L>я понял так — тут есть единственная Index Entry с флагом = 1, в документации написано что если флаг = 1 значит эта запись указывает на sub-node, и в ней появляется поле VCN со смещением L-8 (в моем случае получается 0x20), у меня по этому смещению нули, для чего нужны оставшиеся 16 байт не понятно.

Поле 0x10 по смещению 0x10 означает, что entries начинаются со смещения 0x10 относительно поля со смещением 0x10.

Т.е. Index Entry начинается в приведенном дампе со смещения 0x20.

Флаг у неё 3, что означает, что она последняя, но перед ней есть ссылка на sub-node.
Номер этого subnode — 4

L>так же не ясно к чему относится это VCN, т к структура Index Entry описана для атрибуда $INDEX_ALLOCATION и куда спихнуть это поле из $INDEX_ROOT?

По поводу номера sub-node: Размер блока 4к, его номер 4 т.е. надо прочитать 4к из $INDEX_ALLOCATION по смещению 16к
В его заголове также будет номер 4