diskperf实现穿透还原。。。。。

最近想用diskperf写个单盘穿透还原，看了看大侠们的帖子，发现几个大侠应该实现了，比如yuanyuan,赫赫。现在我有了点想法，在程序方面只实现了还原，穿透还在思索中。。。。。
1。还原就根据分区在磁盘内的偏移和extentlength来判断是不是对一个分区的读写操作来判断，然后将操作写在一个临时文件中，这样做的坏处是显而易见的。好处就是简单，算法的处理上也容易。
2。对于穿透，我现在只有一些简单的想法，至于行不行的通，正在验证中，现在说出来，就是想让大虾们看看有没有致命的漏洞没有。。。。
首先，我针对的是ntfs的磁盘，其他的不再考虑当中。找到$MFT的文件范围，对落在这个区间的操作特殊处理。当还原的时候，我只能恢复操作过的$MFT的表项，因为我认为除了卸载这个分区，其他的操作不可能恢复$MFT的内容，或刷新他的内容。只有操作这些表项的时候，才有可能刷新内存中的内容（想当然的认为。。）恢复了这些，然后进行写数据的操作，要考虑得就比较多了，需要判断当前分配的内存是不是已经被占用的了。这样想起来，还原的时候用所谓的占坑式还原在这里处理就容易很多了。当然，这样的穿透肯定需要一个attach到该分区的fsd来配合了。
现在想到的就这么多，还请大家不吝指教

还有个问题，还原卡的驱动，在哪一层上呀？

我看了有一些还原的软件或者是还原卡，他们的驱动程序，在

卷上点右键->属性->硬件->属性->驱动程序->驱动程序详细信息->驱动程序文件

这里有挂载，

有的这个地方没有挂载，是不是有挂载的是磁盘过滤驱动，没挂载的是文件过滤驱动或者其它什么地方的过滤驱动呀？

达人给解释一下

昨天发了一个软件叫pubgenius，就是网吧用的内种，安装后发现他有两个sys,一个叫FoFilter的，另一个叫passflt.sys，但是我安装上了不太会用，用divecetree,那两个驱动没挂上，不知道它怎么还原的，不过我看了一下fofilter.sys的信息，确实是基于diskperf的，应该是diskperf可以实现穿透，另外，有人说迅闪VD是基于虚拟磁盘的，，我还没太研究内个东西，不知道是不是真的！

另外有两个问题，还有哪些软件是穿透还原的？，楼主知道的话，交流交流

今天接着IDA反还原精灵，我看它的import的函数好象也没几，呵呵，原理不是很难，，

楼主可不可以说一下，还原的原理？

引用第17楼fooegg于2007-09-19 08:54发表的  :
研究了半天，，，原来就是一层穿户纸，捅破了就好了，，，我研究研究嘿嘿嘿

男人女人之间的关系，也像一层纸呢。。嘿嘿，也未必见得每个女人都让你XX，嘿嘿。。
。。。说好不灌水了的。。。唉，做事去！加油，慢慢捅！ 。。。越说越色了。

很深奥哦，呵呵，顶起来。

正所谓，难者不会，会者不难！世间事皆如此。。。

研究了半天，，，原来就是一层穿户纸，捅破了就好了，，，我研究研究嘿嘿嘿

其实有很简单的办法，但是霍霍研究这方面的人在这个论坛里边太少了。

把一个实际并无技术含量的问题，搞成一个高深问题了。

呵呵，最近出了一个机器狗，把网吧横扫一遍啊

xx_qiang,能连系我吗？

Diskperf是ddk里边的一个例子。
唉，研究了几天没什么好的想法，真是郁闷。。。。

不如由yuanyuan说出Diskperf的缺点，而我提出解决的办法，如何？

引用第5楼yuanyuan于2007-09-10 22:04发表的  :
diskperf并不是很好的一个模型，呵呵，革命尚未成功，同志仍需努力啊，想和我们的产品竞争，还需要点耐力的。

呵呵，Diskperf不一定不好啊，看你怎么写而已了。

引用第6楼wowocock于2007-09-10 22:20发表的  :

明显挑衅啊 ........

,好玩啊。。

引用第5楼yuanyuan于2007-09-10 22:04发表的  :
diskperf并不是很好的一个模型，呵呵，革命尚未成功，同志仍需努力啊，想和我们的产品竞争，还需要点耐力的。

yuanyuan兄能不能告诉一下你用的是哪一个层次的驱动呢？
如果可以的话能给个qq或msn让我能私下请教一下么？

引用第6楼wowocock于2007-09-10 22:20发表的  :

明显挑衅啊 ........

我自己也花了2天时间研究出来的啊，呵呵，没有挑衅的意思，一层窗户纸而已

引用第5楼yuanyuan于2007-09-10 22:04发表的  :
diskperf并不是很好的一个模型，呵呵，革命尚未成功，同志仍需努力啊，想和我们的产品竞争，还需要点耐力的。

明显挑衅啊 ........

diskperf并不是很好的一个模型，呵呵，革命尚未成功，同志仍需努力啊，想和我们的产品竞争，还需要点耐力的。