|
|
|
[分享]学习强制删除正在运行的文件
还放什么啊. ntfs3g开源的.自己下去就是了... |
|
|
|
[公告]看雪论坛升级到vBulletin3.8.2
界面显得太松了,不紧凑,空隔太大~~ |
|
[讨论]用VC开发一个模块,大家来讨论一下!
CString szUrl = "" ; MFC中绑定输入框控件和这个变量,输入的内容即能与全局变量同步. OpenUrl(szUrl ); --------------------------- 细节问题自己解决之... |
|
|
|
|
|
[原创]简单说点对文件系统、分层驱动、文件读写的理解
- - 在nt4src的 _nt4_src\private\ntos\dd\scsiport\internal.c 中ScsiPortDispatch |
|
[原创]简单说点对文件系统、分层驱动、文件读写的理解
其中 过滤层Volsnap , ftdisk, PartMgr等基本只是稍微处理下IRP包,然后向下转发. |
|
[原创]简单说点对文件系统、分层驱动、文件读写的理解
IdePortDispatch 有源的,在nt4src里面. 它内部调用了IoStartPacket.而 IoStartPacket函数又会调用该dev对应的driver的DriverStartIo例程. eg: ntdll!_DRIVER_OBJECT +0x000 Type : 4 +0x002 Size : 168 +0x004 DeviceObject : 0x817dab58 _DEVICE_OBJECT +0x008 Flags : 0x12 +0x00c DriverStart : 0xf97ff000 +0x010 DriverSize : 0x17480 +0x014 DriverSection : 0x817f1c28 +0x018 DriverExtension : 0x817c7dc8 _DRIVER_EXTENSION +0x01c DriverName : _UNICODE_STRING "\Driver\atapi" +0x024 HardwareDatabase : 0x8066f9d8 _UNICODE_STRING "\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\SYSTEM" +0x028 FastIoDispatch : (null) +0x02c DriverInit : 0xf98145f7 long atapi!GsDriverEntry+0 +0x030 DriverStartIo : 0xf98067c6 void atapi!IdePortStartIo+0 IdePortStartIo内部跟进去,会调用PCIINDEX内部函数,再往里走就进入HAL.DLL模块了,然后就是IO 操作了. 比如: kd> kv ChildEBP RetAddr Args to Child f9dff348 f9c1cddb 817e8190 817e1508 f9dffac8 hal!HalGetScatterGatherList (FPO: [Non-Fpo]) f9dff37c f98068b1 817e15c0 00000000 00000200 PCIIDEX!BmSetup+0x5f (FPO: [Non-Fpo]) f9dff3b4 804efe19 81786030 815ce528 817c75a0 atapi!IdePortStartIo+0xeb (FPO: [Non-Fpo]) f9dff3d4 f9c9703e 81786030 815ce528 00000000 nt!IoStartPacket+0x7d (FPO: [Non-Fpo]) f9dff3f8 f9805c9a 81786030 815ce528 00000000 Main!fake_IoStartPacket+0xbe (FPO: [Non-Fpo]) (CONV: stdcall) [d:\program\r0\coding\逆向sysnap_注册表还原\code\main\patchmodule.c @ 307] f9dff424 804eedf9 81786030 005ce528 815ce6c0 atapi!IdePortDispatch+0x4e6 (FPO: [Non-Fpo]) f9dff434 f99dd061 00000000 815b7af0 815ce6c0 nt!IopfCallDriver+0x31 (FPO: [0,0,0]) f9dff448 f99dcd58 815ce6c0 81783588 815b7ba8 CLASSPNP!SubmitTransferPacket+0x82 (FPO: [Non-Fpo]) f9dff478 f99dce49 00004000 00004000 815b7af0 CLASSPNP!ServiceTransferRequest+0xe4 (FPO: [Non-Fpo]) f9dff49c 804eedf9 817834d0 00000000 81778208 CLASSPNP!ClassReadWrite+0xff (FPO: [Non-Fpo]) f9dff4ac f9c2436c 817d90e8 815b7bcc f9dff4e8 nt!IopfCallDriver+0x31 (FPO: [0,0,0]) f9dff4bc 804eedf9 817832a8 815b7af0 815b7bf0 PartMgr!PmReadWrite+0x93 (FPO: [Non-Fpo]) f9dff4cc f983e1c6 815b7c0c 817e0b78 815b7af0 nt!IopfCallDriver+0x31 (FPO: [0,0,0]) f9dff4e8 804eedf9 817d9030 815b7af0 815b7c30 ftdisk!FtDiskReadWrite+0x194 (FPO: [Non-Fpo]) f9dff4f8 f99bcaa7 815b7a00 81723100 817c7030 nt!IopfCallDriver+0x31 (FPO: [0,0,0]) f9dff50c 804eedf9 817d9750 815b7af0 815b7af0 VolSnap!VolSnapWrite+0xbb (FPO: [Non-Fpo]) f9dff51c f9725243 f9dff918 815b7af0 f9dff70c nt!IopfCallDriver+0x31 (FPO: [0,0,0]) f9dff52c f9724da6 f9dff918 817d9698 493d4000 Ntfs!NtfsSingleAsync+0x6d (FPO: [Non-Fpo]) f9dff70c f9725ae9 f9dff918 815b7af0 e1480990 Ntfs!NtfsNonCachedIo+0x2f8 (FPO: [Non-Fpo]) f9dff908 f9725c97 f9dff918 815b7af0 0110070a Ntfs!NtfsCommonWrite+0x1949 (FPO: [Non-Fpo]) 呵呵,算是大致明白了. weolar同学钻研的很细致~,赞一个! |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值