diskperf实现穿透还原。。。。。

最近想用diskperf写个单盘穿透还原，看了看大侠们的帖子，发现几个大侠应该实现了，比如yuanyuan,赫赫。现在我有了点想法，在程序方面只实现了还原，穿透还在思索中。。。。。
1。还原就根据分区在磁盘内的偏移和extentlength来判断是不是对一个分区的读写操作来判断，然后将操作写在一个临时文件中，这样做的坏处是显而易见的。好处就是简单，算法的处理上也容易。
2。对于穿透，我现在只有一些简单的想法，至于行不行的通，正在验证中，现在说出来，就是想让大虾们看看有没有致命的漏洞没有。。。。
首先，我针对的是ntfs的磁盘，其他的不再考虑当中。找到$MFT的文件范围，对落在这个区间的操作特殊处理。当还原的时候，我只能恢复操作过的$MFT的表项，因为我认为除了卸载这个分区，其他的操作不可能恢复$MFT的内容，或刷新他的内容。只有操作这些表项的时候，才有可能刷新内存中的内容（想当然的认为。。）恢复了这些，然后进行写数据的操作，要考虑得就比较多了，需要判断当前分配的内存是不是已经被占用的了。这样想起来，还原的时候用所谓的占坑式还原在这里处理就容易很多了。当然，这样的穿透肯定需要一个attach到该分区的fsd来配合了。
现在想到的就这么多，还请大家不吝指教

我现在发觉。。。大家很喜欢研究穿透啊。。。哈，是你们的XX，装进去，被还原软件还原了吧。。

这倒是没有，呵呵。只不过我看了些虚拟还原，自己想做个罢了

对于这个$MFT文件的处理，还有很多微软未公开的未知的秘密，你的方法的普遍兼容性，包括对Vista，呵呵，不知道能不能市场化。

其实有更多的办法啊

唉，只是想当然的想法，许多细节都没有经过测试。今天下午试了一下，尝试对$MFT的刷新,赫赫,几种方法都无效.不过发现一个以前不知道的事情,对$MFT文件,系统貌似创建了2个fileobject,偏移0一个，其他的一个，而且似乎不变，我尝试创建一个irp，把irpsp->Fileobject指向了其中一个，结果在ntfs.sys中test al,al的时候挂了。。。。。

diskperf并不是很好的一个模型，呵呵，革命尚未成功，同志仍需努力啊，想和我们的产品竞争，还需要点耐力的。

引用第5楼yuanyuan于2007-09-10 22:04发表的  :
diskperf并不是很好的一个模型，呵呵，革命尚未成功，同志仍需努力啊，想和我们的产品竞争，还需要点耐力的。

明显挑衅啊 ........

引用第6楼wowocock于2007-09-10 22:20发表的  :

明显挑衅啊 ........

我自己也花了2天时间研究出来的啊，呵呵，没有挑衅的意思，一层窗户纸而已

引用第5楼yuanyuan于2007-09-10 22:04发表的  :
diskperf并不是很好的一个模型，呵呵，革命尚未成功，同志仍需努力啊，想和我们的产品竞争，还需要点耐力的。

yuanyuan兄能不能告诉一下你用的是哪一个层次的驱动呢？
如果可以的话能给个qq或msn让我能私下请教一下么？

引用第6楼wowocock于2007-09-10 22:20发表的  :

明显挑衅啊 ........

,好玩啊。。

引用第5楼yuanyuan于2007-09-10 22:04发表的  :
diskperf并不是很好的一个模型，呵呵，革命尚未成功，同志仍需努力啊，想和我们的产品竞争，还需要点耐力的。

呵呵，Diskperf不一定不好啊，看你怎么写而已了。

不如由yuanyuan说出Diskperf的缺点，而我提出解决的办法，如何？

Diskperf是ddk里边的一个例子。
唉，研究了几天没什么好的想法，真是郁闷。。。。

xx_qiang,能连系我吗？

呵呵，最近出了一个机器狗，把网吧横扫一遍啊

其实有很简单的办法，但是霍霍研究这方面的人在这个论坛里边太少了。

把一个实际并无技术含量的问题，搞成一个高深问题了。

研究了半天，，，原来就是一层穿户纸，捅破了就好了，，，我研究研究嘿嘿嘿

正所谓，难者不会，会者不难！世间事皆如此。。。

很深奥哦，呵呵，顶起来。