[讨论]Ntfs的小疑问，各位牛牛进来看看-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
第八个门雪币： 178 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 6 回帖 90 粉丝 0 关注私信	第八个门 1 2 楼第一个是每个卷都创建。DeviceTree能看到ntfs这个创建了N个设备啊。第二个RealDevice不是指向DR0吧…… 2010-1-16 13:59 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 3 楼你可以用DeviceTree看看就知道了，是这样，每个文件系统的入口里会生成一个设备对象，挂入系统某个队列。这个对象貌似专门用来挂队列的。每个卷设备对象都在挂载的时候会在注册的文件系统里挨个调出来确认。一旦成功，文件系统会再专门生成一个设备对象和卷设备对象绑定。而且特殊的是这个文件系统的设备对象的指针后面还附加了一大段数据。对于ntfs，这个是PVOLUME_DEVICE_OBJECT。里面包含的数据结构是文件系统用来操作文件的真正结构。甚至VPB在ntfs中的create中都很少用到，一般都用PVOLUME_DEVICE_OBJECT里保存的。而VPB专门在IopParseDevice时查找卷设备对象对应的文件系统。而符号解析，也就是对象管理器这层得到的是卷设备对象。文件系统负责文件路径->卷上某个扇区的解析，卷管理器负责卷上某个扇区->具体扇区的解析，磁盘系统负责具体扇区的读写。再往下就根据各种硬件而不同了，这个比较麻烦。另外RealDevice这个应该指向的是卷设备对象（FtDisk），不信你用windbg看看它的驱动对象的名字就知道。说了这么多可能有不少错误，以前搞的现在快忘光了……欢迎大家指正补充（下面是windbg查看的数据） lkd> dt _vpb 0x89d928d8 ntdll!_VPB +0x000 Type : 10 +0x002 Size : 88 +0x004 Flags : 1 +0x006 VolumeLabelLength : 0 +0x008 DeviceObject : 0x89a8d2b0 _DEVICE_OBJECT +0x00c RealDevice : 0x89d95900 _DEVICE_OBJECT +0x010 SerialNumber : 0xe45ed38f +0x014 ReferenceCount : 0x5af +0x018 VolumeLabel : [32] 0 lkd> dt _DEVICE_OBJECT 0x89d95900 ntdll!_DEVICE_OBJECT +0x000 Type : 3 +0x002 Size : 0x1a0 +0x004 ReferenceCount : 1455 +0x008 DriverObject : 0x89d5dc98 _DRIVER_OBJECT +0x00c NextDevice : 0x89e21cf8 _DEVICE_OBJECT +0x010 AttachedDevice : 0x89da2ae0 _DEVICE_OBJECT +0x014 CurrentIrp : (null) +0x018 Timer : (null) +0x01c Flags : 0x1050 +0x020 Characteristics : 0 +0x024 Vpb : 0x89d928d8 _VPB +0x028 DeviceExtension : 0x89d959b8 +0x02c DeviceType : 7 +0x030 StackSize : 5 '' +0x034 Queue : __unnamed +0x05c AlignmentRequirement : 1 +0x060 DeviceQueue : _KDEVICE_QUEUE +0x074 Dpc : _KDPC +0x094 ActiveThreadCount : 0 +0x098 SecurityDescriptor : 0xe101d1b8 +0x09c DeviceLock : _KEVENT +0x0ac SectorSize : 0x200 +0x0ae Spare1 : 1 +0x0b0 DeviceObjectExtension : 0x89d95aa0 _DEVOBJ_EXTENSION +0x0b4 Reserved : (null) lkd> dt _DRIVER_OBJECT 0x89d5dc98 ntdll!_DRIVER_OBJECT +0x000 Type : 4 +0x002 Size : 168 +0x004 DeviceObject : 0x89d94900 _DEVICE_OBJECT +0x008 Flags : 0x12 +0x00c DriverStart : 0xba749000 +0x010 DriverSize : 0x1e880 +0x014 DriverSection : 0x89e2aeb8 +0x018 DriverExtension : 0x89d5dd40 _DRIVER_EXTENSION +0x01c DriverName : _UNICODE_STRING "\Driver\Ftdisk" +0x024 HardwareDatabase : 0x8067c260 _UNICODE_STRING "\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\SYSTEM" +0x028 FastIoDispatch : (null) +0x02c DriverInit : 0xba7644e2 long ftdisk!DriverEntry+0 +0x030 DriverStartIo : (null) +0x034 DriverUnload : 0xba7523b6 void ftdisk!FtDiskUnload+0 +0x038 MajorFunction : [28] 0xba749636 long ftdisk!FtDiskCreate+0 2010-1-16 14:06 0
流星双子雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 19 粉丝 0 关注私信	流星双子 4 楼 2 楼 3 楼...... 好强大的SESSION 2010-1-16 14:14 0
xiamisun 雪币： 535 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 30 粉丝 0 关注私信	xiamisun 5 楼貌似2#是3#的马甲 2010-1-22 10:13 0
evilcode 雪币： 254 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 398 粉丝 0 关注私信	evilcode 6 楼 mark一下，现在搜索别人要钱 2010-1-23 18:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
第八个门雪币： 178 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 6 回帖 90 粉丝 0 关注私信	第八个门 1 2 楼第一个是每个卷都创建。DeviceTree能看到ntfs这个创建了N个设备啊。第二个RealDevice不是指向DR0吧…… 2010-1-16 13:59 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 3 楼你可以用DeviceTree看看就知道了，是这样，每个文件系统的入口里会生成一个设备对象，挂入系统某个队列。这个对象貌似专门用来挂队列的。每个卷设备对象都在挂载的时候会在注册的文件系统里挨个调出来确认。一旦成功，文件系统会再专门生成一个设备对象和卷设备对象绑定。而且特殊的是这个文件系统的设备对象的指针后面还附加了一大段数据。对于ntfs，这个是PVOLUME_DEVICE_OBJECT。里面包含的数据结构是文件系统用来操作文件的真正结构。甚至VPB在ntfs中的create中都很少用到，一般都用PVOLUME_DEVICE_OBJECT里保存的。而VPB专门在IopParseDevice时查找卷设备对象对应的文件系统。而符号解析，也就是对象管理器这层得到的是卷设备对象。文件系统负责文件路径->卷上某个扇区的解析，卷管理器负责卷上某个扇区->具体扇区的解析，磁盘系统负责具体扇区的读写。再往下就根据各种硬件而不同了，这个比较麻烦。另外RealDevice这个应该指向的是卷设备对象（FtDisk），不信你用windbg看看它的驱动对象的名字就知道。说了这么多可能有不少错误，以前搞的现在快忘光了……欢迎大家指正补充（下面是windbg查看的数据） lkd> dt _vpb 0x89d928d8 ntdll!_VPB +0x000 Type : 10 +0x002 Size : 88 +0x004 Flags : 1 +0x006 VolumeLabelLength : 0 +0x008 DeviceObject : 0x89a8d2b0 _DEVICE_OBJECT +0x00c RealDevice : 0x89d95900 _DEVICE_OBJECT +0x010 SerialNumber : 0xe45ed38f +0x014 ReferenceCount : 0x5af +0x018 VolumeLabel : [32] 0 lkd> dt _DEVICE_OBJECT 0x89d95900 ntdll!_DEVICE_OBJECT +0x000 Type : 3 +0x002 Size : 0x1a0 +0x004 ReferenceCount : 1455 +0x008 DriverObject : 0x89d5dc98 _DRIVER_OBJECT +0x00c NextDevice : 0x89e21cf8 _DEVICE_OBJECT +0x010 AttachedDevice : 0x89da2ae0 _DEVICE_OBJECT +0x014 CurrentIrp : (null) +0x018 Timer : (null) +0x01c Flags : 0x1050 +0x020 Characteristics : 0 +0x024 Vpb : 0x89d928d8 _VPB +0x028 DeviceExtension : 0x89d959b8 +0x02c DeviceType : 7 +0x030 StackSize : 5 '' +0x034 Queue : __unnamed +0x05c AlignmentRequirement : 1 +0x060 DeviceQueue : _KDEVICE_QUEUE +0x074 Dpc : _KDPC +0x094 ActiveThreadCount : 0 +0x098 SecurityDescriptor : 0xe101d1b8 +0x09c DeviceLock : _KEVENT +0x0ac SectorSize : 0x200 +0x0ae Spare1 : 1 +0x0b0 DeviceObjectExtension : 0x89d95aa0 _DEVOBJ_EXTENSION +0x0b4 Reserved : (null) lkd> dt _DRIVER_OBJECT 0x89d5dc98 ntdll!_DRIVER_OBJECT +0x000 Type : 4 +0x002 Size : 168 +0x004 DeviceObject : 0x89d94900 _DEVICE_OBJECT +0x008 Flags : 0x12 +0x00c DriverStart : 0xba749000 +0x010 DriverSize : 0x1e880 +0x014 DriverSection : 0x89e2aeb8 +0x018 DriverExtension : 0x89d5dd40 _DRIVER_EXTENSION +0x01c DriverName : _UNICODE_STRING "\Driver\Ftdisk" +0x024 HardwareDatabase : 0x8067c260 _UNICODE_STRING "\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\SYSTEM" +0x028 FastIoDispatch : (null) +0x02c DriverInit : 0xba7644e2 long ftdisk!DriverEntry+0 +0x030 DriverStartIo : (null) +0x034 DriverUnload : 0xba7523b6 void ftdisk!FtDiskUnload+0 +0x038 MajorFunction : [28] 0xba749636 long ftdisk!FtDiskCreate+0 2010-1-16 14:06 0
流星双子雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 19 粉丝 0 关注私信	流星双子 4 楼 2 楼 3 楼...... 好强大的SESSION 2010-1-16 14:14 0
xiamisun 雪币： 535 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 30 粉丝 0 关注私信	xiamisun 5 楼貌似2#是3#的马甲 2010-1-22 10:13 0
evilcode 雪币： 254 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 398 粉丝 0 关注私信	evilcode 6 楼 mark一下，现在搜索别人要钱 2010-1-23 18:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复