好久没写博客了,近期看了下DeviceIoControl  关于磁盘的应用,特记一文,以备久后查阅。

首先介绍下,文件在磁盘的存储结构(详细能够到网上查询NTFS文件系统相关的教程后者数据恢复方面教程的介绍)。以下介绍的仅与此文相关。

文件属性(头):

(Ps: 截图摘自[数据重现文件系统原理精解与数据恢复最佳实践].(马林))

然后我们须要认识两个结构:

typedef struct {

  LARGE_INTEGER StartingVcn;

} STARTING_VCN_INPUT_BUFFER, *PSTARTING_VCN_INPUT_BUFFER;
typedef struct RETRIEVAL_POINTERS_BUFFER {

  DWORD         ExtentCount;

  LARGE_INTEGER StartingVcn;

  struct {

    LARGE_INTEGER NextVcn;

    LARGE_INTEGER Lcn;

  } Extents[1];

} RETRIEVAL_POINTERS_BUFFER, *PRETRIEVAL_POINTERS_BUFFER;

通过使用參数

FSCTL_GET_RETRIEVAL_POINTERS  调用函数DeviceIoControl 我们就能够获得文件在磁盘中的定位信息。
方式例如以下:
DeviceIoControl(

  (HANDLE) hDevice,              // handle to volume

  FSCTL_GET_RETRIEVAL_POINTERS,  // dwIoControlCode

  (LPVOID) lpInBuffer,           // input buffer

  (DWORD) nInBufferSize,         // size of input buffer

  (LPVOID) lpOutBuffer,          // output buffer

  (DWORD) nOutBufferSize,        // size of output buffer

  (LPDWORD) lpBytesReturned,     // number of bytes returned

  (LPOVERLAPPED) lpOverlapped ); // OVERLAPPED structure


函数第三个參数相应上述第一个结构,此结构比較简单,须要传入文件的事实上Vcn号,这里填入 0 就可以 (StartingVcn.QuadPart = 0)。
第二个结构相对复杂些:


由上述介绍能够知道,文件(相对较大的文件)在磁盘中是以簇流(连续的簇)的形式存放的。结构体中 ExtentCount 即表示簇流的个数


StartingVcn 第一个簇流的起始Vcn号, 而每一个Extents都包括一个NextVcn号和一个Lcn,Lcn即表示本簇流的起始Lcn,NextVcn是用来推断下一个簇流的位置(通过NextVcn也能够的到上一个簇流的大小)


以下是msdn的解释:


NextVcn

The VCN at which the next extent begins. This value minus either StartingVcn (for the first Extents array member) or the NextVcn of the previous member of the array (for all other Extents array members) is the length, in clusters, of the current extent. The length is an input to the FSCTL_MOVE_FILE operation.


对于第一个簇流,NextVcn 减去 StartingVcn 即得到第一个簇流的大小,而对于兴许的簇流,使用此NextVcn 减去上一个簇流的NextVcn即上一个簇流的大小。


所以依据此信息,我们可以得到文件在磁盘中簇流链的信息,从而定位文件,从磁盘中直接读取文件,详细代码例如以下(基本參考网上已有代码):




//////////////////////////////////////////////////////////////////////////

/// ReadFileFromSectors.cpp

#include <windows.h>

#include <WinIoCtl.h>

#include <stdio.h>

ULONGLONG *GetFileClusters(PCHAR lpFilename, ULONG *ClusterSize, ULONG *ClusterCount, ULONG *FileSize)

{

	HANDLE hFile = NULL;

	//磁盘基本信息变量定义

	ULONG SectorsPerCluster;

	ULONG BytesPerSector;

	STARTING_VCN_INPUT_BUFFER InVcvBuffer;   //输入的開始vcn号

	PRETRIEVAL_POINTERS_BUFFER pOutFileBuffer;  //输出的结果缓冲区

	ULONG OutFileSize;

	LARGE_INTEGER PreVcn,Lcn;

	ULONGLONG *Clusters = NULL;

	BOOLEAN bDeviceIoResult = FALSE;

	//逻辑路径(卷号)

	char DriverPath[8];

	memset(DriverPath, 0, sizeof(DriverPath));

	DriverPath[0] = lpFilename[0];

	DriverPath[1] = ':';

	DriverPath[2] = 0;

	GetDiskFreeSpace(DriverPath, &SectorsPerCluster, &BytesPerSector, NULL, NULL);

	*ClusterSize = SectorsPerCluster * BytesPerSector;

	//定位文件

	hFile = CreateFile(lpFilename,

					//GENERIC_READ | GENERIC_WRITE,

					FILE_READ_ATTRIBUTES,

					FILE_SHARE_READ | FILE_SHARE_WRITE | FILE_SHARE_DELETE,

					NULL,

					OPEN_EXISTING,

					0,

					0);

	if(hFile == INVALID_HANDLE_VALUE)

	{

		printf("GetFileClusters(): Failed to open file %s ...\n",lpFilename);

		return 0;

	}

	*FileSize = GetFileSize(hFile, NULL);

	//初始化IO相关參数

	DWORD dwRead, Cls, CnCount, r;

	OutFileSize = sizeof(RETRIEVAL_POINTERS_BUFFER) + (*FileSize / *ClusterSize) * sizeof(pOutFileBuffer->Extents);  //个人觉得这个结果应该比实际所需的缓冲区大

	pOutFileBuffer = (PRETRIEVAL_POINTERS_BUFFER)malloc(OutFileSize);

	InVcvBuffer.StartingVcn.QuadPart = 0;

	//调用函数后去信息

	bDeviceIoResult = DeviceIoControl(hFile,

								FSCTL_GET_RETRIEVAL_POINTERS,

								&InVcvBuffer,

								sizeof(InVcvBuffer),

								pOutFileBuffer,

								OutFileSize,

								&dwRead,

								NULL);

	if(!bDeviceIoResult)

	{

		printf("GetFileClusters(): Failed to call DeviceIocontrol with paramter FSCTL_GET_RETRIEVAL_POINTERS...\n|---errorcode = %d\n",GetLastError());

		CloseHandle(hFile);

		return 0;

	}

	*ClusterCount = (*FileSize + *ClusterSize -1) / *ClusterSize;   //Cluster 数组的大小,一个簇占一个元素

	Clusters = (ULONGLONG *)malloc(*ClusterCount * sizeof(ULONGLONG));   //分配簇数组空间

	//開始遍历返回结果

	PreVcn = pOutFileBuffer->StartingVcn;

	for(r=0,Cls=0; r<pOutFileBuffer->ExtentCount; r++)   //ExtentCount 簇流的个数(每一个簇流中有几个连续的簇)

	{

		Lcn = pOutFileBuffer->Extents[r].Lcn;

		//簇流中连续簇的个数等于 下一个簇流的起始 Vcn 号 减去 上一个 簇流的 起始 Vcn号

		for(CnCount = (ULONG)(pOutFileBuffer->Extents[r].NextVcn.QuadPart - PreVcn.QuadPart); CnCount; CnCount--,Cls++,Lcn.QuadPart++)

		{

			Clusters[Cls] = Lcn.QuadPart;  //保存每一个簇流中簇的 Lcn 号

		}

		PreVcn = pOutFileBuffer->Extents[r].NextVcn;

	}

	free(pOutFileBuffer);

	CloseHandle(hFile);

	return Clusters;

}

int ReadFileFromSectors(PCHAR lpFileName, PCHAR pDstFileName)

{

	ULONG ClusterSize, BlockSize, ClusterCount, FileSize;

	ULONGLONG *Clusters = NULL;

	DWORD dwReads,dwWrites;

	HANDLE hDriver, hFile;

	ULONG SectorsPerCluster, BytesPerSector, r;

	PVOID FileBuff;  //存放从扇区中读取的数据

	LARGE_INTEGER offset;

	char DrivePath[10];

	Clusters = GetFileClusters(lpFileName, &ClusterSize, &ClusterCount, &FileSize);

	if(Clusters == NULL)

	{

		printf("ReadFileFromSectors(): Failed to GetFileClusters ...\n|---errrorcode = %d\n",GetLastError());

		return 0;

	}

	DrivePath[0] = '\\';

	DrivePath[1] = '\\';

	DrivePath[2] = '.';

	DrivePath[3] = '\\';

	DrivePath[4] = lpFileName[0];

	DrivePath[5] = ':';

	DrivePath[6] = 0;

	//打开磁盘卷

	hDriver = CreateFile(DrivePath,

					GENERIC_READ,

					FILE_SHARE_READ | FILE_SHARE_WRITE,

					NULL,

					OPEN_EXISTING,

					0,

					NULL);

	if(hDriver == INVALID_HANDLE_VALUE)

	{

		printf("ReadFileFromSectors(): Failed to CreateFile %s ...\n|---errrorcode = %d\n",DrivePath,GetLastError());

		return 0;

	}

	//存放读出的文件

	hFile = CreateFile(pDstFileName, GENERIC_WRITE, 0, NULL, CREATE_NEW, 0, 0);

	if(hFile == INVALID_HANDLE_VALUE)

	{

		printf("ReadFileFromSectors(): Failed to CreateFile %s ...\n|---errrorcode = %d\n",pDstFileName,GetLastError());

		return 0;

	}

	FileBuff = malloc(ClusterSize);

	//開始读扇区文件内容

	for (r=0; r<ClusterCount; r++, FileSize -= BlockSize)

	{

		offset.QuadPart = ClusterSize * Clusters[r];    //确定每一个簇的偏移

		SetFilePointer(hDriver, offset.LowPart, &offset.HighPart, FILE_BEGIN);

		ReadFile(hDriver, FileBuff, ClusterSize, &dwReads, NULL);  //每次读一个簇的大小

		BlockSize = FileSize < ClusterSize ? FileSize : ClusterSize;

		WriteFile(hFile, FileBuff, BlockSize, &dwWrites, NULL);  //将读取的文件保存起来

	}

	free(FileBuff);

	free(Clusters);

	CloseHandle(hFile);

	CloseHandle(hDriver);

}

//--------------------------------------------------------------------

//

// Usage

//

// Tell user how to use the program.

//

//--------------------------------------------------------------------

int Usage( CHAR *ProgramName )

{

	printf("\nusage: %s -f srcfile dstfile ...\n", ProgramName );

	return -1;

}

int main(int argc, char *argv[])

{

	if(argc != 4)

	{

		Usage(argv[0]);

		return 0;

	}

	//读文件

	if(strcmp(argv[1], "-f") == 0)

	{

		ReadFileFromSectors(argv[2], argv[3]);

	}

	else

	{

		Usage(argv[0]);

	}

	system("pause");

	return 1;

}




编译程序,以管理员权限执行,測试结果例如以下:








Ps: 此方法还有些弊端,文件不能使加密、压缩的文件,并且文件必须是很驻的(相对大些的文件即要有自己的簇),对于常驻的(小文件),文件内容直接存放到文件的MFT中,此方法是读不到的。


												


											
DeviceIoControl 直接从磁盘扇区读文件的更多相关文章
	

    
								
  1. 【linux相识相知】磁盘分区及文件系统管理详解
		
    磁盘,提供持久的数据存储,它不像我们的内存,如果突然断电了,在内存中的数据一般都会被丢掉了,内存中的数据在保存的时候,会被写到硬盘里面,磁盘也是一种I/O设备. 我们都知道磁盘分区完成之后,还要进行格 ...
    
		
    2. 
						
  2. VC++信息安全编程(13)Windows2000/xp/vista/7磁盘扇区读写技术
		
    有些时候,我们读取磁盘文件,会被hook.我们读到的可能并非实际的文件. 我们直接读取磁盘扇区获取数据. 实现磁盘数据的读写,不依赖WindowsAPI. [cpp] view plaincopy v ...
    
		
    3. 
						
  3. Linux:Day7(下) 磁盘管理、文件系统管理
		
    Linux入门 Linux系统管理: 磁盘管理.文件系统管理 RAID基本原理.LVM2 网络管理:TCP/IP协议.Linux网络属性配置 程序包管理:rpm,yum 进程管理:htop,glanc ...
    
		
    4. 
						
  4. Linux中硬盘物理扇区与文件系统文件对应关系(转)
		
    1               概述 系统读写文件过程中,如下面内核打印信息,报告读写某个扇区错误.那么我们如何能够通过sector找到读写哪个文件错误? kernel: end_request: I ...
    
		
    5. 
						
  5. Python: 读文件,写文件
		
    读写文件是最常见的IO操作.Python内置了读写文件的函数. 读写文件前,我们先了解一下,在磁盘上读写文件的功能都是有操作系统提供的,现代操作系统不允许普通的程序直接操作磁盘,所以,读写文件就是请求 ...
    
		
    6. 
						
  6. C++写和读文件
		
    1.写: /*C++写文件和读文件*/ #include <stdio.h> #include <stdlib.h> int main() { FILE * fp; fp =  ...
    
		
    7. 
						
  7. GoLang几种读文件方式的比较
		
    GoLang提供了很多读文件的方式,一般来说常用的有三种.使用Read加上buffer,使用bufio库和ioutil 库. 那他们的效率如何呢?用一个简单的程序来评测一下: package main ...
    
		
    8. 
						
  8. Python之路 day2 按行读文件
		
    #1. 最基本的读文件方法: # File: readline-example-1.py file = open("sample.txt") while 1: line = fil ...
    
		
    9. 
						
  9. java的读文件操作
		
    java读取文件内容,可以作如下理解: 首先获得一个文件句柄,File file = new File():file即为文件句柄.两人之间联通电话网络了,就可以开始打电话了. 通过这条线路读取甲方的信 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. All consistent reads within the same transaction read the snapshot established by the first read.
			
    Session 1: Session 2: mysql> show variables like '%tx_isolation%'; +---------------+------------- ...
    
			
    2. 
						
  2. codeforces 597B Restaurant
			
    题目链接:http://codeforces.com/contest/597/problem/B 题目分类:贪心 题目分析:经典的看节目问题(挑战程序设计page 40) 代码: #include&l ...
    
			
    3. 
						
  3. [Windows Phone学习笔记]UserControl的使用
			
    UserControl的使用 开发过程中,多个UI控件需要协同工作,相互交互之后,才可完成一个完整的业务需求,此时可把这些控件封装成为一个整体,相互之间的交互逻辑封装其中,外部调用可无需关心内部逻辑, ...
    
			
    4. 
						
  4. 【图像处理】Bilinear Image Scaling
			
    Bilinear image scaling is about the same as nearest neighbor image scaling except with interpolation ...
    
			
    5. 
						
  5. hibernate 在tomcat7.X 下配置mysql数据源
			
    先说一点题外话,LZ近期学习java web. 今天刚看到hibernate,发如今hibernate配置数据源时网上的资料都太久远了,一般以tomcat 5 版本号下的配置居多.而tomcat 7下 ...
    
			
    6. 
						
  6. WeText项目的服务端
			
    WeText项目的服务端 在<WeText项目:一个基于.NET实现的DDD.CQRS与微服务架构的演示案例>文章中,我介绍了自己用Visual Studio 2015(C# 6.0 wi ...
    
			
    7. 
						
  7. ADN中国团队參加微软的Kinect全国大赛获得三等奖
			
    上周末我们团队參加了微软的Kinect全国大赛,我们的Kinect + Navisworks漫游荣膺三等奖   团队经理Joe写了篇详实的总结,我就直接转载了. http://blog.csdn.ne ...
    
			
    8. 
						
  8. document.write()相关
			
    原文地址:http://www.cnblogs.com/dh616854836/articles/2140349.html document.write()脚本向窗口(不管是本窗口或其他窗口)写完内容 ...
    
			
    9. 
						
  9. c++中volatile详解
			
    1. 为什么用volatile? C/C++ 中的 volatile 关键字和 const 对应,用来修饰变量,通常用于建立语言级别的 memory barrier.这是 BS 在 "The ...
    
			
    10. 
						
  10. linux上svn连接visual svn server时ssl鉴权失败,问题解决(转)
			
    场景:1.在windows 7上安装了visual svn server作为自己的svn服务器. 2.在虚拟机centos 6.3上使用svn客户端check代码,报错: [plain] view p ...
    
			
    11.