1. windows 下磁盤文件讀寫
下面是讀取D:\磁盤上的第0扇區 512 Bytes
CreateFile()打開磁盤,獲取文件句柄;
SetFilePointer()設置讀寫的位置;
ReadFile()讀取磁盤扇區數據。
HANDLE hFile;
char drive[] = "\\\\.\\D:"; //------- \\.D: ----- //------- 創建文件句柄 ------ hFile = CreateFile(drive, // 還可以為硬盤"\\\\.\\physicalDrive0"絕對讀寫, 或類似"D:\\abc\\fileName.txt"文件形式, GENERIC_READ, // 打開方式 FILE_SHARE_WRITE|FILE_SHARE_READ, // 前者表示之後打開該文件的程序 only write, 後者為only read NULL, // 安全屬性 LPSECURITY_ATTRIBUTES OPEN_EXISTING, // how to Create 0, NULL); // use for open file if(hFile == INVALID_HANDLE_VALUE) return;
// 0表示偏移字節數的低4位,NULL是高4位的地址, 不用則為零; 此處表示D:\從首扇區0扇區起,偏移字節數為0
SetFilePointer(hFile, 0, NULL, FILE_BEGIN);
DWORD lenRead;
ReadFile(hFile, buf, 512, &lenRead, NULL); // 在該扇區起,讀取 512 Bytes
2. 獲取磁盤所有驅動器
DWORD allDrive = GetLogicalDrive(). // 返回值共有 32 Bits,從低位到高位分別表示A,B,C,D,E,..... // 比如0x0000 007C, 即 0111 1100 表示有C,D,E,F,G 5個驅動器;
3. NTFS 文件系統
一個NTFS系統是由引導扇區,主文件表MFT,和數據區組成;另外MFT有一部分重要備份在數據區。
(1) 引導扇區
若果D:\盤是NTFS文件系統,那麼上面得到的第0個扇區數據 buf 偏移0x03開始的8個Bytes就是"NTFS ",表示這個扇區就是NTFS
的引導記錄。這第0個扇區也就是$Boot扇區,這個扇區包含了該卷的 BPB 和擴展BPB參數,可以得到該卷的卷大小,磁頭數,扇區大小,簇
大小等等參數;要解析一個NTFS卷的文件結構也是從這裡的BPB參數開始的。
解析時有用到的是這個扇區的前 88 (0x58) 個Bytes,剩余的是引導代碼和結束標志"55 AA",前88個字節具體結構如下:
1 typedef struct NTFS_BPB{ // 在cmd 輸入 fsutil fsinfo ntfsinfo d: 查詢 NTFS 信息
2 UCHAR jmpCmd[3];
3 UCHAR s_ntfs[8]; // "NTFS " 標志
4 // 0x0B
5 UCHAR bytesPerSec[2]; // 0x0200 扇區大小,512B
6 UCHAR SecsPerClu; // 0x08 每簇扇區數,4KB
7 UCHAR rsvSecs[2]; // 保留扇區
8 UCHAR noUse01[5]; //
9 // 0x15
10 UCHAR driveDscrp; // 0xF8 磁盤介質 -- 硬盤
11 UCHAR noUse02[2]; //
12 // 0x18
13 UCHAR SecsPerTrack[2]; // 0x003F 每道扇區數 63
14 UCHAR Headers[2]; // 0x00FF 磁頭數
15 UCHAR secsHide[4]; // 0x3F 隱藏扇區
16 UCHAR noUse03[8]; //
17 // 0x28
18 UCHAR allSecsNum[8]; // 卷總扇區數, 高位在前, 低位在後
19 // 0x30
20 UCHAR MFT_startClu[8]; // MFT 起始簇
21 UCHAR MFTMirr_startClu[8]; // MTF 備份 MFTMirr 位置
22 //0x40
23 UCHAR cluPerMFT[4]; // 每記錄簇數 0xF6
24 UCHAR cluPerIdx[4]; // 每索引簇數
25 //0x48
26 UCHAR SerialNum[8]; // 卷序列號
27 UCHAR checkSum[8]; // 校驗和
28 }Ntfs_Bpb,*pNtfs_Bpb;
(2) 關於簇
在一個分區中引導記錄扇區所在的簇編號為0,往後的簇編號1,2,3等等一直到卷尾,這就是一個分區的邏輯簇號(LCN);計算
邏輯扇區號:LCN * 簇大小,簇的大小在BPB參數中找到,一般為8個扇區4KB;以此可以由 MFT 起始簇 MFT_startClu 計算
出第一個 MFT 項(記錄)的位置。
VCN,虛擬邏輯簇號,給一個文件從它的首簇開始編號,為0,依次遞增一直到文件的尾簇,在物理上不一定連續。
(3) 主文件表 (Master File Table, MFT)
MFT 是由一條條 MFT 項(記錄)所組成的,而且每項大小是固定的(一般為1KB),MFT保留了前16項用於特殊文件記錄,稱為元數據,
元數據在磁盤上是物理連續的,編號為0~15;如果$MFT的偏移為0x0C0000000, 那麼下一項的偏移就是0x0C0000400,在下一項就是
0x0C0000800等等;
MFT記錄了整個卷的所有文件 (包括MFT本身、數據文件、文件夾等等) 信息,包括空間占用,文件基本屬性,文件位置索引,創建時
間用戶權限,加密信息等等,每一個文件在 MFT 中都有一個或多個 MFT 項記錄文件屬性信息,這裡的屬性包括數據,如果這個文件很小
在 MFT 項中就可以放下,那麼這條屬性就定義為常駐屬性,常駐標志位記為1,如果是非常駐,則有一個索引指向另一條記錄(稱為一個運行)。
(3) 第一條 MFT 項: $MFT
MFT 的第一項記錄描述的是主分區表MFT本身,它的編號為0,$MFT的頭部結構如下:
1 typedef struct MFT_HEADER{
2 UCHAR mark[4]; // "FILE" 標志
3 UCHAR UsnOffset[2]; // 更新序列號偏移 30 00
4 UCHAR usnSize[2]; // 更新序列數組大小+1 03 00
5 UCHAR LSN[8]; // 日志文件序列號(記錄修改後改變) 58 8E 0F 34 00 00 00 00
6 // 0x10
7 UCHAR SN[2]; // 序列號, 在MFT中的第幾個記錄(記錄編號)用來計算地址
8 UCHAR linkNum[2]; // 硬連接數 (多少目錄指向該文件) 01 00
9 UCHAR firstAttr[2]; // 第一個屬性的偏移 38 00
10 UCHAR flags[2]; // 0已刪除 1正常文件 2已刪除目錄 3目錄正使用
11 // 0x18
12 UCHAR MftUseLen[4]; // 記錄有效長度 A8 01 00 00
13 UCHAR maxLen[4]; // 記錄占用長度 00 04 00 00
14 // 0x20
15 UCHAR baseRecordNum[8]; // 索引基本記錄, 如果是基本記錄則為0
16 UCHAR nextAttrId[2]; // 下一屬性Id 07 00
17 UCHAR border[2]; //
18 UCHAR xpRecordNum[4]; // 用於xp, 記錄號
19 // 0x30
20 UCHAR USN[8]; // 更新序列號(2B) 和 更新序列數組
21 }Mft_Header, *pMft_Header;
上面的頭部結構體在扇區的數據偏移 0x00 ~0x38;
在0x38之後的4大塊顏色數據是4條屬性,描述名稱,時間,索引等等信息,最後以"FF FF FF FF"結束。它們分別以0x10,0x30,
0x80, 0xB0作為標志;這裡的四種屬性所描述的的信息類型可以由下表查得,對照數據和結構體可以把這4條屬性解析出來。
1 //------------------ 屬性頭通用結構 ----
2 typedef struct NTFSAttribute //所有偏移量均為相對於屬性類型 Type 的偏移量
3 {
4 UCHAR Type[4]; // 屬性類型 0x10, 0x20, 0x30, 0x40,...,0xB0
5 UCHAR Length[4]; // 屬性的長度
6 UCHAR NonResidentFiag; // 是否是非常駐屬性,l 為非常駐屬性,0 為常駐屬性 00
7 UCHAR NameLength; // 屬性名稱長度,如果無屬性名稱,該值為 00
8 UCHAR ContentOffset[2]; // 屬性內容的偏移量 18 00
9 UCHAR CompressedFiag[2]; // 該文件記錄表示的文件數據是否被壓縮過 00 00
10 UCHAR Identify[2]; // 識別標志 00 00
11 //--- 0ffset: 0x10 ---
12 //-------- 常駐屬性和非常駐屬性的公共部分 ----
13 union CCommon
14 {
15 //---- 如果該屬性為 常駐 屬性時使用該結構 ----
16 struct CResident
17 {
18 UCHAR StreamLength[4]; // 屬性值的長度, 即屬性具體內容的長度。"48 00 00 00"
19 UCHAR StreamOffset[2]; // 屬性值起始偏移量 "18 00"
20 UCHAR IndexFiag[2]; // 屬性是否被索引項所索引,索引項是一個索引(如目錄)的基本組成 00 00
21 };
22 //------- 如果該屬性為 非常駐 屬性時使用該結構 ----
23 struct CNonResident
24 {
25 UCHAR StartVCN[8]; // 起始的 VCN 值(虛擬簇號:在一個文件中的內部簇編號,0起)
26 UCHAR LastVCN[8]; // 最後的 VCN 值
27 UCHAR RunListOffset[2]; // 運行列表的偏移量
28 UCHAR CompressEngineIndex[2]; // 壓縮引擎的索引值,指壓縮時使用的具體引擎。
29 UCHAR Reserved[4];
30 UCHAR StreamAiiocSize[8]; // 為屬性值分配的空間 ,單位為B,壓縮文件分配值小於實際值
31 UCHAR StreamRealSize[8]; // 屬性值實際使用的空間,單位為B
32 UCHAR StreamCompressedSize[8]; // 屬性值經過壓縮後的大小, 如未壓縮, 其值為實際值
33 };
34 };
35 };
由這個結構體可以知道,屬性頭的長度取決於是否有屬性名,屬性名長度是多少;是否常駐,如果常駐,屬性內容長度是多少,如果非常駐,運行列表有多長。
(0x08)日志文件序列號,它又叫文件參考號、文件引用號,一共 8Byte,前6個字節是文件稱為文件號;後2個字節是文件順序號,文件順序號隨重用而增加。
10H 類型:10H屬性$STANDART_INFORMATION,描述的是文件的創建、訪問、修改時間,
傳統屬性,以及版本信息等等。
1 struct Value0x10
2 {
3 UCHAR fileCreateTime[8]; // 文件創建時間
4 UCHAR fileChangeTime[8]; // 文件修改時間
5 UCHAR MFTChangeTime[8]; // MFT修改時間
6 UCHAR fileLatVisited[8]; // 文件最後訪問時間
7 UCHAR tranAtrribute[4]; // 文件傳統屬性
8 UCHAR otherInfo[28]; // 版本,所有者,配額,安全等等信息(詳細略)
9 UCHAR updataNum[8]; // 文件更新序列號
10 };
下面的偏移都是相對於首字節,其值加上0x38 就是實際偏移(圖中的offset)。
0x00 4B: (0x10) 類型標志
0x04 4B: (0x60) 整條10H屬性的長度
0x08 1B: (0x00) 非常駐
0x09 1B: (0x00) 無屬性名稱
0x0A 2B: (0x18) 屬性內容偏移位置
0x18 8B: (ED 46 39 6B 6B 93 CF 01) 8個字節是文件創建時間,緊隨其後的3x8個字節分別是文件最後修改時間,MFT修改
時間,文件最後訪問時間。64位數值是相對於1601-01-01零點整的千萬分之一秒數。可以用FileTimeToSystemTime()轉換成
我們通常見到的形式。
0x38 8B: (06 00 00 00 00 00 00 00)傳統屬性,這裡是系統隱含文件,位描述:
後面還有0x28個字節是版本和管理信息等等。
20H類型 $ATTRIBUTE_LIST
當一個文件需要多個$MFT來記錄,用來描述屬性的屬性列表;當非常駐屬性依然不夠空間,則需要屬性列表。20H類屬性也有
可能為常駐或非常駐,可以應用上面的通用結構體。以此結構體得到屬性值的偏移地址,進而得到屬性內容。
//------- 這個結構只是數據內容部分,不包括屬性頭 NTFSAttribute ----
//------- 由屬性頭的屬性值偏移量確定屬性值的起始位置 ---
1 struct Value0x20{ 2 UCHAR type[4]; // 類型 3 UCHAR recordType[2]; // 記錄類型 4 UCHAR nameLen[2]; // 屬性名長度 5 UCHAR nameOffset; // 屬性名偏移 6 UCHAR startVCN[8]; // 起始 VCN 7 UCHAR baseRecordNum[8]; // 基本文件記錄索引號 8 UCHAR attributeId[2]; // 屬性 id 9 //---- 屬性名(Unicode) 長度取決於 nameLen 的值 --- 10 };
30H 類型 $FILE_NAME
30H 類型屬性描述的是文件和文件夾的名字和創建基本信息,屬性頭不在贅述,屬性值的結構如下:
1 struct Value0x30
2 {
3 UCHAR parentFileNum[8]; // 父目錄的文件參考號,前6B
4 UCHAR createTime[8]; // 文件創建時間
5 UCHAR changeTime[8]; // 文件修改時間
6 UCHAR MFTchangeTime[8]; // MFT 修改時間
7 UCHAR lastVisitTime[8] // 最後一次訪問時間
8 UCHAR AllocSize[8]; // 文件分配大小
9 UCHAR realSize[8]; // 實際大小
10 UCHAR fileFlag[4]; // 文件標志,系統 隱藏 壓縮等等
11 UCHAR EAflags[4] // EA擴展屬性和重解析點
12 UCHAR nameLength; // 文件名長
13 UCHAR nameSpace; // 文件命名空間
14 //----- Name (Unicode編碼) 長度為 2 * nameLength ----
15 }
NTFS通過為一個文件創建多個30H屬性實現POSIX (Portable Operating System Interface, 可移植操作系統接口) 式硬連接,
每個30H屬性都有自己的詳細資料和父目錄;一個硬連接刪除時,就從MFT中刪除這個文件名,最後一個硬連接被刪除時,這個文件就算是
真正被刪除了。
文件參考號:包括前 6B 的文件記錄號,後 2B 的文件引用計數;當文件記錄號為0x05時,是根目錄。
命名空間:0 --- POSIX, 1 -- Win32, 2 --- DOS, 3 --- Win32 & DOS
40H 屬性 $OBJECT_ID
MTFS統一給所有 MFT 記錄分配的一個標識 --- 對象ID,即結構體第一個16B,可能只有一個全局對象ID,後面的3個ID可能沒有。
1 struct Value0x40
2 {
3 UCHAR GObjectId[16]; // 全局對象ID 給文件的唯一ID號
4 UCHAR GOriginalVolumeId[16]; // 全局原始卷ID 永不改變
5 UCHAR GOriginalObjectId[16]; // 全局原始對象ID 派給本MFT記錄的第一個對象ID
6 UCHAR GDomain[16]; // 全局域ID (未使用)
7 };
50H 屬性 $SECURITY_DESCRIPTOR ( 安全描述符) 略。
60H 屬性 $VOLUME_NAME 卷名屬性
1 struct Value0x60
2 {
3 //---- 通用屬性頭 --
4 UCHAR VolumeName[N]; //(Unicode) N 最大為 127 外加一個結束符'\0'
5 };
70H 屬性 $VOLUME_INFORMATION 卷版本、狀態
1 struct Value0x70
2 { //----- 通用屬性頭 ---
3 UCHAR noUsed1[8]; // 00
4 UCHAR mainVersion; // 主版本號 1--winNT, 3--Win2000/XP
5 UCHAR SecVersion; // 次版本號 當主為3 0--win2000, 1-WinXP/7
6 UCHAR flag[2]; // 標志
7 UCHAR noUsed2[4]; // 00
8 };
9 /* flag:
10 * 0x0001 壞區標志 下次重啟時chkdsk/f進行修復
11 * 0x0002 調整日志文件大小
12 * 0x0004 更新裝載
13 * 0x0008 裝載到 NT4
14 * 0x0010 刪除進行中的USN
15 * 0x0020 修復對象 Ids
16 * 0x8000 用 chkdsk 修正卷
17 */
80H 屬性 $DATA 容納文件數據(未命名數據流),文件的大小一般指是未命名數據流的大小,沒有長度限制,當它為常駐時,數據
長度最小。它的結構為屬性頭加上數據流,如果數據流太大,則標記為非常駐,以運行的方式索引到另一個MFT項。
一個80H屬性實例:
0x00~0x37 是屬性頭;運行列表偏移是紫色區域 0x0040,可以得到運行列表 32 40 34 00 00 0C 32 80 31 07 54 16 ;分析如下:
首先0x32,低4位是2,表示緊隨其後的2Byte 0x3440作為運行簇大小,高4位是3,表示簇大小之後的3個Byte 0x0C0000 是起始簇,這
是一個運行結束;接下來的0x32同理得簇起始號0x165407,運行大小為0x3180簇;一個運行的結束後跟 '\0' 為列表結束,之後填充無效字符。
90H 屬性 $INDEX_ROOT 索引根。實現NTFS的B+樹索引的根節點,總是常駐。索引根屬性由屬性頭、索引根和索引項組成。屬性頭是通用
屬性頭的常駐部分。結構體如下(可能有些偏差):
1 struct indexHeader
2 {
3 UCHAR type[4]; // 屬性類型
4 UCHAR checkRule[4]; // 校對規則
5 UCHAR allocSize[4]; // 索引項分配大小
6 UCHAR CluPerIdx; // 每索引記錄的簇數
7 UCHAR noUse01[3]; // 填充
8
9 UCHAR firstIdxOffset[4]; // 第一個索引項偏移
10 UCHAR idxTotalSize[4]; // 索引項總大小
11 UCHAR indxAllocSize[4]; // 索引項分配大小
12 UCHAR flag; // 標志
13 UCHAR noUse02[3];
14 };
15
16 struct indexItem
17 {
18 UCHAR MFTnum[8] // 文件的MFT記錄號[0]
19 UCHAR ItemLen:[2]; // 索引項大小
20 UCHAR IndexIdentifier:[2]; // 索引標志 R
21 UCHAR isNode[2]; // 1---此索引包含一個子節點,0---此為最後一項
22 UCHAR noUse03[2]; // 填充
23 UCHAR FMFTnum[8]; // 父目錄 MFT文件參考號 0x05表示根目錄
24 UCHAR CreateTime[8]; //文件創建時間
25 UCHAR fileModifyTime[8]; //文件修改時間
26 UCHAR MFTModifyTime[8]; //文件記錄最後修改時間
27 UCHAR LastVisitTime[8]; //文件最後訪問時間
28 UCHAR FileAllocSize[8]; //文件分配大小 (B)
29 UCHAR FileRealSize[8]; //文件實際大小 (B)
30 UCHAR FileIdentifier[8]; //文件標志
31 UCHAR FileNameLen; //文件名長度
32 UCHAR FileNameSpace; //文件名命名空間
33 //---- 0x52 ---
34 //FileName; // 文件名 (末尾填滿 8 字節)
35 UCHAR nextItemVCN[8]; // 下一項的 VCN (有子節點才有)
36 };
A0H 屬性 $INDEX_ALLOCATION 索引分配屬性,也是索引,由屬性頭和運行列表組成,一般指向一個目錄文件(INDX文件);
A0H屬性和90H屬性共同描述了磁盤文件和目錄的 MFT 記錄的位置。
B0H 屬性 $BITMAP 位圖屬性,虛擬簇使用(占用)情況,這條屬性用在$MFT和索引中;在Bitmap文件中,每一個 Bit 代表分區的一個簇,置1代表其已使用;
第0個字節的第0位表示第0簇,之後依次遞增。
C0H 屬性 $REPARSE_POINT 重解析點。使應用程序為文件或目錄關聯一個應用程序數據塊,詳細略。
D0H $EA_INFORMATION 擴充信息屬性。為在NTFS下實現HPFS的OS/2子系統信息,及WinNT服務器的OS/2客戶端應用而設置的,一般為非常駐;
E0H $EA 擴充屬性 也是為了實現NTFS下的 HPFS,一般為非常駐;
100H $LOGGED_UTILITY_STREAM,EFS加密屬性,存儲用於實現EFS加密有關的信息,合法用戶列表,解密密鑰等等
(4) 解析一個磁盤分區的文件目錄的順序:
引導扇區($Boot) ----> 第0項記錄($MFT) ----> 根目錄記錄(第5項) ----> 根目錄(INDX)
1 struct indxHeader // A0H外部緩存文件結構,最大長度一般為4K
2 {
3 UCHAR mark[4]; // 標志 "INDX"
4 UCHAR usnOffset[2]; // 更新序列偏移
5 UCHAR usnSize[2]; // 更新序列數組大小S
6 UCHAR LSN[8]; // 日志文件序列號
7 UCHAR indxVCN[8]; // 本索引緩存在分配索引中的VCN
8 UCHAR itemOffset[4]; // 第一項索引項偏移(從這裡開始計算)
9 UCAHR itemSize[4]; // 索引項實際大小(B)
10 UCHAR itemAlloc[4]; // 索引項分配大小(B)(不包括頭部)略小於4K
11 UCHAR isNode; // 是結點置1,表示有子節點
12 UCHAR noUse[3];
13 //UCHAR USN[2S]; // 更新序列號和數組
14 };
在文件頭之後就是目錄項了,項的結構就是在上面90H的介紹裡定義的indexItem,每一個項代表一個文件或目錄的MFT項,以此可以找到
文件子目錄 (在MFT項頭部 0x16 flag標志文件類型)。
