首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[求助]有么有熟悉磁盘还原的朋友,帮帮忙~~
发表于: 2010-5-1 22:45 4453

[求助]有么有熟悉磁盘还原的朋友,帮帮忙~~

yeluosong 活跃值
2010-5-1 22:45
4453
参考某位大大写的扇区转存的磁盘还原驱动,自己也在diskperf过滤框架上试着写了下.在diskperf驱动开始运作一段时间内,DiskperfReadWrite是能够正常运作(写A扇区,将转存到空闲c扇区,并建立重定向表,下次读/写A,会被转到c).但是在经过约700次写扇区操作后,系统就卡住了,windbg显示"Debuggee is running...",虚拟机停在进度条后的黑屏状态,也没有DiskperfReadWrite 进入/进出 debug信息打印.给我的感觉就是,系统虽然在运行,但已经没有磁盘扇区读写操作了.很奇怪,前面都能正常工作,为什么后面会卡住.
能力有限,找不出原因所在,论坛的大大们顺手帮下小菜偶,感谢感谢:)

DiskPerfReadWrite(
    IN PDEVICE_OBJECT DeviceObject,
    IN PIRP Irp
    )
{
        NTSTATUS status;
   PDEVICE_EXTENSION  deviceExtension  = DeviceObject->DeviceExtension;
    DbgPrint ("DiskPerfReadWrite enter\n");  
  
      if (Mix_Read_Write (deviceExtension->DiskNumber, DeviceObject, Irp, &status))
              return status;
              
    IoSkipCurrentIrpStackLocation (Irp);
    status = IoCallDriver(deviceExtension->TargetDeviceObject,
                        Irp);
    DbgPrint ("DiskPerfReadWrite exit\n");
    return status;

} // end DiskPerfReadWrite()

下面是源代码及编译好的sys文件和安装文件(仅仅保护分区C)

[课程]FART 脱壳王!加量不加价!FART作者讲授!

上传的附件:
收藏
免费 0
支持
分享
最新回复 (1)
yeluosong
雪    币: 47
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
WINLOGON_FATAL_ERROR (c000021a)
The Winlogon process terminated unexpectedly.
Arguments:
Arg1: e17be2d8, String that identifies the problem.
Arg2: c0000005, Error Code.
Arg3: 00000000
Arg4: 00000000

Debugging Details:
------------------

unable to get nt!KiCurrentEtwBufferOffset
unable to get nt!KiCurrentEtwBufferBase

ERROR_CODE: (NTSTATUS) 0xc000021a - {

EXCEPTION_CODE: (NTSTATUS) 0xc000021a - {

EXCEPTION_PARAMETER1:  e17be2d8

EXCEPTION_PARAMETER2:  c0000005

EXCEPTION_PARAMETER3:  00000000

EXCEPTION_PARAMETER4: 0

ADDITIONAL_DEBUG_TEXT:  Windows Logon Process

BUGCHECK_STR:  0xc000021a_c0000005

DEFAULT_BUCKET_ID:  DRIVER_FAULT

PROCESS_NAME:  System

LAST_CONTROL_TRANSFER:  from 804f8bad to 80528bec

SYMBOL_ON_RAW_STACK:  1

STACK_ADDR_RAW_STACK_SYMBOL: fffffffff891dad8

STACK_COMMAND:  dds F891DAD8-0x20 ; kb

STACK_TEXT:  
f891dab8  f891d9e0
f891dabc  00000000
f891dac0  f891da70
f891dac4  806d3861 hal!KeReleaseInStackQueuedSpinLock+0x11
f891dac8  badb0d00
f891dacc  00000000
f891dad0  81f34008
f891dad4  f876534f PartMgr!PmPnp+0x1e1
f891dad8  00000000
f891dadc  828f0f38
f891dae0  828d47a8
f891dae4  00000000
f891dae8  00000000
f891daec  0000bb40
f891daf0  f891d7e8
f891daf4  00000000
f891daf8  f891dbdc
f891dafc  00000000
f891db00  00000000
f891db04  00000001
f891db08  804ef129 nt!IopfCallDriver+0x31
f891db0c  f891dbdc
f891db10  81f34008
f891db14  81f34048
f891db18  829b8640
f891db1c  00000001
f891db20  f891da70
f891db24  00000000
f891db28  806d3861 hal!KeReleaseInStackQueuedSpinLock+0x11
f891db2c  00000008
f891db30  00000202
f891db34  804fbb03 nt!KeInsertQueueApc+0x4b

FOLLOWUP_IP:
PartMgr!PmPnp+1e1
f876534f e96a010000      jmp     PartMgr!PmPnp+0x350 (f87654be)

SYMBOL_NAME:  PartMgr!PmPnp+1e1

FOLLOWUP_NAME:  MachineOwner

MODULE_NAME: PartMgr

IMAGE_NAME:  PartMgr.sys

DEBUG_FLR_IMAGE_TIMESTAMP:  480253b0

FAILURE_BUCKET_ID:  0xc000021a_c0000005_PartMgr!PmPnp+1e1

BUCKET_ID:  0xc000021a_c0000005_PartMgr!PmPnp+1e1

Followup: MachineOwner
---------
有这么一个错误
2010-5-3 11:51
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//