WIN7 SHD文件格式

最新推荐文章于 2024-07-30 16:15:02 发布
最新推荐文章于 2024-07-30 16:15:02 发布
阅读量4.3k 收藏 3
点赞数 1
分类专栏: IT 文章标签: win7 SHD File Format
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/binzhongbi757/article/details/38399073
版权

SHD - 即Windows Shadow FIle ,WIN98/NT/2000/XP/2003的SHD文件格式在 http://www.undocprint.org/formats/winspool/shd 已有描述。WIN7下SHD文件格式略有差异,如下图:

00002.SHD为WIN7的SHD文件,00003.SHD为WIN2003的SHD文件。观察结果:第一行是一致的,第4~7字节记录头长度,WIN7下是0XD0,即208,WIN2003是0X78,即120,相差88字节。WIN2003的SHD文件格式从第17字节开始有22个DWORD型数据(4字节),由此推测WIN7下这些数据为8字节。实际测试与推测相符,WIN7的SHD文件头文件格式可如此表示:

//SHD文件结构体 WIN7
typedef struct _SHADOW_FILE_HEADER_WIN7 {
	DWORD dwSignature;        //SHD_SIGNATURE_WIN7
	DWORD dwHeaderSize;
	WORD wStatus;
	WORD wUnknown1;
	DWORD dwJobID;
	UINT64 dwPriority;
	UINT64 offUserName;        //Offset of WideChar+0
	UINT64 offNotifyName;      //Offset of WideChar+0
	UINT64 offDocumentName;    //Offset of WideChar+0
	UINT64 offPort;            //Offset of WideChar+0
	UINT64 offPrinterName;     //Offset of WideChar+0
	UINT64 offDriverName;      //Offset of WideChar+0
	UINT64 offDevMode;         //Offset of DEVMODE
	//Note that the dmCopies in this structure will hold
	//the wrong value when the Microsoft Word multiple 
	//copies bug occurs.
	//In this case use the dmCopies from the SPL file
	UINT64 offPrintProcessor;  //Offset of WideChar+0
	UINT64 offDataFormat;      //Offset of WideChar+0
	UINT64 dwUnknown2;
	SYSTEMTIME stSubmitTime;
	UINT64 dwStartTime;
	UINT64 dwUntilTime;
	UINT64 dwUnknown6;          
	UINT64 dwPageCount;
	UINT64 dwSizeSecurityInfo; //Size of SecurityInfo
	UINT64 offSecurityInfo;    //Offset of SECURITY_DESCRIPTOR
	UINT64 dwUnknown3;
	UINT64 dwUnknown4;
	UINT64 dwUnknown5;
	UINT64 offComputername;    //Offset of WideChar+0
	UINT64 dwSPLSize;          //Size of SPL File
} SHADOW_FILE_HEADER_WIN7, *PSHADOW_FILE_HEADER_WIN7;


----------------------------------

2015.11.10更新,上面的结构体后半部分存在问题,更新一下。WIN7 SHD头部长度为0XD0,而旧的系统(如WIN2000/2003)的头部长度为0X78。

//SHD文件结构体 WIN7
typedef struct _SHADOW_FILE_HEADER_WIN7 {
	DWORD dwSignature;        //SHD_SIGNATURE_WIN7
	DWORD dwHeaderSize;
	WORD wStatus;
	WORD wUnknown1;
	DWORD dwJobID;
	UINT64 dwPriority;
	UINT64 offUserName;        //Offset of WideChar+0
	UINT64 offNotifyName;      //Offset of WideChar+0
	UINT64 offDocumentName;    //Offset of WideChar+0
	UINT64 offPort;            //Offset of WideChar+0
	UINT64 offPrinterName;     //Offset of WideChar+0
	UINT64 offDriverName;      //Offset of WideChar+0
	UINT64 offDevMode;         //Offset of DEVMODE
	//Note that the dmCopies in this structure will hold
	//the wrong value when the Microsoft Word multiple 
	//copies bug occurs.
	//In this case use the dmCopies from the SPL file
	UINT64 offPrintProcessor;  //Offset of WideChar+0
	UINT64 offDataFormat;      //Offset of WideChar+0
	UINT64 dwUnknown2;
	SYSTEMTIME stSubmitTime;
	UINT32 dwStartTime; 
	UINT32 dwUntilTime;
	UINT32 dwUnknown6;          
	UINT32 dwPageCount;
	UINT64 dwSizeSecurityInfo; //Size of SecurityInfo
	UINT64 offSecurityInfo;    //Offset of SECURITY_DESCRIPTOR
	UINT32 dwUnknown3;
	UINT32 dwUnknown4;
	UINT64 dwUnknown5;
	UINT64 offComputername;    //Offset of WideChar+0
	UINT64 dwSPLSize;          //Size of SPL File
	UINT64 offUserID;
	UINT64 dwUnknown7;
	UINT64 dwUnknown8;
} SHADOW_FILE_HEADER_WIN7, *PSHADOW_FILE_HEADER_WIN7;



binzhongbi757
关注
专栏目录
python实战项目37:js逆向--cai招网
lyccomcn的博客
09-06 1701
keywords=%E5%85%AC%E5%85%B1%E4%BD%8F%E5%AE%85,打开开发者工具进行抓包。将data作为参数传入AESDecrypt函数,打印。发现报错,变量variate未定义。回到开发者工具控制台,执行variate,将结果复制到js文件中,再执行发现得到正确结果。新建caizhao.js文件,将解密函数复制到js文件中,首先将函数稍作修改,函数名为AESDecrypt。在控制台打印JSON.parse,发现是解密后的数据,加密入口找到。分别下断点,刷新网页,发现断住了。
SHD文件结构(print spooler)
weixin_33978044的博客
02-24 618
#define SHD_SIGNATURE_WIN98    $0000494B //Windows 98 #define SHD_SIGNATURE_WINNT    $00004966 //Windows NT #define SHD_SIGNATURE_WIN2000  $00004967 //Win2000/XP #define SHD_SIGNATURE_WIN2003  $...
C++读取shd二进制文件
weixin_42694505的博客
08-05 243
【代码】C++读取shd二进制文件
打印机
u012709815的专栏
09-26 1514
打印信息监控——打印池文件spl分析 在windows的打印过程中,会生成中间的打印池文件,在该文件中存储着打印页面的emf图源文件,通过该文件即可知道即将打印的内容。   Windows的假脱机打印会在Windows\System32\spool\PRINERS目录下生成.spl和.shd文件,其中的打印内容存贮在.spl文件中,但是.spl文件格式似乎未公开,那么如何才能将未知的.spl
Windows传统取证的一些笔记
wha1e的博客
06-13 3404
前置技能基本大同小异,互联网上资源很多。甚至说不明白这些知识随便翻,一直翻下去也可能找到答案,但是了解这些基本知识可以节省很多时间,提高命中率。
打印信息获取(分析SPOOL文件
11-10
每一个打印任务在发送给打印机前都会将任务压缩成制定文件SHD, SPL)一个为打印任务信息,另外一个为任务压缩文档(类似压缩bitmap)。这就为我们除了HOOK打印函数、注册打印消息、生成虚拟打印机接替系统打印任务托管外又提供了一个获取打印任务相关信息的方法,并且其获取的信息更加全面.这里提供了可以解析spool的工具以及根据其方法自己编写的解析spool文件的示例代码,虽然不是很全面,但是只要看明白,剩下的均可自己实现。
Bellhop中的env文件配置
章子雎的博客
02-04 8280
Bellhop Bellhop,是一种水声工具箱,可以进行水下声学仿真,通过env文件设置环境参数,可得到与之对应的声线信息、多途等仿真,本博文并不着重介绍Bellhop的使用经验,主要介绍env文件的设置。使用东泰山版本即可,他的介绍已经很详细了,同时还有Acoustics Toolbox官方及时更新的版本。 env文件 env文件是Bellhop仿真中最先要解决的文件编辑,包含了对声场中基础参数的设计。env文件通过Bellhop工具仿真后会输出多个文件,我个人主要应用 .arr文件 和 .shd文件
学习笔记---Windows系统DLL文件修改
dozelive技术分享
09-13 523
本文网上搜集加了些自己的东西      1. 禁止下载  Shdoclc.dll文件   /win7  资源--对话框---4416  2. 禁止网页添加到收藏夹  Shdoclc.dll文件    /win7  资源--对话框---21400  注:eXeScope工具右边有个 “禁用”的选项,用这个功能把要点确定的地方禁止掉就可以,不用把确定键给删除,如果以后要恢复也方便。(以下同)  3.
pandas尾部添加一条_使用pandas或一般python在csv末尾添加一列
weixin_35041325的博客
01-14 3013
我写了一段代码,从不同的csv文件读取列并写入另一个csv文件。我希望将新列添加到末尾,即最后一列,但我的实现使该列添加到底部。假设a已经是现有的列,b是添加的新列,下面是我得到的结果a,1,2,3,b,1,2,3,但我需要的是这样的东西^{pr2}$这是我正在处理的代码。在wwr=["wwr15","wwr30","wwr45","wwr60"]shade=["E1-geo1"]climate=...
exynos 4412 Framebuffer驱动详解
WAN8180192的博客
04-19 4720
本文参考了http://blog.chinaunix.net/uid-28328633-id-3565345.html  文中牵扯到一些android fence的知识。这里不做赘述。 请参考相关文章:  http://blog.csdn.net/ear5cm/article/details/45093807  http://blog.csdn.net/fuyajun01/article/d
打印机的脱机文件.SPL转为可供查看的.EMF格式文件工具
11-19
打印机的脱机文件.spl 格式,可通过转换生成 .emf格式供查看打印内容,此SPL转EMF工具可以方便的转换,适用于网络监控,信息安全方面的需求
打印缓存SPL文件查看转换工具
05-26
预览,打印和保存Windows假脱机文件(SPL文件扩展名) 会帮助您: 您打印许多页面的文档,并希望重新打印由卡纸引起的丢失页面 您打算将应用程序的打印内容,输出并保存成可用的文件。 您想要使用打印的输出作为Word,Powerpoint,PDF中的文档的一部分. (只需将实际页面复制到剪贴板,并以EMF格式将其插入目标程序,或者本地打印成PDF文件,进行转换)。EMF文件只能保存当前看的页,如果想都保存,那么打印到PDF文件,非常好用。 您想要一个简单的包括过滤器的打印作业管理。
打印监控 spl文件解析成emf文件
02-14
打印文件中的spl文件,解析成可用的emf文件源码,用于打印监控相关。
ArcGIS--ArcGIS三大文件格式解析【转载】
Jensen Lee的博客
04-17 1162
Shapefile是ArcView GIS 3.x的原生数据格式,属于简单要素类,用点、线、多边形存储要素的形状,却不能存储拓扑关系,具有简单、快速显示的优点。一个shapefile是由若干个文件组成的,空间信息和属性信息分离存储,所以称之为“基于文件”。.shx 存储的是有关这三个文件是一个shapefile的基本文件,shapefile还可以有其他一些文件,但所有这些文件都与该shapefile同名,并且存储在同一路径下。.prj 如果shapefile定义了坐标系统,那么它的空间参考信息将会存储在。
windows c++ 解析 SHD 文件
最新发布
qq_26200299的博客
07-30 439
【代码】windows c++ 解析 SHD 文件
bellhop 文件shd如何解析
11-06
shd文件是一种由苹果公司开发的文件格式,用于保存系统和应用程序的调试和性能信息。它通常用于调试崩溃问题和性能瓶颈,并对软件进行优化。 要解析shd文件,我们需要使用适当的工具和方法。以下是一般的解析过程:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值