[原创]也学NTFS格式磁盘解析及atapi磁盘读写

最新推荐文章于 2024-02-01 16:51:01 发布
最新推荐文章于 2024-02-01 16:51:01 发布
阅读量727 收藏
点赞数
分类专栏: 驱动开发学习 文章标签: 磁盘 windows cache mfc 2010 作业
本文详细介绍了解析NTFS磁盘的方法,包括文件删除过程的步骤,并指出仅执行删除步骤而不真正删除文件,可以让Windows系统无法找到该文件。同时,附带了NTFS磁盘解析及Atapi读写的相关附件和源代码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

[原创]也学NTFS格式磁盘解析及atapi磁盘读写

信息来源:邪恶八进制信息安全团队( www.eviloctal.com
文章作者:Styxal

这个么……其实是某门课的大作业……自选题,于是就选了解析 NTFS格式 磁盘及Atapi读写,主要目的还是……破隐藏、穿还原、 强删文件
因为时间关系,很多地方还有各种Bug,先不调了……反正重点在 解析和Hack NTFS格式磁盘,至于那个Atapi读写……直接挪的 机器狗代码……

NTFS上删除一个文件应该是像下面这样的步骤:
i.   若该文件非驻留,找到该文件的数据占有的簇在$Bitmap位图中相应位置,对应的占有位由1改为0
ii.  将$MFT中该文件记录+0x16位设为0(表示该文件记录已废)
iii. 将$MFT的$BitMap属性(位图)中对应的占有位由1改为0 即:$MFT.$BitMap[FileId / 8] ^= 1 << (FileId % 8);
iv.  读入该文件所在的目录文件,遍历并找到待删文件记录,将待删文件记录后面所有记录覆盖到待删文件记录起始处
v.   重新计算目录文件的校验序列(否则刷新Cache后Windows会禁止打开该目录,Chkdsk也会报错)
vi.  刷新Cache

当然其实这只是Windows删文件的步骤,如果要让Windows找不到一个文件,进行第4、5步即可, 事实上,很多防删即便做到HAL级也是有Bug的,都是对自己防护而没有对自己所在的目录进行防护————这就是说,如果我们执行了以上的4/5步,不进行真正的删除操作,照样会让Windows找不到该文件(只不过是Windows以后不会覆盖而已),这就是说,假若我们要对某杀软下手,他在C:\Program Files\Rav文件夹,那么我们只要改C:\Program Files就OK咯(一般的都是防护文件所在和自己的文件夹比如Rav\*.*和Rav)~刷Cache后无论怎么通过Windows文件系统访问都会找不到Rav和Rav里任何文件~ 因为只要第v步生成的校验正确,Windows从来不看MFT的~等于将该杀软一锅端~(本例本杀软SP3已试通过,就差隐蔽起来进r0了……)

具体见附件

//菜鸟学习之作,大牛飘过即可

[ 本帖最后由 Styxal 于 2010-1-8 16:47 编辑 ]
附件
NTFS.rar (1.28 MB)

2010-1-7 17:14, 下载次数: 1445

文章pdf+有Bug的Source/Bin

BinWithStaticMFC.rar (159.17 KB)

2010-1-8 16:37, 下载次数: 799

带了VS08的MFC库的bin...


11、深入了解Linux硬件管理与磁盘相关知识
tea88的博客
07-18 13
本文深入探讨了Linux系统中的硬件管理和磁盘相关知识。内容涵盖硬件设备信息与电源供应的基础知识,磁盘接口类型(如PATA、SATA、SCSI、SAS和USB),磁盘分区的类型和管理工具(如MBR与GPT分区方案),以及常见的Linux文件系统(如ext2fs、ext3fs、ext4fs、ReiserFS、JFS、XFS和Btrfs)及其适用场景。同时,还介绍了与其他操作系统兼容的文件系统(如FAT、NTFS、HFS等),并给出了在不同场景下如何选择接口、分区方案和文件系统的建议,旨在帮助用户提升Linux
机器狗0625技术剖析(驱动读写磁盘扇区
07-10 1448
作 者: 水中雁时 间: 2008-06-26,19:52链 接: http://bbs.pediy.com/showthread.php?t=67321由于对磁盘结构不是很熟,仅仅从逆向分析的角度,通过对这个驱动的分析过程,习了向SCSI端口向扇区写数据的方法。如有错误或纰漏之处,请大家指出。附件:1、机器狗0625技术剖析.pdf2、obj2(Macdog
NTFS格式磁盘解析atapi磁盘读写
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
11-16 712
链接:http://forum.eviloctal.com/thread-39947-1-1.html [原创]也NTFS格式磁盘解析atapi磁盘读写 信息来源:邪恶八进制信息安全团队(www.eviloctal.com) 文章作者:Styxal 这个么……其实是某门课的大作业……自选题,于是就选了解析NTFS格式磁盘Atapi读写,主要目的还是……破隐藏、穿还原、
ATAPI磁盘端口驱动)级文件保护简单实现
04-14 859
ATAPI磁盘端口驱动)级文件保护简单实现
通过$Bitmap元文件计算NTFS分区的使用空间大小
热门推荐
飞空静渡
05-10 1万+
       原创文章,转载请注明出处,谢谢!               作者:清林,博客名:飞空静渡 在我之前的一篇文章《如何获取NTFS卷的使用空间大小》里说明了两张方式来获取NTFS文件系统下的分区的使用空间的大小的原理,这里,我将通过第一种方法即通过NTFS中的Bitmap元文件来计算整个分区使用空间的大小。 在《如何获取NTFS卷的使用空间大小》里说,在
SATA信息传输FIS结构总结通过实例代码(快速)掌握(二)
Luckiers的博客
11-26 2460
FIS是一种用于Host和device之间信息传输的机制,每个FIS的格式都是固定的,并且对应唯一的ID。当双方都空闲时,都在持续发送 SYNC 原语,这种状态称为空闲状态(IDLE)。发送方想要发起 FIS 发送,它开始持续发送 X_RDY 原语。经过一段延迟后,接收方收到了 X_RDY (该延迟来自链路层、物理层的信号处理延迟),此时如果接收方准备好接收 FIS 了,就持续发送 R_RDY 原语。
对ATA设备的读写操作
博采众长
12-13 619
在Linux下对ATA设备的读写操作,经常会用到系统read函数和write函数,虽然这样用可以使得函数的复用性增强了,但是read函数和write函数在对ATA设备操作时经常出现异常现象,可能做近百次的write或者read之后,ATA设备就会丢失,从而出现错误。 建议:使用scsi_read和scsi_write...
【硬盘读写优化秘籍】:ATAPI COMMAND SET实战技巧大揭秘
本文深入探讨了ATAPI协议及其在硬盘读写中的应用,通过分析ATAPI命令集的核心架构、关键命令的工作原理及性能调优策略,为硬盘读写性能优化提供了理论与实践依据。文章进一步研究了硬盘硬件加速技巧、文件系统配置及...
Linux可移动介质使用与磁盘管理全攻略
在 Linux 里,硬盘和可移动磁盘的访问方式有很多相似之处,都使用相同的挂载和卸载命令,也能在 `/etc/fstab` 中创建类似的条目。不过,可移动介质有一些特殊的注意事项和功能。 ##### 访问软盘 - **设备文件**:...
单片机控制硬盘原理图及源代码解析
- 硬盘(Hard Disk Drive, HDD)是利用磁性存储信息的设备,其工作原理包括磁头移动、读写头定位、磁盘旋转和数据的写入与读出。 - IDE与SATA是两种常见的硬盘接口技术,其中IDE接口的数据传输速率较慢,已被SATA...
NTFS文件格式--4
zhangmiaoping23的专栏
11-27 4234
(2) 当数据运行中的簇号的首字节为“1”时,表明应用前次的簇数减去该簇号数,得到结果(此点在运行的例子中有详尽的说明)。(3) NTFS使用逻辑簇号(LCN,Logical Cluster Number)和虚拟簇号(VCN,Virtual Cluster Number)来对簇进行定位。LCN是对整个卷中的所有的簇从头到尾进行简单编号。VCN是对属于特定文件的簇从头到尾进行编号,是逻辑编号。(4)
NTFS文件格式--2
zhangmiaoping23的专栏
11-27 2670
1.2.2 NTFS中MFT的备份在NTFS中,因其前16个文件的重要性,对它们的MFT记录在文件区有一个备份。如图:                                                              图1  MFT的备份 1.2.3 NTFS中的$BITMAP(位图)文件在元文件中,除了$MFT文件还有一个位图文件十分重要。文件$Bitmap标识的是该
NTFS:让你的硬盘更安全、更高效!」NTFS文件系统详解,
weixin_74021557的博客
06-14 4650
本文详细介绍了NTFS文件系统的结构、$Boot文件、$MFT元文件、文件记录、属性的属性头和属性体分析。
解读NTFS(二)
09-16 3053
NTFS文件系统结构分析在NTFS文件系统中,文件存取是按簇进行分配,一个簇必需是物理扇区的整数倍,而且总是2的整数次方。NTFS文件系统并不去关心什么是扇区,也不会去关心扇区到底有多大(如是不是512字节),而簇大小在使用格式化程序时则会由格式化程序根据卷大小自动的进行分配。文件通过主文件表(MFT)来确定其在磁盘上的存储位置。主文件表是一个对应的数据库,由一系列的文件记录组成--卷中每一个文件
NTFS文件系统解析
最新发布
飞鹤的程序员人生
02-01 4260
MFT表项记录着文件的相关属性,有常驻属性(比较小),有非常驻属性(数据较大,此属性只记录真实数据的索引)。Bitmap和LogFile一般都超过1K,都是记录在MFT的非常驻DATA属性中。MFT表项由MFT_HEADER+多个属性项构成。NTFS文件写操作过程中,最常修改的文件系统内容分别为:MFT、Bitmap、LogFile,其次是DBR区的一些其他元文件如MFTMirror和MFTMirror和MFTMirror和AttrDef等。
NTFS底层结构
wswzjdez的专栏
06-25 2100
一、NTFS系统结构NTFSWindows NT引入的新型文件系统,如果您是一位熟悉FAT磁盘格式的专业人士,您可能会觉得NTFS系统的思想蹩脚而晦涩,如果您对FAT格式一无所知,那么恭喜您,您会更快的了解这种更有效率的磁盘格式NTFS的结构复杂,内容繁多,笔者仅对NTFS卷上的底层结构做分析,并提供卷上数据删除的特征状态供大家参考。    现在,我们首先来建立了解NTFS需要的基本概念。1.0基本结构及基本概念在NTFS中,文件以簇的形式分配。最小的单位为扇区,N个扇区为一簇。其中,N的值可以通过BP
探索NTFS
峥嵘岁月
02-04 2607
    NTFSWindows NT引入的新型文件系统,它具有许多新特性。本文旨在探索NTFS的底层结构,所叙述的也仅是文件在NTFS卷上的分布。NTFS中,卷中所有存放的数据均在一个叫$MFT的文件中,叫主文件表(Master File Table)。而$MFT则由文件记录(File Record)数组构成。File Record的大小一般是固定的,通常情况下均为1KB,这个概念相当于Linu
硬盘文件系统系列专题之二 NTFS
存储随笔
09-10 9605
一、NTFS概述NTFS (New Technology File System),是 WindowsNT 环境的文件系统。新技术文件系统是Windows NT家族(如常见的Windows XP、Win7 、Win8、Win10)等的限制级专用的文件系统(操作系统所在的盘符的文件系统必须格式化为NTFS的文件系统,4096簇环境下)。NTFS取代了老式的FAT文件系统。NTFS可以支持的分区(如果采用动态磁盘则称为卷)大小可以达到2TB。
构建可恢复磁盘卷过滤驱动:原理与代码解析
磁盘设备和磁盘卷设备过滤驱动的实现中,如SCSIport.sys和Atapi.sys,这两个驱动程序扮演了关键角色。它们不仅负责磁盘调度算法,还通过卷参数块(VPB)建立起卷设备对象与实际磁盘之间的连接,确保数据传输的顺畅...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值