如何获得pagefile.sys的bitmap（在分区中占用的簇）？

楼主^#

更多发布于：2005-06-16 16:16

在DEFRAG示例中可以用FSCTL_GET_RETRIEVAL_POINTERS获得文件的bitmap
但必须用CreateFile函数打开，Pagefile.sys不能被打开。
在碎片整理程序中Pagefile.sys可以被当作“无法移动的文件”被标示出来，有谁知道它是如何做的？

jackxin 驱动牛犊注册日期2002-07-29 最后登录2009-06-16 粉丝0 关注0 积分40分威望5点贡献值0点好评度3点原创分1分专家分0分加关注写私信	沙发^# 发布于：2005-06-25 03:21 发送IOCTL CODE去Device上查询,在驱动与应用程序里面都可以做,I/O control code是FSCTL_GET_VOLUME_BITMAP,再根据文件系统类型去QUERY Cluster size进行画图操作就OK了;
	回复(0) 喜欢(0)

relax 驱动牛犊注册日期2001-06-19 最后登录2012-09-06 粉丝0 关注0 积分88分威望69点贡献值0点好评度8点原创分0分专家分0分加关注写私信	板凳^# 发布于：2005-06-28 16:28 这样还是没法知道pagefile.sys占用了哪些簇.
	回复(0) 喜欢(0)

yuanyuan 驱动大牛注册日期2003-01-15 最后登录2010-08-04 粉丝0 关注0 积分1025分威望300点贡献值0点好评度232点原创分0分专家分0分加关注写私信	地板^# 发布于：2005-08-03 18:53 用FSCTL_GET_VOLUME_BITMAP是不可能的吧，文件句柄都无法打开哦
	回复(0) 喜欢(0)

liyunch 驱动小牛注册日期2001-06-28 最后登录2014-09-05 粉丝0 关注0 积分13分威望134点贡献值0点好评度94点原创分0分专家分0分加关注写私信	地下室^# 发布于：2007-01-08 13:05 分析文件系统.
	回复(0) 喜欢(0)

wowocock

VIP专家组

加关注写私信

5楼^#

发布于：2007-01-08 21:02

自己打开物理磁盘,然后自己分析格式,找到文件,不过在VISTA下64可能不行,因为MS在RING3禁止打开物理磁盘.的确,安全高于一切......

花开了，然后又会凋零，星星是璀璨的，可那光芒也会消失。在这样一瞬间，人降生了，笑者，哭着，战斗，伤害，喜悦，悲伤憎恶，爱。一切都只是刹那间的邂逅，而最后都要归入死亡的永眠

回复喜欢

XiangXiangRen 总版主注册日期2003-02-22 最后登录2015-09-01 粉丝13 关注0 积分1042分威望472点贡献值1点好评度145点原创分13分专家分1分加关注写私信	6楼^# 发布于：2007-01-08 21:17 pagefile.sys虽然不能CreateFile,但是FileObject还是容易得到的，在过滤驱动中很容易得到.得到后就等于CreateFile了(虽然不是自己调的CreateFile),然后再发IRP试一下。
	回复(0) 喜欢(0)

newkey

驱动小牛

加关注写私信

7楼^#

发布于：2007-01-09 13:06

从 ntfs 格式入手，没问题，
很久前做过，直接可以读出里面的数据

www.xDrv.com

回复喜欢

您需要登录后才可以回帖，登录或者注册