系统分区卷GUID

最新推荐文章于 2022-07-26 19:54:26 发布
最新推荐文章于 2022-07-26 19:54:26 发布
阅读量677 收藏 1
点赞数
分类专栏: C++ Window核心 文章标签: visual studio windows ide
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzy1448331580/article/details/121879219
版权 
#define _CRT_SECURE_NO_WARNINGS
#include <windows.h>
#include <winternl.h>
#include <stdio.h>

// https://docs.microsoft.com/en-us/windows-hardware/drivers/ddi/wdm/ne-wdm-_fsinfoclass

typedef enum _FSINFOCLASS {
	FileFsVolumeInformation = 1,
	FileFsLabelInformation,
	FileFsSizeInformation,
	FileFsDeviceInformation,
	FileFsAttributeInformation,
	FileFsControlInformation,
	FileFsFullSizeInformation,
	FileFsObjectIdInformation,
	FileFsDriverPathInformation,
	FileFsMaximumInformation
} FS_INFORMATION_CLASS, * PFS_INFORMATION_CLASS;

typedef NTSTATUS(*FZwSetVolumeInformationFile)(HANDLE, PIO_STATUS_BLOCK, PVOID, ULONG, FS_INFORMATION_CLASS);

typedef NTSTATUS(*FZwQueryVolumeInformationFile)(HANDLE, PIO_STATUS_BLOCK, PVOID, ULONG, FS_INFORMATION_CLASS);

int main(int argc, char* argv[])
{
	const wchar_t* device = L"\\\\.\\c:";

	HANDLE h = CreateFileW(device, 0x40000000, 3, 0, 3, 0x80, 0);
	if (h == INVALID_HANDLE_VALUE) return 0;
	printf("handle is %d \n", h);

	HMODULE m = GetModuleHandleW(L"ntdll.dll");
	if (!m) return 0;
	printf("module is %p \n", m);

	FZwSetVolumeInformationFile _ZwSetVolumeInformationFile = (FZwSetVolumeInformationFile)GetProcAddress(m, "ZwSetVolumeInformationFile");
	FZwQueryVolumeInformationFile _ZwQueryVolumeInformationFile = (FZwQueryVolumeInformationFile)GetProcAddress(m, "ZwQueryVolumeInformationFile");
	if (!_ZwSetVolumeInformationFile || !_ZwQueryVolumeInformationFile) return 0;
	printf("_ZwSetVolumeInformationFile %p \n", _ZwSetVolumeInformationFile);
	printf("_ZwQueryVolumeInformationFile %p \n", _ZwQueryVolumeInformationFile);

	NTSTATUS s;
	const int size = 1024 * 10;
	char* buf = new char[size];
	memset(buf, 0, size);
	IO_STATUS_BLOCK status{ 0 };

	typedef struct _FILE_FS_VOLUME_INFORMATION {
		LARGE_INTEGER VolumeCreationTime;
		ULONG VolumeSerialNumber;
		ULONG VolumeLabelLength;
		BOOLEAN SupportsObjects;
		WCHAR VolumeLabel[1];
	} FILE_FS_VOLUME_INFORMATION, * PFILE_FS_VOLUME_INFORMATION;
	s = _ZwQueryVolumeInformationFile(h, &status, buf, size, FileFsVolumeInformation);
	PFILE_FS_VOLUME_INFORMATION p1 = (PFILE_FS_VOLUME_INFORMATION)buf;
	p1->VolumeSerialNumber = 0;
	p1->VolumeLabel[0] = L'\0';
	s = _ZwSetVolumeInformationFile(h, &status, p1, size, FileFsVolumeInformation);
	printf("%p \n", s);

	typedef struct _FILE_FS_OBJECTID_INFORMATION {
		UCHAR ObjectId[16];
		UCHAR ExtendedInfo[48];
	} FILE_FS_OBJECTID_INFORMATION, * PFILE_FS_OBJECTID_INFORMATION;
	s = _ZwQueryVolumeInformationFile(h, &status, buf, size, FileFsObjectIdInformation);
	PFILE_FS_OBJECTID_INFORMATION p2 = (PFILE_FS_OBJECTID_INFORMATION)buf;
	p2->ObjectId[0] = 55;
	p2->ObjectId[1] = 55;
	p2->ObjectId[2] = 55;
	p2->ObjectId[3] = 55;
	p2->ObjectId[4] = 55;
	p2->ObjectId[5] = 55;
	p2->ObjectId[6] = 55;
	p2->ObjectId[7] = 55;
	s = _ZwSetVolumeInformationFile(h, &status, p2, size, FileFsObjectIdInformation);
	printf("%p \n", s);

	//typedef struct _FILE_FS_DRIVER_PATH_INFORMATION {
	//	BOOLEAN DriverInPath;
	//	ULONG   DriverNameLength;
	//	WCHAR   DriverName[1];
	//} FILE_FS_DRIVER_PATH_INFORMATION, * PFILE_FS_DRIVER_PATH_INFORMATION;
	//PFILE_FS_DRIVER_PATH_INFORMATION p3 = (PFILE_FS_DRIVER_PATH_INFORMATION)buf;
	//p3->DriverInPath = TRUE;
	//p3->DriverNameLength = 0x200;
	//wcscpy(p3->DriverName, L"\\\\?\\Volume{c6708e20-53cd-4265-a031-af74f04ca24b}");
	//s = _ZwQueryVolumeInformationFile(h, &status, buf, size, FileFsDriverPathInformation);

	CloseHandle(h);
	system("pause");
	return 0;
}
ThatAllOver
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ZwQueryVolumeInformationFileFileFsAttributeInformation
yangsongqbs的专栏
04-18 1706
这次在编写一个windows下的虚拟磁盘时,发现了一个很郁闷的问题, 在查询指定的文件句柄所在的文件系统的信息时考试报缓存区不正确 函数原型是 NTSTATUS   ZwQueryVolumeInformationFile(     IN HANDLE  FileHandle,                                       //指定的文件句柄     OU
获取cpuid mac 硬盘分区ID 硬盘分区GUID
11-27
获取cpuid cpu类型 mac 硬盘分区ID 硬盘分区GUID
更改GUID的小工具
05-14
轻松修改文件guid的小工具。全局唯一标识替换工具,作者Yonsm.net
Windows(Volume)操作,获取GUID、磁盘类型、磁盘大小等API
youzai2017的博客
07-26 2542
Windows操作 获取GUID路径、磁盘类型、磁盘大小等API
winternl.h C++ 头文件
04-21
C++头文件 winternl.h,Unicode转换的时候会用到。
[知识小节]Process Monitor介绍
网络安全知识分享
03-05 1万+
Process Monitor1、工具基本介绍2、使用场景3、常见用法4、实例分析 1、工具基本介绍 Process Monitor是微软推荐的一款系统监视攻击,能供实时显示文件系统、注册表、网络连接于进程活动的攻击工具。它整合了一些工具,其中Folemon专门用来监视系统中的任何文件操作过程,Regmon用来监视注册表的读写操作过程。 Filemon:文件监视器 Regmon:注册表监视器 同时。Process Monitor增加了进程ID、用户、进程可靠度等监视项。它的强大功能足以使Process
diskgenius guid全是0,win7系统无法安装
叫我泽西哥好吗?(手动滑稽 ‾◡◝)
07-10 2519
最后发现系统无法安装和guid全是0没有关系,重新下载了个新系统就安装成功了,应该是系统的问题。
Windows系统中如何标识一个(Volume)
一个码农的前三十年
06-15 3602
从事数据存储底层工作的小伙伴们应该会关心以下两个问题:    1. 如何标识一个?    2. 新建了一个,以挂载文件夹的方式同时挂载到E:\abc和F:\def,此时这两个挂载点如何区分?
银河麒麟系统硬盘分区挂载
最新发布
02-11
总的来说,“银河麒麟”系统硬盘挂载和分区的过程涉及对磁盘的检测、分区、创建LVM结构以及挂载逻辑。熟练掌握这些步骤对于日常的系统维护和管理至关重要,特别是对于那些需要高效利用存储资源和保持数据安全性的...
Windows GUID 分区表 (GPT) 的常见问题及解答
10-14
- **ESP 和 MSR 分区:** 这些是特殊的系统分区,用于支持 UEFI 启动。 - **数据分区:** 存储用户数据和其他文件系统分区。 **Q: 动态磁盘的 GPT 格式是什么样的?** **A:** 动态磁盘使用 GPT 格式时,除了上述...
zwqueryinformationfile获取路径例子
08-08
例子一:要访问已打开的文件,我们也可以使用这种方法。我们需要使用ZwQuerySystemInformation函数来枚举句柄,将每一个句柄都用DuplicateHandle进行复制,确定句柄属于那个文件(ZwQueryInformationFile),如果是要找的文件,就将句柄拷贝。 这些在理论上都讲得通,但在实践中会遇到两处难点。第一,在对打开的named pipe(工作于block mode)的句柄调用ZwQueryInformationFile的时候,调用线程会等待pipe中的消息,而pipe中却可能没有消息,也就是说,调用ZwQueryInformationFile的线程实际上永久性地挂起了。所以命名文件的获取不用在挑选句柄的主线程中进行,可以启动独立的线程并设置一个timeout值来避免挂起。
更改硬盘号工具
11-01
更改硬盘号工具 如题 dos命令
Linux系统分区详细解答
07-06
本文将深入探讨Linux系统分区的相关知识点,包括基本概念、分区类型、分区工具以及分区操作流程。 一、基本概念 1. 主分区与逻辑分区:在MBR(主引导记录)分区表中,一个硬盘最多有4个主分区或3个主分区加上一个...
文件或目录损坏且无法读取 解决方法
热门推荐
12-14 1万+
2014-12-13, 我的电脑实在是太老了,跟了我6年了,经过了各种折腾,最近总是启动不了,要我把硬盘线好好插牢才能启动。然后今天启动的时候电脑进入检查硬盘的界面,我嫌弃它太慢,果断强制重启,结果悲剧发生了。 电脑中有两块硬盘,我们叫它h0和h1吧,操作系统安装在h0上,引导分区也是在h0上。进去之后h0的c、d、e三个盘是正常的。但是h1的f、k、l、m点击显示“文件或目录损坏且无法读取”。
WDK获得U盘的序列号
大头的博客
08-30 721
一、获得U盘的逻辑序列号 重点函数:FltQueryVolumeInformation :查询实例的信息 可查询的类型如下: typedef enum _FSINFOCLASS { FileFsVolumeInformation = 1, FileFsLabelInformation, // 2 FileFsSizeInformation, ...
(转)深入理解文件操作函数native api之ZwQueryInformationFile 获取File ID
gylll的专栏
03-03 3543
http://hi.baidu.com/liushijianlu/blog/item/b104c810a08f8b28dc5401fb.html>深入理解文件操作函数native api之ZwQueryInformationFile看这个函数的名字和参数就能够知道他是干嘛用的了,但是他的作用远不止这些,这需要一些技巧和深入的理解才能有了新的思路。现在仅仅是明白了函数
普通恶意代码技术分析与检测
weixin_30279315的博客
03-12 344
创建时间:2008-03-07文章属性:原创文章提交:fleshwound (fleshwound_at_126.com)fleshwound(fleshwound@smatrix.org)http://www.smatrix.org1 引言  近些年来,恶意代码依赖一些特殊的Native API函数和内核系统函数进行感染、传播、隐藏的这种趋势愈加明显代码,并大量的使用了多重加密壳、驱动关联壳、变...
Zw 系列函数
huanongying131的博客
11-19 3634
转:http://blog.sina.com.cn/s/blog_4a1acc7f0100cfud.html      896  37F 0000D379 ZwAcceptConnectPort         897  380 0000D38E ZwAccessCheck         898  381 0000D3A3 ZwAccessCheckAndAuditAlarm         ...
银河麒麟系统硬盘分区与LVM挂载指南
"本文主要介绍了如何在银河麒麟操作系统中进行硬盘分区和挂载,包括使用lsblk查看磁盘状态,fdisk进行分区操作,以及利用LVM创建逻辑的步骤。" 在银河麒麟操作系统中,管理和配置硬盘是系统维护的重要环节。首先...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值