NTFS文件系统底层挖掘

最新推荐文章于 2024-05-28 10:30:00 发布
最新推荐文章于 2024-05-28 10:30:00 发布
阅读量1k 收藏
点赞数
分类专栏: 驱动开发学习 文章标签: system xp cache manager file windows
好文转载之

貌似关于 NTFS文件系统的底层实现细节,网上资料很少. 这几天突然来了兴趣,于是挖掘了一下.
结合nt4src,IDA+ntfs.sys,windbg+VMWare,在XP SP2下,深入理解了一些NTFS文件系统相关知识.比如逆向搞到了 VCB/FCB/LCB/SCB/BCB等结构体,文件打开/枚举/删除操作的流程, 缓存管理器/虚拟内存/IO管理器之间的交互.

KeyWord: VACB, XCB, NTFS, Cache

1.下面是我调试过程中总结的一张XCB之间的关系图 :

NTFS.sys在初始化时,填充分发例程:
DriverObject->MajorFunction[IRP_MJ_FILE_SYSTEM_CONTROL] = (PDRIVER_DISPATCH)NtfsFsdFileSystemControl;
IoCreateDevice将创建的设备对象和全局变量NtfsData关联起来,在设备扩展中包含卷控制块(VCB).

(1) IopMountVolume中会挂接相应的卷,填充IRP,发给NTFS.sys:
irpSp->MajorFunction = IRP_MJ_FILE_SYSTEM_CONTROL;
irpSp->MinorFunction = IRP_MN_MOUNT_VOLUME;

(2) NtfsFsdFileSystemControl --> NtfsCommonFileSystemControl --> NtfsMountVolume
主要在初始化该卷的VCB结构,通过NtfsOpenRootDirectory,创建了根目录的FCB,LCB,SCB.

2.[XP SP2] 在windbg中调试逆向得到XCB结构


4. 跟踪系统打开文件的流程(仅仅跟踪到文件系统层面,下方的卷设备/disk/atapi/PCHIINDEX 暂不讨论)

NtfsCommonCreate在经过复杂的操作到达NtfsOpenFile后,必定是要打开已经存在的文件.否则会调用 NtfsCreateNewFile创建新文件.可能没人引用过C:\WINDOWS\system32\mycomput.dll,那么系统的 FcbTable就没有该文件对应的FCB,这时就需要NtfsOpenFile函数去创建该文件对应的Fcb,建立LCB和父目录的SCB的联系,然后 加入到表中去:


5.嗯,原理了解了,来实践一下简单的NTFS文件系统底层文件劫持吧.
[xp sp2 下函数的执行流程如下]
NtfsCommonCreate-->NtfsCreateNewFile-->NtfsCreateFcb-->ExAllocatePoolWithTag  
NtfsCommonCreate-->NtfsOpenFile-->NtfsCreateFcb-->ExAllocatePoolWithTag  
[ 未导出]          [未导出]        [未导出]            [已导出]
系统会频繁查表,添加移除FCB.可瞬间挂勾此函数,栈回溯得到NtfsCreateFcb/ NtfsOpenFile /
NtfsCheckValidAttributeAccess 等函数的地址.卸掉钩子
Ntfs!NtfsCreateFcb:
f974da0f e87eb5fdff       call     Ntfs!NtfsAllocateEresource (f9728f92)
f974da14 894648           mov      dword ptr [ esi+48h], eax
f974da17 8945d8           mov      dword ptr [ ebp-28h], eax
f974da1a 684e744673       push     7346744Eh             // 重要标记"ntfs"
f974da1f 6a20             push     20h                   // 进行特征匹配
f974da21 6a10             push     10h
f974da23 ff1514ae73f9     call     dword ptr [Ntfs!_imp__ExAllocatePoolWithTag (f973ae14)]
// ExAllocatePoolWithTag((POOL_TYPE)16, 0x20u, 'sFtN');

我挂钩下面这个函数,保护c:\sudami.txt不被打开/写入/删除. 金山&360文件粉碎机/XueTr/IceSword均无法删除.

VOID fake_NtfsCheckValidAttributeAccess()
/*++
Author: sudami [sudami@163.com]
Time   : 2009/04/30 [30:4:2009 - 12:45]
Routine Description:
   [xp sp2]
   有种情况会调用NtfsCheckValidAttributeAccess 函数
     NtfsOpenFcbById    // 这种情况太少了...
     NtfsCommonCreate --> NtfsOpenExistingPrefixFcb // 若文件被打开过一次,就不走下面的函数,经过这里
     NtfsCommonCreate --> NtfsOpenFile       // 第一次打开这个文件
     NtfsCommonCreate --> NtfsCreateNewFile      // 创建新文件
--*/

仅一点儿调试心得,不对的地方敬请指正.
-----------------------------------------------------------------------
参考资料:
(1) 挂接缓存管理器CcMapData()实现文件XX
(2) NTFSI--the NT Cache Manager
(3) 基于IopXX的重定向文件 )
   (4)windbg, nt4src
HijackFile.rar (8.51 KB) 保护文件的驱动

cosmoslife
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
NTFS底层结构
wswzjdez的专栏
06-25 1842
一、NTFS系统结构NTFSWindows NT引入的新型文件系统,如果您是一位熟悉FAT磁盘格式的专业人士,您可能会觉得NTFS系统的思想蹩脚而晦涩,如果您对FAT格式一无所知,那么恭喜您,您会更快的了解这种更有效率的磁盘格式。NTFS的结构复杂,内容繁多,笔者仅对NTFS卷上的底层结构做分析,并提供卷上数据删除的特征状态供大家参考。    现在,我们首先来建立了解NTFS需要的基本概念。1.0基本结构及基本概念在NTFS中,文件以簇的形式分配。最小的单位为扇区,N个扇区为一簇。其中,N的值可以通过BP
解析NTFS底层结构
07-15
解析NTFS底层结构 一、NTFS系统结构 NTFSWindows NT引入的新型文件系统,如果您是一位熟悉FAT磁盘格式的专业人士,您可能会觉得NTFS系统的思想蹩脚而晦涩,如果您对FAT格式一无所知,那么恭喜您,您会更快的了解这种更有效率的磁盘格式。 NTFS的结构复杂,内容繁多,笔者仅对NTFS卷上的底层结构做分析,并提供卷上数据删除的特征状态供大家参考。 现在,我们首先来建立了解NTFS需要的基本概念。 1.0基本结构及基本概念 在NTFS中,文件以簇的形式分配。最小的单位为扇区,N个扇区为一簇。其中,N的值可以通过BPB(引导扇区)读出(以下会详细介绍)。 1.0.1卷与簇 卷大小(分区大小) 每簇的扇区 缺省的簇大小 小于等于512MB 1 512字节 513MB~1024MB(1GB) 2 1024字节(1KB) 1025MB~2048MB(2GB) 4 2048字节(2KB) 大于等于2049MB 8 4KB 表1 卷与簇的关系 从上面可以看出,也就是说不管驱动器多大NTFS簇的大小不会超过4KB。 1.0.2 NTFS的基本数据结构 NTFS的数据大体上可分为4个部分 (1) Partition boot sector(引导扇区,又称BPB),此部分为所有磁盘格式都共有,占用一个扇区,但是具体的内容当然各不相同(见表3)。 (2) Master File Table(主文件列表,MFT),它是对卷上所有文件的记录,每一个文件对应一个记录项,理论上占用该卷12%的空间。 (3) System files(系统文件),NTFS系统一共有16个系统文件,和8个保留文件。 (4) File area(数据区),留给用户的空间。 Partition boot sector 引导扇区 Master File Table 主文件列表 System files 系统文件 File area 用户文件区(数据区) 表2 NTFS的磁盘分配情况
【原创】NTFS文件系统底层挖掘
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-27 1574
标 题: 【原创】NTFS文件系统底层挖掘 作 者: sudami 时 间: 2009-05-02,23:37:18 链 接: http://bbs.pediy.com/showthread.php?t=87741 貌似关于NTFS文件系统底层实现细节,网上资料很少. 这几天突然来了兴趣,于是挖掘了一下. 结合nt4src,IDA+ntfs.sys,windbg+VMWare,在X
NTFS:让你的硬盘更安全、更高效!」NTFS文件系统详解,
A_991128a的博客
05-28 429
本文详细介绍了NTFS文件系统的结构、Boot文件、Boot文件、Boot文件、MFT元文件、文件记录、属性的属性头和属性体分析。
解析ntfs底层结构
weixin_33913332的博客
04-27 261
Ntfs是我们经常用的文件系统,不仅在Windows分区中起到了很大的作用。还在我们经常使用的U盘上也平凡出现,那么我们了解经常使用的ntfs吗?小编就来带大家解析ntfs底层结构。 一、NTFS系统结构 NTFSWindows NT引入的新型文件系统,如果您是一位熟悉FAT磁盘格式的专业人士,可能会觉得NTFS文件系统的思想蹩脚而晦涩,如果您对FAT格式一无所知,那么恭喜您,您会更快的了解...
解析NTFS底层结构.rar
06-23
解析NTFS的一个入门教程,包含了对NTFS一些结构的分析和说明
NTFS.rar_ntfs_ntfs 代码
09-19
在"NTFS文件系统底层挖掘.mht"这个文档中,可能详细介绍了如何深入理解NTFS的这些概念,包括如何读取和解析MFT记录,如何跟踪文件分配,以及如何利用工具分析NTFS结构。对于希望深入了解文件系统工作原理的开发者...
文件嗅探器 foldersniffer
03-12
无论是常规的FAT、FAT32还是更复杂的NTFS文件系统,foldersniffer都有应对策略。 对于NTFS(New Technology File System)文件系统,foldersniffer2.51版本特别加强了支持。NTFSWindows操作系统中广泛使用的高级...
搜集的可用于WInhex的解析模版
最新发布
06-16
4. **模板种类**:压缩包中的"WinHex_17.1模板大全"可能包含针对不同文件系统的模板,如上面提到的FAT和NTFS,还有邮件格式(如EML、MSG)、图像格式(如JPEG、PNG)、文档格式(如DOC、PDF)、网络相关的文件(如...
WINDOWSCODES:窗口10源代码-windows source code
03-25
5. **文件系统**:NTFSWindows 10的主要文件系统,源代码提供了关于文件分配、权限管理、文件恢复等核心功能的细节。 6. **网络堆栈**:网络堆栈是系统连接到互联网的关键,它包括协议处理、数据传输、网络接口等...
NTFS文件系统结构详解
04-24
NTFS文件系统的结构详解,这个文档里详细介绍了NTFS文件系统的各个组成结构
【翻译WINDOWS NT FILE SYSTEM INTERNAL】NT缓存管理器一(3)
yuanlanxiaup
07-27 69
文件流 每个打开文件的实例在windows NT里被表示为一个文件对象结构。任何关联一个文件对象的线性字节流可以被定义为文件流。文件流的例子包括给定文件的数据,一个目录(包含关于文件被存储在磁盘上的信息),文件系统元数据(例如卷信息),与该文件关联的访问控制列表(ACL),和文件一起存储的扩展信息。 NT文件系统创建,删除,操纵文件流,这是以下操作的结果,要么外部生成用户请求去读或者写文件数据...
【翻译WINDOWS NT FILE SYSTEM INTERNAL】NT缓存管理器一(6)
shyandsy的无边海洋
08-10 965
缓存读操作        考虑由一个用户应用程序发起的读操作。这个读操作通过NT I/O管理器被传递到文件系统。图6-3指示,满足读请求(使用缓存管理器提供的拷贝接口)的操作顺序。        下面的列表给出了对于这个图中每个步骤的解释。注意图中的箭头表示了控制流。 1.
硬盘文件系统系列专题之二 NTFS
存储随笔
09-10 7749
一、NTFS概述NTFS (New Technology File System),是 WindowsNT 环境的文件系统。新技术文件系统Windows NT家族(如常见的Windows XP、Win7 、Win8、Win10)等的限制级专用的文件系统(操作系统所在的盘符的文件系统必须格式化为NTFS文件系统,4096簇环境下)。NTFS取代了老式的FAT文件系统NTFS可以支持的分区(如果采用动态磁盘则称为卷)大小可以达到2TB。
NTFS文件系统结构--从零开始追踪一个文件的位置
热门推荐
刘洋_heaven的博客
04-14 2万+
前言:最近由于项目需要,研究了一下NTFS文件系统NTFS文件系统windows使用的文件系统,包括NT,2000,xp系列。无奈万恶资本主义的windows将自家的东西全部藏在阴暗的角落,NTFS理所当然地也不开源,尽管没有源代码,还是有足够丰富的资料将NTFS文件系统曝光在自由的阳光下。下面通过从NTFS文件系统的根源出发,展示如何通过一层层的解析,最终读取到其中的某个文件。 环境:LI
文件系统fsd hook (一)原理
weixin_30602505的博客
10-26 206
要知道FSDHook原理,首先我们必须了解什么是FSD,也就是FileSystem。我们电脑上的文件系统ntfs.sys,他有个设备\FileSystem\Ntfs,这个设备是用IoCreateDevice创建,跟我们写驱动的时候一样,那么我们可以通过这个设备,来对ntfs做一些操作,跟ntfs驱动进行一些通信。我们来看IDA分析: //这个就是我们以前的代码,创建一个通信设备 RtlI...
文件读取在驱动中经过的一些函数
kernweak的博客
08-09 389
原文链接 http://www.m5home.com/bbs/thread-5302-4-1.html 文件在读入到内存之前,终归是要经过IRP_MJ_READ的,当打开需要的文件时候,会有IRP_MJ_CREATE,你双击的时候,也是先产生IRP_MJ_CREATE再产生IRP_MJ_WRITE的。会有一个IRP_MJ_READ发送给NTFS驱动。以下的流程是: NTFS!NtfsFsdR...
NT缓存管理器(二)
Tommy(凌飞)的专栏
11-22 1375
文件大小信息 文件系统和内存管理器每个都维护了文件的大小信息。无何何时只要文件系统对一个文件建立映射,它就指明文件的当前大小。任何接下来对文件大小的改变就由缓存管理器来说明了。 缓存管理器用三个值来说明当前的文件大小: typedef struct _CC_FILE_SIZES {                  LARGE_INTEGER AllocationSize;       
NTFS文件系统结构探索.pdf
12-09
本文档深入探讨了NTFS(New Technology File System)文件系统结构,这是一种由Microsoft开发的高级文件系统,主要用于Windows操作系统。作者李佳伦在112页的内容中,从多个角度对NTFS进行了详尽的解析。 第1章介绍...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值