好久没写博客了,近期看了下DeviceIoControl  关于磁盘的应用,特记一文,以备久后查阅。

首先介绍下,文件在磁盘的存储结构(详细能够到网上查询NTFS文件系统相关的教程后者数据恢复方面教程的介绍)。以下介绍的仅与此文相关。

文件属性(头):

(Ps: 截图摘自[数据重现文件系统原理精解与数据恢复最佳实践].(马林))

然后我们须要认识两个结构:

typedef struct {

  LARGE_INTEGER StartingVcn;

} STARTING_VCN_INPUT_BUFFER, *PSTARTING_VCN_INPUT_BUFFER;
typedef struct RETRIEVAL_POINTERS_BUFFER {

  DWORD         ExtentCount;

  LARGE_INTEGER StartingVcn;

  struct {

    LARGE_INTEGER NextVcn;

    LARGE_INTEGER Lcn;

  } Extents[1];

} RETRIEVAL_POINTERS_BUFFER, *PRETRIEVAL_POINTERS_BUFFER;

通过使用參数

FSCTL_GET_RETRIEVAL_POINTERS  调用函数DeviceIoControl 我们就能够获得文件在磁盘中的定位信息。
方式例如以下:
DeviceIoControl(

  (HANDLE) hDevice,              // handle to volume

  FSCTL_GET_RETRIEVAL_POINTERS,  // dwIoControlCode

  (LPVOID) lpInBuffer,           // input buffer

  (DWORD) nInBufferSize,         // size of input buffer

  (LPVOID) lpOutBuffer,          // output buffer

  (DWORD) nOutBufferSize,        // size of output buffer

  (LPDWORD) lpBytesReturned,     // number of bytes returned

  (LPOVERLAPPED) lpOverlapped ); // OVERLAPPED structure


函数第三个參数相应上述第一个结构,此结构比較简单,须要传入文件的事实上Vcn号,这里填入 0 就可以 (StartingVcn.QuadPart = 0)。
第二个结构相对复杂些:


由上述介绍能够知道,文件(相对较大的文件)在磁盘中是以簇流(连续的簇)的形式存放的。结构体中 ExtentCount 即表示簇流的个数


StartingVcn 第一个簇流的起始Vcn号, 而每一个Extents都包括一个NextVcn号和一个Lcn,Lcn即表示本簇流的起始Lcn,NextVcn是用来推断下一个簇流的位置(通过NextVcn也能够的到上一个簇流的大小)


以下是msdn的解释:


NextVcn

The VCN at which the next extent begins. This value minus either StartingVcn (for the first Extents array member) or the NextVcn of the previous member of the array (for all other Extents array members) is the length, in clusters, of the current extent. The length is an input to the FSCTL_MOVE_FILE operation.


对于第一个簇流,NextVcn 减去 StartingVcn 即得到第一个簇流的大小,而对于兴许的簇流,使用此NextVcn 减去上一个簇流的NextVcn即上一个簇流的大小。


所以依据此信息,我们可以得到文件在磁盘中簇流链的信息,从而定位文件,从磁盘中直接读取文件,详细代码例如以下(基本參考网上已有代码):




//////////////////////////////////////////////////////////////////////////

/// ReadFileFromSectors.cpp

#include <windows.h>

#include <WinIoCtl.h>

#include <stdio.h>

ULONGLONG *GetFileClusters(PCHAR lpFilename, ULONG *ClusterSize, ULONG *ClusterCount, ULONG *FileSize)

{

	HANDLE hFile = NULL;

	//磁盘基本信息变量定义

	ULONG SectorsPerCluster;

	ULONG BytesPerSector;

	STARTING_VCN_INPUT_BUFFER InVcvBuffer;   //输入的開始vcn号

	PRETRIEVAL_POINTERS_BUFFER pOutFileBuffer;  //输出的结果缓冲区

	ULONG OutFileSize;

	LARGE_INTEGER PreVcn,Lcn;

	ULONGLONG *Clusters = NULL;

	BOOLEAN bDeviceIoResult = FALSE;

	//逻辑路径(卷号)

	char DriverPath[8];

	memset(DriverPath, 0, sizeof(DriverPath));

	DriverPath[0] = lpFilename[0];

	DriverPath[1] = ':';

	DriverPath[2] = 0;

	GetDiskFreeSpace(DriverPath, &SectorsPerCluster, &BytesPerSector, NULL, NULL);

	*ClusterSize = SectorsPerCluster * BytesPerSector;

	//定位文件

	hFile = CreateFile(lpFilename,

					//GENERIC_READ | GENERIC_WRITE,

					FILE_READ_ATTRIBUTES,

					FILE_SHARE_READ | FILE_SHARE_WRITE | FILE_SHARE_DELETE,

					NULL,

					OPEN_EXISTING,

					0,

					0);

	if(hFile == INVALID_HANDLE_VALUE)

	{

		printf("GetFileClusters(): Failed to open file %s ...\n",lpFilename);

		return 0;

	}

	*FileSize = GetFileSize(hFile, NULL);

	//初始化IO相关參数

	DWORD dwRead, Cls, CnCount, r;

	OutFileSize = sizeof(RETRIEVAL_POINTERS_BUFFER) + (*FileSize / *ClusterSize) * sizeof(pOutFileBuffer->Extents);  //个人觉得这个结果应该比实际所需的缓冲区大

	pOutFileBuffer = (PRETRIEVAL_POINTERS_BUFFER)malloc(OutFileSize);

	InVcvBuffer.StartingVcn.QuadPart = 0;

	//调用函数后去信息

	bDeviceIoResult = DeviceIoControl(hFile,

								FSCTL_GET_RETRIEVAL_POINTERS,

								&InVcvBuffer,

								sizeof(InVcvBuffer),

								pOutFileBuffer,

								OutFileSize,

								&dwRead,

								NULL);

	if(!bDeviceIoResult)

	{

		printf("GetFileClusters(): Failed to call DeviceIocontrol with paramter FSCTL_GET_RETRIEVAL_POINTERS...\n|---errorcode = %d\n",GetLastError());

		CloseHandle(hFile);

		return 0;

	}

	*ClusterCount = (*FileSize + *ClusterSize -1) / *ClusterSize;   //Cluster 数组的大小,一个簇占一个元素

	Clusters = (ULONGLONG *)malloc(*ClusterCount * sizeof(ULONGLONG));   //分配簇数组空间

	//開始遍历返回结果

	PreVcn = pOutFileBuffer->StartingVcn;

	for(r=0,Cls=0; r<pOutFileBuffer->ExtentCount; r++)   //ExtentCount 簇流的个数(每一个簇流中有几个连续的簇)

	{

		Lcn = pOutFileBuffer->Extents[r].Lcn;

		//簇流中连续簇的个数等于 下一个簇流的起始 Vcn 号 减去 上一个 簇流的 起始 Vcn号

		for(CnCount = (ULONG)(pOutFileBuffer->Extents[r].NextVcn.QuadPart - PreVcn.QuadPart); CnCount; CnCount--,Cls++,Lcn.QuadPart++)

		{

			Clusters[Cls] = Lcn.QuadPart;  //保存每一个簇流中簇的 Lcn 号

		}

		PreVcn = pOutFileBuffer->Extents[r].NextVcn;

	}

	free(pOutFileBuffer);

	CloseHandle(hFile);

	return Clusters;

}

int ReadFileFromSectors(PCHAR lpFileName, PCHAR pDstFileName)

{

	ULONG ClusterSize, BlockSize, ClusterCount, FileSize;

	ULONGLONG *Clusters = NULL;

	DWORD dwReads,dwWrites;

	HANDLE hDriver, hFile;

	ULONG SectorsPerCluster, BytesPerSector, r;

	PVOID FileBuff;  //存放从扇区中读取的数据

	LARGE_INTEGER offset;

	char DrivePath[10];

	Clusters = GetFileClusters(lpFileName, &ClusterSize, &ClusterCount, &FileSize);

	if(Clusters == NULL)

	{

		printf("ReadFileFromSectors(): Failed to GetFileClusters ...\n|---errrorcode = %d\n",GetLastError());

		return 0;

	}

	DrivePath[0] = '\\';

	DrivePath[1] = '\\';

	DrivePath[2] = '.';

	DrivePath[3] = '\\';

	DrivePath[4] = lpFileName[0];

	DrivePath[5] = ':';

	DrivePath[6] = 0;

	//打开磁盘卷

	hDriver = CreateFile(DrivePath,

					GENERIC_READ,

					FILE_SHARE_READ | FILE_SHARE_WRITE,

					NULL,

					OPEN_EXISTING,

					0,

					NULL);

	if(hDriver == INVALID_HANDLE_VALUE)

	{

		printf("ReadFileFromSectors(): Failed to CreateFile %s ...\n|---errrorcode = %d\n",DrivePath,GetLastError());

		return 0;

	}

	//存放读出的文件

	hFile = CreateFile(pDstFileName, GENERIC_WRITE, 0, NULL, CREATE_NEW, 0, 0);

	if(hFile == INVALID_HANDLE_VALUE)

	{

		printf("ReadFileFromSectors(): Failed to CreateFile %s ...\n|---errrorcode = %d\n",pDstFileName,GetLastError());

		return 0;

	}

	FileBuff = malloc(ClusterSize);

	//開始读扇区文件内容

	for (r=0; r<ClusterCount; r++, FileSize -= BlockSize)

	{

		offset.QuadPart = ClusterSize * Clusters[r];    //确定每一个簇的偏移

		SetFilePointer(hDriver, offset.LowPart, &offset.HighPart, FILE_BEGIN);

		ReadFile(hDriver, FileBuff, ClusterSize, &dwReads, NULL);  //每次读一个簇的大小

		BlockSize = FileSize < ClusterSize ? FileSize : ClusterSize;

		WriteFile(hFile, FileBuff, BlockSize, &dwWrites, NULL);  //将读取的文件保存起来

	}

	free(FileBuff);

	free(Clusters);

	CloseHandle(hFile);

	CloseHandle(hDriver);

}

//--------------------------------------------------------------------

//

// Usage

//

// Tell user how to use the program.

//

//--------------------------------------------------------------------

int Usage( CHAR *ProgramName )

{

	printf("\nusage: %s -f srcfile dstfile ...\n", ProgramName );

	return -1;

}

int main(int argc, char *argv[])

{

	if(argc != 4)

	{

		Usage(argv[0]);

		return 0;

	}

	//读文件

	if(strcmp(argv[1], "-f") == 0)

	{

		ReadFileFromSectors(argv[2], argv[3]);

	}

	else

	{

		Usage(argv[0]);

	}

	system("pause");

	return 1;

}




编译程序,以管理员权限执行,測试结果例如以下:








Ps: 此方法还有些弊端,文件不能使加密、压缩的文件,并且文件必须是很驻的(相对大些的文件即要有自己的簇),对于常驻的(小文件),文件内容直接存放到文件的MFT中,此方法是读不到的。


												


											
DeviceIoControl 直接从磁盘扇区读文件的更多相关文章
	

    
								
  1. 【linux相识相知】磁盘分区及文件系统管理详解
		
    磁盘,提供持久的数据存储,它不像我们的内存,如果突然断电了,在内存中的数据一般都会被丢掉了,内存中的数据在保存的时候,会被写到硬盘里面,磁盘也是一种I/O设备. 我们都知道磁盘分区完成之后,还要进行格 ...
    
		
    2. 
						
  2. VC++信息安全编程(13)Windows2000/xp/vista/7磁盘扇区读写技术
		
    有些时候,我们读取磁盘文件,会被hook.我们读到的可能并非实际的文件. 我们直接读取磁盘扇区获取数据. 实现磁盘数据的读写,不依赖WindowsAPI. [cpp] view plaincopy v ...
    
		
    3. 
						
  3. Linux:Day7(下) 磁盘管理、文件系统管理
		
    Linux入门 Linux系统管理: 磁盘管理.文件系统管理 RAID基本原理.LVM2 网络管理:TCP/IP协议.Linux网络属性配置 程序包管理:rpm,yum 进程管理:htop,glanc ...
    
		
    4. 
						
  4. Linux中硬盘物理扇区与文件系统文件对应关系(转)
		
    1               概述 系统读写文件过程中,如下面内核打印信息,报告读写某个扇区错误.那么我们如何能够通过sector找到读写哪个文件错误? kernel: end_request: I ...
    
		
    5. 
						
  5. Python: 读文件,写文件
		
    读写文件是最常见的IO操作.Python内置了读写文件的函数. 读写文件前,我们先了解一下,在磁盘上读写文件的功能都是有操作系统提供的,现代操作系统不允许普通的程序直接操作磁盘,所以,读写文件就是请求 ...
    
		
    6. 
						
  6. C++写和读文件
		
    1.写: /*C++写文件和读文件*/ #include <stdio.h> #include <stdlib.h> int main() { FILE * fp; fp =  ...
    
		
    7. 
						
  7. GoLang几种读文件方式的比较
		
    GoLang提供了很多读文件的方式,一般来说常用的有三种.使用Read加上buffer,使用bufio库和ioutil 库. 那他们的效率如何呢?用一个简单的程序来评测一下: package main ...
    
		
    8. 
						
  8. Python之路 day2 按行读文件
		
    #1. 最基本的读文件方法: # File: readline-example-1.py file = open("sample.txt") while 1: line = fil ...
    
		
    9. 
						
  9. java的读文件操作
		
    java读取文件内容,可以作如下理解: 首先获得一个文件句柄,File file = new File():file即为文件句柄.两人之间联通电话网络了,就可以开始打电话了. 通过这条线路读取甲方的信 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. (2)入门指南——(7)添加jquery代码(Adding our jQuery code)
			
    Our custom code will go in the second, currently empty, JavaScript file which we included from the H ...
    
			
    2. 
						
  2. 一段代码让你秒懂java方法究竟是传值还是传地址
			
    先看看代码以及执行结果: 凝视写得非常清楚了.我就不多说了. 我说说我的结论.事实上在java中没有传值还是传址的概念,java仅仅有引用的概念.引用类似传址.只是是一个变量名中保存着对象的地址,地址 ...
    
			
    3. 
						
  3. 无法引入import com.sun.management.OperatingSystemMXBean
			
    现象:在JDK的安装包的jre\lib\rt.jar包里确实有这个类com.sun.management.OperatingSystemMXBean,但是就是不能import  com.sun.man ...
    
			
    4. 
						
  4. Ajenti 1.0 发布,服务器管理系统 - 开源中国社区
			
    Ajenti 1.0 发布,服务器管理系统 - 开源中国社区 Ajenti 1.0 发布,服务器管理系统
    
			
    5. 
						
  5. zoj 2822 Sum of Different Primes (01背包)
			
    ///给你n 求他能分解成多少个的不同的k个素数相加之和 ///01背包,素数打表 # include <stdio.h> # include <algorithm> # in ...
    
			
    6. 
						
  6. 在不同版本号hdfs集群之间转移数据
			
    在不同版本号hdfs集群之间转移数据     最简单的办法就是把src集群的数据导到本地,然后起还有一个进程将本地数据传到des集群上去. 只是这有几个问题: 效率减少 占用本地磁盘空间 不能应付实时 ...
    
			
    7. 
						
  7. ios 6 横竖屏转换
			
    xcode 版本4.5     模拟器:6.0 项目需求:刚进去界面横屏,从这个界面进去的界面全是竖屏. 程序的根控制器用了UINavigationController.下面是代码: 1.在appde ...
    
			
    8. 
						
  8. Delphi 基本数据类型列表 高级数据类型列表 字符类型查询列表清单
			
    原文:Delphi 基本数据类型列表 高级数据类型列表 字符类型查询列表清单 长长的列表文字类型文件 分类 范围 字节 备注 简单类型 序数 整数 Integer -2147483648 .. 214 ...
    
			
    9. 
						
  9. Conexant声卡实现内录功能(win7)
			
    Conexant声卡本身没有立体声混音设备可选,所以我们采用virtual audio device,实现内录功能. [1]下载virtual audio device.下载地址:http://dow ...
    
			
    10. 
						
  10. Invalid embedded descriptor for ".proto".Dependencies passed (Protobufer)解决办法
			
    前言 之前开发的时候,发现居然出现了Dependencies passed to FileDescriptor.buildFrom() don't match those listed in the  ...
    
			
    11.