[原创]NTFS解析?仅仅解析-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]NTFS解析?仅仅解析

发表于: 2009-3-23 19:53 13081

[原创]NTFS解析?仅仅解析

ProgmBoy

2009-3-23 19:53

13081

这里不想多说,以免误导别人.
资料:
1,

ReactOS代码(drivers\filesystem\ntfs\)

2,

这里提下在ReactOS下的drivers\filesystem\ntfs\note.txt中提到的资料不错的说...

note.txt

/*

These are notes about the NT filesystem

More documentation is available at:
http://linux-ntfs.sourceforge.net/ntfs/index.html

*/
就是这里:
http://sourceforge.net/project/showfiles.php?group_id=13956&package_id=16543

3,

还有是NT源码
nt4\private\ntos\cntfs\ntfs.h

4,

一个哥们写的<用Winhex手工定位NTFS文件系统下的文件>,好呀,不过文中的16进制和10进制有些不分,总之很好的资料的说...

5,

<NTFS文件解析系统的简单分析> by:MTrickster

学习过程中写的一个历遍全盘文件的测试的代码:
(注:代码不全,仅仅解析了A0和90属性,其他掠过,详细删除,新建的见MFC版本(还没写完),
将文件解析的代码整成NTFSFindFirstFile和NTFSFindNextFile的主意不错,赞一个)

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

ParseNTFS.rar （51.27kb，333次下载）

收藏・7

免费・7

支持

最新回复 (22)
zjjmjtoot 雪币： 299 活跃值： (25) 能力值： ( LV10，RANK：170 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	zjjmjtoot 4 2 楼这东西肯定不错，先下来看看。 2009-3-24 08:41 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 3 楼哎，晚了一步，本来我也想发一个的……感谢分享~ 2009-3-24 09:02 0
thinkSJ 雪币： 196 活跃值： (135) 能力值： ( LV10，RANK：170 ) 在线值：发帖 9 回帖 611 粉丝 1 关注私信	thinkSJ 4 4 楼这东西肯定不错, 收藏一份. 2009-3-24 09:09 0
家有睡神雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	家有睡神 5 楼 http://www.ntfs.com/ 有关于ntfs,fat,winfs的资料,值得学习 2009-3-24 12:32 0
执着我一生雪币： 1956 活跃值： (1105) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	执着我一生 6 楼感谢分享，好好学习一下！ 2009-3-24 21:41 0
scdeny 雪币： 90 活跃值： (143) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 45 粉丝 1 关注私信	scdeny 2 7 楼试了一下，貌似不能解析完所有文件，郁闷 2009-4-17 09:19 0
nevergone 雪币： 63 活跃值： (17) 能力值： ( LV8，RANK：130 ) 在线值：发帖 5 回帖 270 粉丝 0 关注私信	nevergone 3 8 楼解析有问题没有处理USA 套用某个牛人的话:总有一天会出错的 2009-4-17 09:41 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 9 楼 USA很重要啊~没处理USA的根本没法看吧 2009-4-17 11:40 0
sudaxx 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 60 粉丝 0 关注私信	sudaxx 10 楼 USA中的USN标记了写入磁盘的次数. 若没有处理,读的时候没问题,当有数据写入磁盘时就会出现某些问题. 2009-4-17 12:17 0
sudaxx 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 60 粉丝 0 关注私信	sudaxx 11 楼所以读写操作,都得更新USA... 2009-4-17 12:18 0
nevergone 雪币： 63 活跃值： (17) 能力值： ( LV8，RANK：130 ) 在线值：发帖 5 回帖 270 粉丝 0 关注私信	nevergone 3 12 楼读的时候要回填的 2009-4-17 13:22 0
scdeny 雪币： 90 活跃值： (143) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 45 粉丝 1 关注私信	scdeny 2 13 楼楼主做的很不错啊，能够拿出来分享就比其他人做的好，谢谢你的代码，省了我不少事，对了，你的RunCount没有用上，需要加个循环，把连续的几个簇都读出来，才能解析完所有的INDX文件，试了一下，加上之后就可以找到盘上的所有文件了。加油！期待你的MFC版 2009-4-17 20:03 0
bmjzw 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	bmjzw 14 楼感谢分享，好好学习一下！ 2009-5-5 21:30 0
perlish 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	perlish 15 楼不错的东西，收下了，谢谢楼主 2009-5-6 09:49 0
suiyu 雪币： 1283 活跃值： (46) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 133 粉丝 0 关注私信	suiyu 16 楼学习，支持，然后下载。reactos和windows兼容，确实不错 2009-5-6 11:48 0
treeyan 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 0 关注私信	treeyan 17 楼呵呵,辛苦楼主,支持以前为了在realmode上完成ntfs文件建立,费了不少劲,资料也少.被B+树弄得头晕脑涨的 2009-5-6 14:51 0
垃圾一个雪币： 91 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 70 粉丝 0 关注私信	垃圾一个 18 楼学习下。！！！！！！！！！！1 2009-5-6 19:24 0
xss 雪币： 471 活跃值： (4053) 能力值： ( LV9，RANK：170 ) 在线值：发帖 9 回帖 315 粉丝 5 关注私信	xss 4 19 楼果然NT4的源代码不错 2009-5-6 19:38 0
小原雪币： 306 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 57 粉丝 0 关注私信	小原 20 楼 USA啊USA 2009-8-2 20:19 0
叶xiang 雪币： 445 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 207 粉丝 0 关注私信	叶xiang 21 楼感谢了，下载看看 2009-11-17 14:39 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 22 楼顶希望有更多关于文件系统解析的相关资料 2009-12-4 09:14 0
mtvwr 雪币： 225 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 83 回帖 160 粉丝 0 关注私信	mtvwr 23 楼楼主的有一个比较大的逻辑错误,就是这小段代码: // // 循环分析FileRecord,采用递归 // 接下来是计算FileRecord的位置 // 一个MFT记录占两个扇区一个扇区512字节 // if ( szFileName[0] != '.' ) { LARGE_INTEGER ulFileRecord; ulFileRecord.QuadPart = m_FirstMFTLocation.QuadPart + \ (((pIndexEntry->Form.FileReference.SegmentNumberHighPart << 16) + \ pIndexEntry->Form.FileReference.SegmentNumberLowPart ) * 2 * 512 ); 其实你这段代码就是根据文件记录号来寻找文件记录的位置,对吧?在我的电脑有的文件解析不到,但是WinHex却能解析的很正确. 我的系统是XP SP3,C盘有20G(系统盘),我在system32目录下建了一个扩展名为.txt文件,文件数据只有9个字节,我调试你的程序时得到的文件记录号是0x94C6,我C盘的第一个文件记录的位置在:0x8EBD2000如果按照你的上面代码来计算的话,那么文件记录的位置应该在:0x94C6*1024+0x8EBD2000=0x91103800的地方(pIndexEntry->Form.FileReference.SegmentNumberHighPart << 16这个表达是在我调试时都是0),但是WinHex解析的位置却在0x9B008800的地方,我在你程序计算得到的位置只找一乱七八糟的数据(反正不是文件记录,因为没找到FILE的文件记录的标志).好象所有的文件记录在磁盘上并不是连续存储的,如果这样的话,你的程序就不能正确的工作......其实,开始你的程序工作的都很出色,从根目录解析到Windows目录,再解析system32目录都没有错,就是解析到我创建的那个文件时却出错了.在我电脑上,从0x94C6之后的文件记录所代表的文件,你的程序一个也没解析出来. 当然我并没有任何谴责楼主的意思,楼主能拿出来让大家学习说明楼主很有共享精神,象我这样的菜鸟是十分感谢的,我只是希望大家看我的帖子之后能找到一个正确的方法来解析文件记录的位置. 希望大家看到我的帖子之后能讨论一下.......... 2009-12-6 23:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

ProgmBoy

发帖

157

回帖

140

RANK

关注

私信

他的文章

[原创]迟来的6.1礼物 EPATHOBJ 0day exploit 62975
[原创]Bochs+Windbg调试VT代码 31386
[原创]sudami 的HijackFile中的InlineEngine 10195
[原创]玩玩ntfs之新建文件 12402
[原创]qqlistener_src just for fun! 9447

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
zjjmjtoot 雪币： 299 活跃值： (25) 能力值： ( LV10，RANK：170 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	zjjmjtoot 4 2 楼这东西肯定不错，先下来看看。 2009-3-24 08:41 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 3 楼哎，晚了一步，本来我也想发一个的……感谢分享~ 2009-3-24 09:02 0
thinkSJ 雪币： 196 活跃值： (135) 能力值： ( LV10，RANK：170 ) 在线值：发帖 9 回帖 611 粉丝 1 关注私信	thinkSJ 4 4 楼这东西肯定不错, 收藏一份. 2009-3-24 09:09 0
家有睡神雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	家有睡神 5 楼 http://www.ntfs.com/ 有关于ntfs,fat,winfs的资料,值得学习 2009-3-24 12:32 0
执着我一生雪币： 1956 活跃值： (1105) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	执着我一生 6 楼感谢分享，好好学习一下！ 2009-3-24 21:41 0
scdeny 雪币： 90 活跃值： (143) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 45 粉丝 1 关注私信	scdeny 2 7 楼试了一下，貌似不能解析完所有文件，郁闷 2009-4-17 09:19 0
nevergone 雪币： 63 活跃值： (17) 能力值： ( LV8，RANK：130 ) 在线值：发帖 5 回帖 270 粉丝 0 关注私信	nevergone 3 8 楼解析有问题没有处理USA 套用某个牛人的话:总有一天会出错的 2009-4-17 09:41 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 9 楼 USA很重要啊~没处理USA的根本没法看吧 2009-4-17 11:40 0
sudaxx 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 60 粉丝 0 关注私信	sudaxx 10 楼 USA中的USN标记了写入磁盘的次数. 若没有处理,读的时候没问题,当有数据写入磁盘时就会出现某些问题. 2009-4-17 12:17 0
sudaxx 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 60 粉丝 0 关注私信	sudaxx 11 楼所以读写操作,都得更新USA... 2009-4-17 12:18 0
nevergone 雪币： 63 活跃值： (17) 能力值： ( LV8，RANK：130 ) 在线值：发帖 5 回帖 270 粉丝 0 关注私信	nevergone 3 12 楼读的时候要回填的 2009-4-17 13:22 0
scdeny 雪币： 90 活跃值： (143) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 45 粉丝 1 关注私信	scdeny 2 13 楼楼主做的很不错啊，能够拿出来分享就比其他人做的好，谢谢你的代码，省了我不少事，对了，你的RunCount没有用上，需要加个循环，把连续的几个簇都读出来，才能解析完所有的INDX文件，试了一下，加上之后就可以找到盘上的所有文件了。加油！期待你的MFC版 2009-4-17 20:03 0
bmjzw 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	bmjzw 14 楼感谢分享，好好学习一下！ 2009-5-5 21:30 0
perlish 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	perlish 15 楼不错的东西，收下了，谢谢楼主 2009-5-6 09:49 0
suiyu 雪币： 1283 活跃值： (46) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 133 粉丝 0 关注私信	suiyu 16 楼学习，支持，然后下载。reactos和windows兼容，确实不错 2009-5-6 11:48 0
treeyan 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 0 关注私信	treeyan 17 楼呵呵,辛苦楼主,支持以前为了在realmode上完成ntfs文件建立,费了不少劲,资料也少.被B+树弄得头晕脑涨的 2009-5-6 14:51 0
垃圾一个雪币： 91 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 70 粉丝 0 关注私信	垃圾一个 18 楼学习下。！！！！！！！！！！1 2009-5-6 19:24 0
xss 雪币： 471 活跃值： (4053) 能力值： ( LV9，RANK：170 ) 在线值：发帖 9 回帖 315 粉丝 5 关注私信	xss 4 19 楼果然NT4的源代码不错 2009-5-6 19:38 0
小原雪币： 306 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 57 粉丝 0 关注私信	小原 20 楼 USA啊USA 2009-8-2 20:19 0
叶xiang 雪币： 445 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 207 粉丝 0 关注私信	叶xiang 21 楼感谢了，下载看看 2009-11-17 14:39 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 22 楼顶希望有更多关于文件系统解析的相关资料 2009-12-4 09:14 0
mtvwr 雪币： 225 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 83 回帖 160 粉丝 0 关注私信	mtvwr 23 楼楼主的有一个比较大的逻辑错误,就是这小段代码: // // 循环分析FileRecord,采用递归 // 接下来是计算FileRecord的位置 // 一个MFT记录占两个扇区一个扇区512字节 // if ( szFileName[0] != '.' ) { LARGE_INTEGER ulFileRecord; ulFileRecord.QuadPart = m_FirstMFTLocation.QuadPart + \ (((pIndexEntry->Form.FileReference.SegmentNumberHighPart << 16) + \ pIndexEntry->Form.FileReference.SegmentNumberLowPart ) * 2 * 512 ); 其实你这段代码就是根据文件记录号来寻找文件记录的位置,对吧?在我的电脑有的文件解析不到,但是WinHex却能解析的很正确. 我的系统是XP SP3,C盘有20G(系统盘),我在system32目录下建了一个扩展名为.txt文件,文件数据只有9个字节,我调试你的程序时得到的文件记录号是0x94C6,我C盘的第一个文件记录的位置在:0x8EBD2000如果按照你的上面代码来计算的话,那么文件记录的位置应该在:0x94C6*1024+0x8EBD2000=0x91103800的地方(pIndexEntry->Form.FileReference.SegmentNumberHighPart << 16这个表达是在我调试时都是0),但是WinHex解析的位置却在0x9B008800的地方,我在你程序计算得到的位置只找一乱七八糟的数据(反正不是文件记录,因为没找到FILE的文件记录的标志).好象所有的文件记录在磁盘上并不是连续存储的,如果这样的话,你的程序就不能正确的工作......其实,开始你的程序工作的都很出色,从根目录解析到Windows目录,再解析system32目录都没有错,就是解析到我创建的那个文件时却出错了.在我电脑上,从0x94C6之后的文件记录所代表的文件,你的程序一个也没解析出来. 当然我并没有任何谴责楼主的意思,楼主能拿出来让大家学习说明楼主很有共享精神,象我这样的菜鸟是十分感谢的,我只是希望大家看我的帖子之后能找到一个正确的方法来解析文件记录的位置. 希望大家看到我的帖子之后能讨论一下.......... 2009-12-6 23:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复