好久没写博客了,近期看了下DeviceIoControl  关于磁盘的应用,特记一文,以备久后查阅。

首先介绍下,文件在磁盘的存储结构(详细能够到网上查询NTFS文件系统相关的教程后者数据恢复方面教程的介绍)。以下介绍的仅与此文相关。

文件属性(头):

(Ps: 截图摘自[数据重现文件系统原理精解与数据恢复最佳实践].(马林))

然后我们须要认识两个结构:

typedef struct {

  LARGE_INTEGER StartingVcn;

} STARTING_VCN_INPUT_BUFFER, *PSTARTING_VCN_INPUT_BUFFER;
typedef struct RETRIEVAL_POINTERS_BUFFER {

  DWORD         ExtentCount;

  LARGE_INTEGER StartingVcn;

  struct {

    LARGE_INTEGER NextVcn;

    LARGE_INTEGER Lcn;

  } Extents[1];

} RETRIEVAL_POINTERS_BUFFER, *PRETRIEVAL_POINTERS_BUFFER;

通过使用參数

FSCTL_GET_RETRIEVAL_POINTERS  调用函数DeviceIoControl 我们就能够获得文件在磁盘中的定位信息。
方式例如以下:
DeviceIoControl(

  (HANDLE) hDevice,              // handle to volume

  FSCTL_GET_RETRIEVAL_POINTERS,  // dwIoControlCode

  (LPVOID) lpInBuffer,           // input buffer

  (DWORD) nInBufferSize,         // size of input buffer

  (LPVOID) lpOutBuffer,          // output buffer

  (DWORD) nOutBufferSize,        // size of output buffer

  (LPDWORD) lpBytesReturned,     // number of bytes returned

  (LPOVERLAPPED) lpOverlapped ); // OVERLAPPED structure


函数第三个參数相应上述第一个结构,此结构比較简单,须要传入文件的事实上Vcn号,这里填入 0 就可以 (StartingVcn.QuadPart = 0)。
第二个结构相对复杂些:


由上述介绍能够知道,文件(相对较大的文件)在磁盘中是以簇流(连续的簇)的形式存放的。结构体中 ExtentCount 即表示簇流的个数


StartingVcn 第一个簇流的起始Vcn号, 而每一个Extents都包括一个NextVcn号和一个Lcn,Lcn即表示本簇流的起始Lcn,NextVcn是用来推断下一个簇流的位置(通过NextVcn也能够的到上一个簇流的大小)


以下是msdn的解释:


NextVcn

The VCN at which the next extent begins. This value minus either StartingVcn (for the first Extents array member) or the NextVcn of the previous member of the array (for all other Extents array members) is the length, in clusters, of the current extent. The length is an input to the FSCTL_MOVE_FILE operation.


对于第一个簇流,NextVcn 减去 StartingVcn 即得到第一个簇流的大小,而对于兴许的簇流,使用此NextVcn 减去上一个簇流的NextVcn即上一个簇流的大小。


所以依据此信息,我们可以得到文件在磁盘中簇流链的信息,从而定位文件,从磁盘中直接读取文件,详细代码例如以下(基本參考网上已有代码):




//////////////////////////////////////////////////////////////////////////

/// ReadFileFromSectors.cpp

#include <windows.h>

#include <WinIoCtl.h>

#include <stdio.h>

ULONGLONG *GetFileClusters(PCHAR lpFilename, ULONG *ClusterSize, ULONG *ClusterCount, ULONG *FileSize)

{

	HANDLE hFile = NULL;

	//磁盘基本信息变量定义

	ULONG SectorsPerCluster;

	ULONG BytesPerSector;

	STARTING_VCN_INPUT_BUFFER InVcvBuffer;   //输入的開始vcn号

	PRETRIEVAL_POINTERS_BUFFER pOutFileBuffer;  //输出的结果缓冲区

	ULONG OutFileSize;

	LARGE_INTEGER PreVcn,Lcn;

	ULONGLONG *Clusters = NULL;

	BOOLEAN bDeviceIoResult = FALSE;

	//逻辑路径(卷号)

	char DriverPath[8];

	memset(DriverPath, 0, sizeof(DriverPath));

	DriverPath[0] = lpFilename[0];

	DriverPath[1] = ':';

	DriverPath[2] = 0;

	GetDiskFreeSpace(DriverPath, &SectorsPerCluster, &BytesPerSector, NULL, NULL);

	*ClusterSize = SectorsPerCluster * BytesPerSector;

	//定位文件

	hFile = CreateFile(lpFilename,

					//GENERIC_READ | GENERIC_WRITE,

					FILE_READ_ATTRIBUTES,

					FILE_SHARE_READ | FILE_SHARE_WRITE | FILE_SHARE_DELETE,

					NULL,

					OPEN_EXISTING,

					0,

					0);

	if(hFile == INVALID_HANDLE_VALUE)

	{

		printf("GetFileClusters(): Failed to open file %s ...\n",lpFilename);

		return 0;

	}

	*FileSize = GetFileSize(hFile, NULL);

	//初始化IO相关參数

	DWORD dwRead, Cls, CnCount, r;

	OutFileSize = sizeof(RETRIEVAL_POINTERS_BUFFER) + (*FileSize / *ClusterSize) * sizeof(pOutFileBuffer->Extents);  //个人觉得这个结果应该比实际所需的缓冲区大

	pOutFileBuffer = (PRETRIEVAL_POINTERS_BUFFER)malloc(OutFileSize);

	InVcvBuffer.StartingVcn.QuadPart = 0;

	//调用函数后去信息

	bDeviceIoResult = DeviceIoControl(hFile,

								FSCTL_GET_RETRIEVAL_POINTERS,

								&InVcvBuffer,

								sizeof(InVcvBuffer),

								pOutFileBuffer,

								OutFileSize,

								&dwRead,

								NULL);

	if(!bDeviceIoResult)

	{

		printf("GetFileClusters(): Failed to call DeviceIocontrol with paramter FSCTL_GET_RETRIEVAL_POINTERS...\n|---errorcode = %d\n",GetLastError());

		CloseHandle(hFile);

		return 0;

	}

	*ClusterCount = (*FileSize + *ClusterSize -1) / *ClusterSize;   //Cluster 数组的大小,一个簇占一个元素

	Clusters = (ULONGLONG *)malloc(*ClusterCount * sizeof(ULONGLONG));   //分配簇数组空间

	//開始遍历返回结果

	PreVcn = pOutFileBuffer->StartingVcn;

	for(r=0,Cls=0; r<pOutFileBuffer->ExtentCount; r++)   //ExtentCount 簇流的个数(每一个簇流中有几个连续的簇)

	{

		Lcn = pOutFileBuffer->Extents[r].Lcn;

		//簇流中连续簇的个数等于 下一个簇流的起始 Vcn 号 减去 上一个 簇流的 起始 Vcn号

		for(CnCount = (ULONG)(pOutFileBuffer->Extents[r].NextVcn.QuadPart - PreVcn.QuadPart); CnCount; CnCount--,Cls++,Lcn.QuadPart++)

		{

			Clusters[Cls] = Lcn.QuadPart;  //保存每一个簇流中簇的 Lcn 号

		}

		PreVcn = pOutFileBuffer->Extents[r].NextVcn;

	}

	free(pOutFileBuffer);

	CloseHandle(hFile);

	return Clusters;

}

int ReadFileFromSectors(PCHAR lpFileName, PCHAR pDstFileName)

{

	ULONG ClusterSize, BlockSize, ClusterCount, FileSize;

	ULONGLONG *Clusters = NULL;

	DWORD dwReads,dwWrites;

	HANDLE hDriver, hFile;

	ULONG SectorsPerCluster, BytesPerSector, r;

	PVOID FileBuff;  //存放从扇区中读取的数据

	LARGE_INTEGER offset;

	char DrivePath[10];

	Clusters = GetFileClusters(lpFileName, &ClusterSize, &ClusterCount, &FileSize);

	if(Clusters == NULL)

	{

		printf("ReadFileFromSectors(): Failed to GetFileClusters ...\n|---errrorcode = %d\n",GetLastError());

		return 0;

	}

	DrivePath[0] = '\\';

	DrivePath[1] = '\\';

	DrivePath[2] = '.';

	DrivePath[3] = '\\';

	DrivePath[4] = lpFileName[0];

	DrivePath[5] = ':';

	DrivePath[6] = 0;

	//打开磁盘卷

	hDriver = CreateFile(DrivePath,

					GENERIC_READ,

					FILE_SHARE_READ | FILE_SHARE_WRITE,

					NULL,

					OPEN_EXISTING,

					0,

					NULL);

	if(hDriver == INVALID_HANDLE_VALUE)

	{

		printf("ReadFileFromSectors(): Failed to CreateFile %s ...\n|---errrorcode = %d\n",DrivePath,GetLastError());

		return 0;

	}

	//存放读出的文件

	hFile = CreateFile(pDstFileName, GENERIC_WRITE, 0, NULL, CREATE_NEW, 0, 0);

	if(hFile == INVALID_HANDLE_VALUE)

	{

		printf("ReadFileFromSectors(): Failed to CreateFile %s ...\n|---errrorcode = %d\n",pDstFileName,GetLastError());

		return 0;

	}

	FileBuff = malloc(ClusterSize);

	//開始读扇区文件内容

	for (r=0; r<ClusterCount; r++, FileSize -= BlockSize)

	{

		offset.QuadPart = ClusterSize * Clusters[r];    //确定每一个簇的偏移

		SetFilePointer(hDriver, offset.LowPart, &offset.HighPart, FILE_BEGIN);

		ReadFile(hDriver, FileBuff, ClusterSize, &dwReads, NULL);  //每次读一个簇的大小

		BlockSize = FileSize < ClusterSize ? FileSize : ClusterSize;

		WriteFile(hFile, FileBuff, BlockSize, &dwWrites, NULL);  //将读取的文件保存起来

	}

	free(FileBuff);

	free(Clusters);

	CloseHandle(hFile);

	CloseHandle(hDriver);

}

//--------------------------------------------------------------------

//

// Usage

//

// Tell user how to use the program.

//

//--------------------------------------------------------------------

int Usage( CHAR *ProgramName )

{

	printf("\nusage: %s -f srcfile dstfile ...\n", ProgramName );

	return -1;

}

int main(int argc, char *argv[])

{

	if(argc != 4)

	{

		Usage(argv[0]);

		return 0;

	}

	//读文件

	if(strcmp(argv[1], "-f") == 0)

	{

		ReadFileFromSectors(argv[2], argv[3]);

	}

	else

	{

		Usage(argv[0]);

	}

	system("pause");

	return 1;

}




编译程序,以管理员权限执行,測试结果例如以下:








Ps: 此方法还有些弊端,文件不能使加密、压缩的文件,并且文件必须是很驻的(相对大些的文件即要有自己的簇),对于常驻的(小文件),文件内容直接存放到文件的MFT中,此方法是读不到的。


												


											
DeviceIoControl 直接从磁盘扇区读文件的更多相关文章
	

    
								
  1. 【linux相识相知】磁盘分区及文件系统管理详解
		
    磁盘,提供持久的数据存储,它不像我们的内存,如果突然断电了,在内存中的数据一般都会被丢掉了,内存中的数据在保存的时候,会被写到硬盘里面,磁盘也是一种I/O设备. 我们都知道磁盘分区完成之后,还要进行格 ...
    
		
    2. 
						
  2. VC++信息安全编程(13)Windows2000/xp/vista/7磁盘扇区读写技术
		
    有些时候,我们读取磁盘文件,会被hook.我们读到的可能并非实际的文件. 我们直接读取磁盘扇区获取数据. 实现磁盘数据的读写,不依赖WindowsAPI. [cpp] view plaincopy v ...
    
		
    3. 
						
  3. Linux:Day7(下) 磁盘管理、文件系统管理
		
    Linux入门 Linux系统管理: 磁盘管理.文件系统管理 RAID基本原理.LVM2 网络管理:TCP/IP协议.Linux网络属性配置 程序包管理:rpm,yum 进程管理:htop,glanc ...
    
		
    4. 
						
  4. Linux中硬盘物理扇区与文件系统文件对应关系(转)
		
    1               概述 系统读写文件过程中,如下面内核打印信息,报告读写某个扇区错误.那么我们如何能够通过sector找到读写哪个文件错误? kernel: end_request: I ...
    
		
    5. 
						
  5. Python: 读文件,写文件
		
    读写文件是最常见的IO操作.Python内置了读写文件的函数. 读写文件前,我们先了解一下,在磁盘上读写文件的功能都是有操作系统提供的,现代操作系统不允许普通的程序直接操作磁盘,所以,读写文件就是请求 ...
    
		
    6. 
						
  6. C++写和读文件
		
    1.写: /*C++写文件和读文件*/ #include <stdio.h> #include <stdlib.h> int main() { FILE * fp; fp =  ...
    
		
    7. 
						
  7. GoLang几种读文件方式的比较
		
    GoLang提供了很多读文件的方式,一般来说常用的有三种.使用Read加上buffer,使用bufio库和ioutil 库. 那他们的效率如何呢?用一个简单的程序来评测一下: package main ...
    
		
    8. 
						
  8. Python之路 day2 按行读文件
		
    #1. 最基本的读文件方法: # File: readline-example-1.py file = open("sample.txt") while 1: line = fil ...
    
		
    9. 
						
  9. java的读文件操作
		
    java读取文件内容,可以作如下理解: 首先获得一个文件句柄,File file = new File():file即为文件句柄.两人之间联通电话网络了,就可以开始打电话了. 通过这条线路读取甲方的信 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. Spring配置DataSource数据源
			
    在Spring框架中有例如以下3种获得DataSource对象的方法: 1.从JNDI获得DataSource. 2.从第三方的连接池获得DataSource. 3.使用DriverManagerDa ...
    
			
    2. 
						
  2. java学习笔记11--Annotation
			
    java学习笔记11--Annotation Annotation:在JDK1.5之后增加的一个新特性,这种特性被称为元数据特性,在JDK1.5之后称为注释,即:使用注释的方式加入一些程序的信息. j ...
    
			
    3. 
						
  3. elf格式分析
			
    近期研究了一下elf文件格式,发现好多资料写的都比較繁琐,可能会严重打击学习者的热情,我把自己研究的结果和大家分享,希望我的描写叙述可以简洁一些. 一.基础知识 elf是一种文件格式,用于存储Linu ...
    
			
    4. 
						
  4. JavaScript 基础优化(读书笔记)
			
    1.带有 src 属性的<script>元素不应该在其<script>和</script>标签之间再包含额外的 JavaScript 代码.如果包含了嵌入的代码,则 ...
    
			
    5. 
						
  5. 分享3一个博客HTML5模板
			
    1.材类别:半透明 博客html模板 个人博客 半透明html5博客主题,半透明,博客,博客html模板,个人博客,html5,灰色,半透明html5博客主题是一款适合用于个人博客主题,风格非常不错. ...
    
			
    6. 
						
  6. SpringMVC与Mybatis框架整合遇到的坑(转)
			
    最近在做springmvc与mybatis的项目,遇到一些比较坑的问题.花了许多时间却发现其实解决的办法很简单.这里主要是讲我自己在整合这两个框架的时候遇到的一些问题做一个整理.希望遇到和我同样问题的 ...
    
			
    7. 
						
  7. 吐槽CSDN编辑
			
    Perface 近期喜欢上了markdown.我认为它就是一些HTML标签的快捷键,用一些符号来取代标签,易学易读易用,何乐而不为呢?近期也喜欢用印象笔记来让我的记忆永存,确实它强大的收集能力让我迷上 ...
    
			
    8. 
						
  8. SE 2014年4月17日
			
    描述BGP路由属性 MED.首选值 的特点 MED相当于IGP协议中的度量值,在其他条件相同时,当本自治系统有多条到达外部自治系统的链路时,MED值小的路由优选.MED属性只能在两个自治系统间传递.  ...
    
			
    9. 
						
  9. Coreseek:indexer crashed不解之谜
			
    前两天浩哥让我再把Coreseek的索引再做一次,由于需求那边有点变化,要把索引的公司名字显示出来,就在配置文件中面加入了sql_field_string:字符串字段.. 这个属性特别好用,由于它不仅 ...
    
			
    10. 
						
  10. Knockout获取数组元素索引的2种方法,在MVC中实现
			
    原文:Knockout获取数组元素索引的2种方法,在MVC中实现 在遍历数组.集合的时候,通常要获取元素的索引,本篇体验使用Knockout获取索引的2种方法. 假设有这样的一个模型: namespa ...
    
			
    11.