[转]Windows文件系统的杂谈

最新推荐文章于 2024-04-23 13:28:52 发布
最新推荐文章于 2024-04-23 13:28:52 发布
阅读量322 收藏
点赞数
分类专栏: WINDOWS文件过滤驱动 WINDOW文件系统 文章标签: windows header integer stream semaphore struct
 
2011-08-19 11:37

author: jonathan

本文档的CopyRight归jonathan所有,可自由转载,转载时请保持文档的完整性。
/*---------------------------------------------------------------------------------------------------------------------*/

1 杂谈

1.1 FCB/SCB的COMMON结构定义
// fat
#define NTC_UNDEFINED                    ((NODE_TYPE_CODE)0x0000)

#define FAT_NTC_DATA_HEADER              ((NODE_TYPE_CODE)0x0500)
#define FAT_NTC_VCB                      ((NODE_TYPE_CODE)0x0501)
#define FAT_NTC_FCB                      ((NODE_TYPE_CODE)0x0502)
#define FAT_NTC_DCB                      ((NODE_TYPE_CODE)0x0503)
#define FAT_NTC_ROOT_DCB                 ((NODE_TYPE_CODE)0x0504)
#define FAT_NTC_CCB                      ((NODE_TYPE_CODE)0x0507)
#define FAT_NTC_IRP_CONTEXT              ((NODE_TYPE_CODE)0x0508)

// ntfs
#define NTC_UNDEFINED                    ((NODE_TYPE_CODE)0x0000)

#define NTFS_NTC_DATA_HEADER             ((NODE_TYPE_CODE)0x0700)
#define NTFS_NTC_VCB                     ((NODE_TYPE_CODE)0x0701)
#define NTFS_NTC_FCB                     ((NODE_TYPE_CODE)0x0702)
#define NTFS_NTC_SCB_INDEX               ((NODE_TYPE_CODE)0x0703)
#define NTFS_NTC_SCB_ROOT_INDEX          ((NODE_TYPE_CODE)0x0704)
#define NTFS_NTC_SCB_DATA                ((NODE_TYPE_CODE)0x0705)
#define NTFS_NTC_SCB_MFT                 ((NODE_TYPE_CODE)0x0706)
#define NTFS_NTC_SCB_NONPAGED            ((NODE_TYPE_CODE)0x0707)
#define NTFS_NTC_CCB_INDEX               ((NODE_TYPE_CODE)0x0708)
#define NTFS_NTC_CCB_DATA                ((NODE_TYPE_CODE)0x0709)
#define NTFS_NTC_IRP_CONTEXT             ((NODE_TYPE_CODE)0x070A)
#define NTFS_NTC_LCB                     ((NODE_TYPE_CODE)0x070B)
#define NTFS_NTC_PREFIX_ENTRY            ((NODE_TYPE_CODE)0x070C)
#define NTFS_NTC_QUOTA_CONTROL           ((NODE_TYPE_CODE)0x070D)

//cdfs
#define NTC_UNDEFINED                   ((NODE_TYPE_CODE)0x0000)

#define CDFS_NTC_DATA_HEADER            ((NODE_TYPE_CODE)0x0301)
#define CDFS_NTC_VCB                    ((NODE_TYPE_CODE)0x0302)
#define CDFS_NTC_FCB_PATH_TABLE         ((NODE_TYPE_CODE)0x0303)
#define CDFS_NTC_FCB_INDEX              ((NODE_TYPE_CODE)0x0304)
#define CDFS_NTC_FCB_DATA               ((NODE_TYPE_CODE)0x0305)
#define CDFS_NTC_FCB_NONPAGED           ((NODE_TYPE_CODE)0x0306)
#define CDFS_NTC_CCB                    ((NODE_TYPE_CODE)0x0307)
#define CDFS_NTC_IRP_CONTEXT            ((NODE_TYPE_CODE)0x0308)
#define CDFS_NTC_IRP_CONTEXT_LITE       ((NODE_TYPE_CODE)0x0309)

typedef struct _FSRTL_COMMON_FCB_HEADER {
CSHORT NodeTypeCode;
CSHORT NodeByteSize;
UCHAR Flags;
UCHAR IsFastIoPossible;
UCHAR Flags2;
UCHAR Reserved : 4;
UCHAR Version : 4;
PERESOURCE Resource;
PERESOURCE PagingIoResource;
LARGE_INTEGER AllocationSize;
LARGE_INTEGER FileSize;
LARGE_INTEGER ValidDataLength;
} FSRTL_COMMON_FCB_HEADER;
typedef FSRTL_COMMON_FCB_HEADER *PFSRTL_COMMON_FCB_HEADER;

Flags2 & FSRTL_FLAG2_SUPPORTS_FILTER_CONTEXTS

typedef struct _FSRTL_ADVANCED_FCB_HEADER {
FSRTL_COMMON_FCB_HEADER;
PFAST_MUTEX FastMutex;
LIST_ENTRY FilterContexts;
EX_PUSH_LOCK PushLock;
PVOID* FileContextSupportPointer;
} FSRTL_ADVANCED_FCB_HEADER;
typedef FSRTL_ADVANCED_FCB_HEADER *PFSRTL_ADVANCED_FCB_HEADER;

typedef struct _FSRTL_PER_STREAM_CONTEXT {
LIST_ENTRY Links;
PVOID OwnerId;
PVOID InstanceId;
PFREE_FUNCTION FreeCallback;
} FSRTL_PER_STREAM_CONTEXT, *PFSRTL_PER_STREAM_CONTEXT;

OwnerId和InstanceId都需要有意义的值:
OwnerId = 可以是驱动对象的地址等
InstanceId = 可以使流上下文地址 (FsRtlGetPerStreamContextPointer)

1.2 Cleanup和Close的区别

在FCB或者SCB中都有如下两个变量:

    CLONG CleanupCount; 打开未关闭文件句柄。   
    CLONG CloseCount; 打开未关闭文件对象。

在SCB中还有一变量:

    //
    // A count of the number of file objects opened on this stream
    // which represent user non-cached handles. We use this count to
    // determine when to flush and purge the data section in only
    // non-cached handles remain on the file.
    //
    CLONG NonCachedCleanupCount;

1.3 资源同步问题

在文件过滤驱动中,如要访问ExAcquireResourceExclusive等资源时,为了防止一般内核的APC调度,需调用如下接口:

FsRtlEnterFileSystem(KeEnterCriticalRegion)
FsRtlExitFileSystem(KeExitCriticalRegion)

关于设置TopLevelIrp也是很重要的,在访问ExAcquireResourceExclusive等资源时,也需要考虑该接口调用:

if ( IoGetTopLevelIrp() == NULL ) {

        IoSetTopLevelIrp( Irp );

        return TRUE;

    } else {

        return FALSE;
    }

设置IoSetTopLevelIrp目的:当前调用的irp是否是原始的线程操作irp还是由于线程的其他操作从而又产生的新的irp操作。

1.4 文件对象状态跟踪

跟踪一个文件操作的状态,一般使用FCB。而FCB的生命周期,又是以CREATE开始,以CLOSE结束。
但是文件系统内部也会通过IoCreateStreamFileObject(会调用IRP_MJ_CLEANUP) 和 IoCreateStreamFileObjectLite(会调用IRP_MJ_CLEANUP或者IRP_MJ_CLOSE)等创建文件对象,但是这些文件对象却不会调用Create,为跟踪状态带来困难。

因此,必须在IRP_MJ_READ、IRP_MJ_WRITE、IRP_MJ_SET_INFORMATION和IRP_MJ_GET_INFORMATION中动态创建。

1.5 文件加密中注意要清缓存

1.5.1 文件加密关注重点是缓存问题

1.5.2 清缓存有两个时机:create和cleanup

1.5.3 清缓存方式

1.5.4 双缓存与双FCB,个人认为本质是相同,不过是管理缓存的方法和机制作了改变,结果可能双FCB有更加稳定和高移植性

1.6 同步机制

spin_lock, event, resource, mutex, time, semaphore, thread, process, file等各种对象

1.7 IRP_MJ_FILE_SYSTEM_CONTROL

    此接口调用的device是设备,但是这个设备参数哪里来的呢?

    其实就是IrpSp->Parameters.MountVolume.Vpb->RealDevice中的设备。

zzh520420
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
FCB_EV7520摄像头模组资料
12-28
FCB_EV7520摄像头模组输出的是LVDS的视频信号,如果需要mipi信号,还需要使用LVDSMIPI的接板。
关于IoGetTopLevelIrp()
Jack码•农的专栏
11-27 2566
关于IoGetTopLevelIrp() IoGetTopLevelIrp()=NULL 時,Usermode直接产生的Irp。 IoGetTopLevelIrp()!=NULL 時,Kernel其他driver产生的Irp,因为CM或VM会调用IoSetTopLevelIrp来标记源IRP。在这IRP之前,一定会有一个对应的Usermode的Irp   如果是Usermod
IoGetTopLevelIrp
weixin_30446613的博客
09-12 173
学习写驱动,其实,挺无聊,但是也挺有意思的 IoGetTopLevelIrp 今天在看一个文件系统过滤驱动的时候,看到这个函数,它是干嘛的,为什么会有这么个东西 https://msdn.microsoft.com/library/windows/hardware/ff548405 MSDN果真古之重器,根本看不懂,我就看出有三种情况 NULL、IRP、标志位。 但是后面几...
Windows文件系统杂谈
Jack码•农的专栏
03-02 975
author: jonathan 本文档的CopyRight归jonathan所有,可自由载,载时请保持文档的完整性。 /*---------------------------------------------------------------------------------------------------------------------*/ 1 杂谈 1.1 FCB
一个修改NT内核的真实RootKit
04-22 4701
发布日期:2003-06-16文摘内容: 文章出处:http://www.xfocus.net/articles/200306/558.html创建时间:2003-06-14文章属性:翻译文章提交:TOo2y (too2y_at_safechina.net)------------------[  Phrack 杂志 --- 卷标 9 | 期刊 55  ]------------------[  
IFS FAQ
keilsi的专栏
06-29 1470
IFS FAQ Q1 How difficult is it to port a Windows 9x based file system or file system filter driver to Windows NT/2000/XP?Q2 Is there a WDM model for file systems or file system filter drivers?Q3
系统框架权限设计杂谈论文
03-19
NULL 博文链接:https://limingzhongdhcc.iteye.com/blog/704302
ASP生成静态Html文件技术杂谈.pdf
10-05
ASP生成静态Html文件技术杂谈.pdf
MVC架构杂谈
02-26
C是软件工程中的一种软件架构模式,它把软件系统分为三个基本的部分:模型Model、视图View以及控制器Controller。这种模式的目的是为了实现一种动态的程序设计,简化后续对软件系统的修改和扩展,并使得程序的某一...
过滤器(filter) 例子源码
03-01
博文链接:https://huicn.iteye.com/blog/155923
第四代文件透明加解密系统
06-09
第四代透明加密技术:filter(用来定位) + layer fsd (用来维护 fake fcb) + 双 fcb(一真一假)
双缓冲透明加解密系统研究与实现
06-09
双缓冲透明加密系统:filter(用来定位) + layer fsd (用来维护 fake fcb) + 双 fcb(一真一假)
除系统explorer缓存批处理
04-02
除原有的系统缓存,例如刷新文件图标,解决一些缓存在重启后仍不能更新的问题
软件设计杂谈
02-26
UI/UE的主题请出门右找特赞(Tezign)。在如今这个Lean/Agile横扫一切的年代,设计似乎有了被边缘化的倾向,做事的周期如此之快,似乎已容不下人们更多的思考。MVP(MinimalViableProduce)在很多团队里演化成一个...
TCP案例-实时群聊
最新发布
qq_40603125的博客
04-23 389
【代码】TCP案例-实时群聊。
第四十六节 Java 8 Stream
2301_78772942的博客
04-23 866
第四十六节 Java 8 Stream
集合框架(二)前置知识
2301_80477449的博客
04-21 258
可变参数:就是一种特殊形参,定义在方法,构造器的形参列表里,格式是:“数据类型...参数名称”特点:可以不传数据给它,可以传一个或多个数据给它,也可以传一个数组给它。Collections提供的常用静态方法。②一个形参列表中可变参数只能有一个。③可变参数必须放在形参列表的最后面。①可变参数在方法内部就是一个数组。好处:常常用来灵活的接受数据。*是一个用来操作集合的工具类。可变参数的特点和好处。
Java 网络编程之TCP(二):基于BIO的聊天室
u013771019的专栏
04-21 302
中,介绍Java中I/O和TCP的基本概念,本文在上文的基础上,实现一个基本的聊天室的功能。由于基于BIO,那么服务端都需要用两个线程,来分别进行收发消息。聊天客户端:发送消息给所有其他客户端,接收其他客户端的消息。要想实现上面的聊天室的功能,我们需要一个服务端,和客户端。服务端:接收客户端的消息,并发给其他客户端。客户端:发送消息给服务端,接收服务端的消息。
公司文件存放数据库结构
07-27
公司文件存放的数据库结构可以根据具体需求和业务流程进行设计。一种常见的数据库结构是使用主数据库文件和次数据库文件来组织文件存放。主数据库文件是数据库的起点,可以指向数据库中的其他部分,每个数据库都有一个主数据库文件。次数据库文件是可选的,有些数据库可能没有次数据文件,而有的数据库则有多个次数据文件。这些文件可以根据需要进行扩展和管理,文件扩展名一般是 .mdf 和 .ndf。此外,还需要考虑事务日志文件,它包含恢复数据库所需的所有日志信息,每个数据库必须至少有一个日志文件,但可以不止一个,推荐的文件扩展名是 .ldf。这样的数据库文件组织结构可以满足数据库的存储和管理需求。\[1\] 另外,需要注意的是,数据库文件的管理不一定要依赖于操作系统的文件管理系统。传统的文件系统可能无法提供数据库系统所需的附加信息和快速访问路径。数据库中的文件是供所有数据库用户共享的,因此需要兼顾多方面的要求,并能适应数据的动态变化。因此,数据库系统通常会在文件目录、文件描述块、物理块等部分附加一些信息,以满足数据库的功能需求。这样的设计可以提供更好的性能和灵活性。\[2\] 此外,还有一些特殊的系统数据库,如master数据库和tempdb数据库。master数据库记录了安装以及随后创建的所有数据库的信息,包括数据库所用磁盘空间、文件分配、空间使用率、系统级的配置设置、登录帐户密码、存储位置等。它是系统的关键,不允许任何人对其进行修改,因此需要经常保留一份当前备份的拷贝。tempdb数据库用于存储临时数据,例如临时表和临时存储过程的执行结果。\[3\] 综上所述,公司文件存放的数据库结构可以根据具体需求和业务流程进行设计,常见的结构包括主数据库文件、次数据库文件和事务日志文件。此外,还需要考虑特殊的系统数据库,如master数据库和tempdb数据库。 #### 引用[.reference_title] - *1* *3* [SQL Server数据库结构](https://blog.csdn.net/weixin_45962068/article/details/122537346)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [数据库杂谈(七)——数据库的存储结构](https://blog.csdn.net/chengyuhaomei520/article/details/123324598)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值