整数")
　　
    help_exit()
　　

　　
def get_i(vl,ilen):
　　
    q=0
　　
    for i in range(0,ilen):
　　
        q = q | ( vl[0] << i*8 )
　　

　　
    #若为负数
　　
    if vl[0][ilen-1] > 0x80:
　　
        q = q - (1 << ilen*8 )
　　
    return q
　　

　　
f = open("%s"%sys.argv[1],'rb')
　　
f.seek(spoi)
　　
data = f.read(1024)
　　
v1 = 1
　　
i = 0
　　
lists = [[0 for i in range(2)] ]
　　
del lists[0]
　　

　　
while True:
　　
  t = struct.unpack_from('B',data,i)
　　
  v1 = t[0]
　　
  if v1 == 0:
　　
    break
　　

　　
  v1_p = (v1 & 0xF0) >> 4
　　
  v1_l = (v1 &0xF)
　　
  if (v1_l >=8) or (v1_p >=8) or (v1_l == 0):
　　
    print("***偏移%d:run list长度和位置字节有错误!***"%(i+spoi))
　　
    break
　　

　　
  i = i+1
　　
  if (i+8) >= 1024:
　　
    break
　　
  t = struct.unpack_from('8s',data,i)
　　
  v1_dl = get_i(t,v1_l)
　　
  if v1_dl < 0:
　　
    print("***偏移%d:run片断长度不能为负!***"%(i+spoi))
　　
    break
　　

　　
  i = i+ v1_l
　　
  if (i+8) >= 1024:
　　
    break
　　
  t = struct.unpack_from('8s',data,i)
　　
  v1_dp = get_i(t,v1_p)
　　
  slcn = slcn + v1_dp
　　
  lists.append([slcn,v1_dl])
　　

　　
  i = i + v1_p
　　
  #print("%x,%x:%x,%x"%(v1_l,v1_p,v1_dl,slcn))
　　

　　
print("Runlist(共%d个片断):"%len(lists))
　　
print("%20s%20s%20s"%("VCN","LCN","LEN"))
　　
for i in lists:
　　
  print("%20d%20d%20d"%(svcn,i[0],i[1]))
　　
  svcn += i[1]
　　

　　
f.close()