第一篇写技术的文章哦,以前好少写文章,我的文字表达很差劲,大家不要笑哦.
前几天仙剑4通关了,感觉好惆怅,什么都不想去做.今天看了一下书发现一篇比较好玩的文章,于是自己静静地实践一番.文章是<基于硬盘保留扇区的软件保护方法(作者:熊志勇)>,内容是介绍了怎么读写硬盘保留扇区.以下是我的学习日记.

这里是摘自文章里的一个表:硬盘的总体结构
***********************************************************************
编号       名称                                     备注
1          主引导扇区(含硬盘分区表)            占用一个扇区空间(一个扇区空间为512字节)
2          保留扇区(操作系统不使用的扇区)    占用62个扇区空间
3          第一个分区                              C:盘
4          扩展主引导扇区(含扩展分区表)       一个扇区空间(只有存在扩展分区是才存在)
5          保留扇区                                占用62个扇区空间
6          第2个分区                               D:盘
7          下一个扩展主引导扇区                 只有分区链没结束才存在
8          ......                                    ......
***********************************************************************

通常的软件保护都会向编号为2的保留扇区写一些软件注册信息呀,等等的东西.
而要读写这个没被操作系统利用的部分作者已经给出了代码(幸福呀,不用自己找).

//以下是已经做好的一个函数

BOOL ReadPhysicalSector(unsigned long SectorStart, unsigned long SectorCount, unsigned char *p)

{

unsigned long BytesPerSector = 512;

unsigned long nBytes;

char Drive[] = "////.//PHYSICALDRIVE0";

BOOL result = FALSE;

HANDLE hDeviceHandle = CreateFile(Drive,GENERIC_READ,FILE_SHARE_READ,NULL,OPEN_EXISTING,0,0);

if(hDeviceHandle)

{

long pointer;

long phigh;

pointer = SectorStart;

pointer = pointer*BytesPerSector;

phigh = pointer>>32;

SetFilePointer(hDeviceHandle,(unsigned long)pointer,&phigh,FILE_BEGIN);

if(ReadFile(hDeviceHandle,p,SectorCount*BytesPerSector,&nBytes,NULL))

result = TRUE;

CloseHandle(hDeviceHandle);

}

return result;

}

//调用就这样

int main(int argc, char* argv[])

{

unsigned long SectorStart = 0;//比如我要读的是编号为的那个扇区开始的数据,这里写

//如果读的是从第扇区开始后的数据这里就写

unsigned long SectorCount = 1;//读多少个扇区,这里是个

unsigned char p[512];//一个扇区数据量是字节呀

ReadPhysicalSector(SectorStart, SectorCount, p);

for(int i=0;i<512;i++)//输出的

{

printf("%02X ",p[i]);

if(i%26==0)

printf(" ");

}

return 0;

}

以上的代码都是读的,那如果要写就把ReadFile改成WriteFile呀.要注意的是别乱写了分区表了,很难恢复的.小心用WriteFile呀.

以上的我就实现了,其实也是抄人家的代码,5555555没意思,突然间想把这些功能用驱动来实现.
想就快呀,第一时间上网找ZwWriteFile,ZwReadFile的使用啦,想不到在baidu搜的都是怎么hook ZwWriteFile,ZwReadFile他们的文章,555555那个简单啦,不就改改SSDT然后自己定义函数嘛.
但是......ZwWriteFile,ZwReadFile怎么用的文章几乎没有的.天呀!好惨!

接着我看好久的DDK文档,看了很久ZwWriteFile,ZwReadFile的函数原型,就一步步写出以下的代码出来,经过了n的n次方次的失败后终于......成功读取了第一个扇区的数据了.

#include<ntddk.h>

//--------------------------------------------------------------------

VOID ReadPhysicalSector(unsigned long SectorCount, unsigned char *p)

{

unsigned long BytesPerSector = 512;

WCHAR* name = L"//??//PHYSICALDRIVE0";//这个找了好久呀,原来要这样写的

NTSTATUS ntStatus;

HANDLE hDeviceHandle;

IO_STATUS_BLOCK IoStatusBlock;

IO_STATUS_BLOCK IoStatusBlockR;

OBJECT_ATTRIBUTES ObjectAttributesL;

UNICODE_STRING UniFileNameL;

LARGE_INTEGER ByteOffset;

RtlInitUnicodeString(&UniFileNameL,name);

InitializeObjectAttributes( &ObjectAttributesL,

&UniFileNameL,

OBJ_CASE_INSENSITIVE|OBJ_KERNEL_HANDLE,

NULL,

NULL);

ntStatus = ZwCreateFile(&hDeviceHandle,

GENERIC_READ,

&ObjectAttributesL,

&IoStatusBlock,

NULL,

0,

FILE_SHARE_READ,

FILE_OPEN,

FILE_SYNCHRONOUS_IO_ALERT,

NULL,

0);

if( NT_SUCCESS(ntStatus) )

{

DbgPrint("Open Success");

ByteOffset.LowPart = FILE_USE_FILE_POINTER_POSITION;

ByteOffset.HighPart = -1;

ntStatus = ZwReadFile(  hDeviceHandle,

NULL,

NULL,

NULL,

&IoStatusBlockR,

p,

SectorCount*BytesPerSector,

&ByteOffset,

NULL);

if( NT_SUCCESS(ntStatus) )

{

DbgPrint("Read Success");

}

}

ZwClose(hDeviceHandle);

}

//--------------------------------------------------------------------

VOID OnUnload(IN PDRIVER_OBJECT DriverObject)

{

DbgPrint("     88  ");

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,PUNICODE_STRING RegistryPath)

{

unsigned long SectorCount = 1;

unsigned char p[512];

int i;

DriverObject->DriverUnload = OnUnload;

DbgPrint("Hi");

ReadPhysicalSector(SectorCount, p);

for(i=0;i<512;i++)

DbgPrint("%02X ",p[i]);

return STATUS_SUCCESS;

}

终于读取成功了,写就Read改成Write呀,哎....其实我都是刚刚学什么都不会,看了好久DDK文档才挤出上面几行代码.....但是现在我最不明白的就是ZwReadFile中怎么定位指针的位置呢,比如我想在第2个扇区开始读应该怎么写呢?55555555不想啦,很烦啊.....有高手路过就批一下啦,最好教一下我.

好啦今天一起床,想了想,又看了看DDK终于将以上的问题解决了,可以任意读取某一个扇区了~~~~~~~~~~~心情当然非常激动啦~~~啦~~~啦~

原来错误就在这两句里面,DDK误导人的,还是我的英文差呢~~~~~~好啦~~~其实DDK是这么说的:

ByteOffset

Pointer to a variable that specifies the starting byte offset in the file where the read operation will begin. If an attempt is made to read beyond the end of the file, ZwReadFile returns an error.

If the call to ZwCreateFile set either of the CreateOptions flags FILE_SYNCHRONOUS_IO_ALERT or FILE_SYNCHRONOUS_IO_NONALERT, the I/O Manager maintains the current file position. If so, the caller ofZwReadFile can specify that the current file position offset be used instead of an explicit ByteOffset value. This specification can be made by using one of the following methods:

● Specify a pointer to a LARGE_INTEGER value with the HighPart member set to -1 and the LowPartmember set to the system-defined value FILE_USE_FILE_POINTER_POSITION.

● Pass a NULL pointer for ByteOffset.

ZwReadFile updates the current file position by adding the number of bytes read when it completes the read operation, if it is using the current file position maintained by the I/O Manager.

Even when the I/O Manager is maintaining the current file position, the caller can reset this position by passing an explicit ByteOffset value to ZwReadFile. Doing this automatically changes the current file position to that ByteOffset value, performs the read operation, and then updates the position according to the number of bytes actually read. This technique gives the caller atomic seek-and-read service.

//今天不按照它说的来做,

ByteOffset.LowPart = FILE_USE_FILE_POINTER_POSITION;

ByteOffset.HighPart = -1;

//改成:

ByteOffset.QuadPart = //第几个字节;

//终于成功了:

代码如下:

#include<ntddk.h>

//--------------------------------------------------------------------

VOID ReadPhysicalSector(unsigned long SectorStart,unsigned long SectorCount,unsigned char *p)

{

unsigned long BytesPerSector = 512;

WCHAR* name = L"//??//PHYSICALDRIVE0";//这个找了好久呀,原来要这样写的

NTSTATUS ntStatus;

HANDLE hDeviceHandle;

IO_STATUS_BLOCK IoStatusBlock;

IO_STATUS_BLOCK IoStatusBlockR;

OBJECT_ATTRIBUTES ObjectAttributesL;

UNICODE_STRING UniFileNameL;

LARGE_INTEGER ByteOffset;

RtlInitUnicodeString(&UniFileNameL,name);

InitializeObjectAttributes( &ObjectAttributesL,

&UniFileNameL,

OBJ_CASE_INSENSITIVE|OBJ_KERNEL_HANDLE,

NULL,

NULL);

ntStatus = ZwCreateFile(&hDeviceHandle,

GENERIC_READ,

&ObjectAttributesL,

&IoStatusBlock,

NULL,

0,

FILE_SHARE_READ,

FILE_OPEN,

FILE_SYNCHRONOUS_IO_ALERT,

NULL,

0);

if( NT_SUCCESS(ntStatus) )

{

DbgPrint("Open Success");

//      ByteOffset.LowPart = FILE_USE_FILE_POINTER_POSITION;

//      ByteOffset.HighPart = -1;不要用这两句换成下面一句,DDK误导人啊~~~~~

ByteOffset.QuadPart = SectorStart*BytesPerSector;//是这句了

ntStatus = ZwReadFile(  hDeviceHandle,

NULL,

NULL,

NULL,

&IoStatusBlockR,

p,

SectorCount*BytesPerSector,

&ByteOffset,

NULL);

if( NT_SUCCESS(ntStatus) )

{

DbgPrint("Read Success");

}

}

ZwClose(hDeviceHandle);

}

//--------------------------------------------------------------------

VOID OnUnload(IN PDRIVER_OBJECT DriverObject)

{

DbgPrint("     88  ");

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,PUNICODE_STRING RegistryPath)

{

unsigned long SectorStart = 63;//现在是读扇区啦

unsigned long SectorCount = 1;

unsigned char p[512];

int i;

DriverObject->DriverUnload = OnUnload;

DbgPrint("Hi");

ReadPhysicalSector(SectorStart ,SectorCount, p);

for(i=0;i<512;i++)

DbgPrint("%02X ",p[i]);

return STATUS_SUCCESS;

}

http://blog.csdn.net/cooblily/article/details/1737703

WIN32和Kernel)直接读写硬盘扇区的更多相关文章

  1. linux2.6硬盘扇区直接读写程序

    下面的程序可以在linux2.6内核直接读写硬盘的指定扇区,也是根据网上一个朋友的做法做了修改的: 有两个不是很明白的地方就是:1.bd_claim函数的使用,这个是个递归函数,像是匹配内存指针和设备 ...

  2. [转]Linux中如何读写硬盘上指定物理扇区

    读指定物理扇区: dd  if=<源设备>  of=<输出设备或文件>   skip=<指定扇区值>  bs=512 count=1 写指定物理扇区: dd   i ...

  3. cpu指令如何读写硬盘

    我们提到cpu的主要作用之一就是控制设备之间的数据交互.这其中自然也包括了硬盘.系统的所有数据基本都在硬盘中,所以知道怎么读写硬盘,对程序来说非常重要,所以我们先来探索下传说中的pio模式. cpu要 ...

  4. Android 怎样在linux kernel 中读写文件

    前言          欢迎大家我分享和推荐好用的代码段~~ 声明          欢迎转载,但请保留文章原始出处:          CSDN:http://www.csdn.net        ...

  5. 分配粒度和内存页面大小(x86处理器平台的分配粒度是64K,内存页是4K,所以section都是0x1000对齐,硬盘扇区大小是512字节,所以PE文件默认文件对齐是0x200)

    分配粒度和内存页面大小 x86处理器平台的分配粒度是64K,32位CPU的内存页面大小是4K,64位是8K,保留内存地址空间总是要和分配粒度对齐.一个分配粒度里包含16个内存页面. 这是个概念,具体不 ...

  6. 使用CreateFile, ReadFile, WriteFile在Windows NT/2000/XP下读写绝对扇区的方法

    也就是在CreateFile的时候打开文件名指定: "\\.\Device"就可以了. 因为代码比较短, 所以我不做注释, 相信大家看代码就能明白意思了. 另外这里读写的都是软盘A ...

  7. 使用Python学习win32库进行内存读写

    前言: 上一周,在52的精华帖中,看到有位大佬用Python制作了鬼泣5的修改器,看完才知道,原来Python也可以对内存进行操作,出于对技术的好奇,看完以后,决定自己也尝试一下. 要用到的工具: C ...

  8. 不同WINDOWS平台下磁盘逻辑扇区的直接读写

    不同WINDOWS平台下磁盘逻辑扇区的直接读写 关键字:VWIN32.中断.DeviceIoControl 一.概述 在DOS操作系统下,通过BIOS的INT13.DOS的INT25(绝对读).INT ...

  9. Linux中硬盘物理扇区与文件系统文件对应关系(转)

    1               概述 系统读写文件过程中,如下面内核打印信息,报告读写某个扇区错误.那么我们如何能够通过sector找到读写哪个文件错误? kernel: end_request: I ...

随机推荐

  1. C# HTTP 请求

    public class HttpHelper { /// <summary> /// 创建GET方式的HTTP请求 /// </summary> public static ...

  2. 替换SQL Server数据库中所有表的所有字段的某些内容

    declare @t varchar(255),@c varchar(255)  declare table_cursor cursor for select a.name,b.name  from  ...

  3. 20160322 javaweb 学习笔记--response 重定向

    //一般方法 response.setStatus(302); response.setHeader("Location", "/20160314/index.jsp&q ...

  4. .net的 async 和 await

    async 和 await 出现在C# 5.0之后,关系是两兄弟,Task是父辈,Thread是爷爷辈,这就是.net 多线程处理的东西,具体包括 创建线程,线程结果返回,线程中止,线程中的异常处理 ...

  5. IrisSkin4控件使用方法

    参考如下: 1. 将IrisSkin4.dll动态文件导入当前项目引用中.具体操作为:解决方案资源管理器->当前项目->引用->右键->添加引用,找到IrisSkin4.dll ...

  6. A题笔记(11)

    No.1508  代码:https://code.csdn.net/snippets/192058 考察点:①char型字符转换成对应的 ASKII 的编码 可以通过这样对 string 的每一个字符 ...

  7. Java工具类:获取long型唯一ID

    直接上代码: import java.text.SimpleDateFormat; import java.util.Date; /** * 获取long型唯一ID */ public class I ...

  8. Codevs 3287 货车运输 2013年NOIP全国联赛提高组(带权LCA+并查集+最大生成树)

    3287 货车运输 2013年NOIP全国联赛提高组 时间限制: 1 s 空间限制: 128000 KB 题目等级 : 钻石 Diamond 传送门 题目描述 Description A 国有 n 座 ...

  9. 青瓷qici - H5小游戏 抽奖机 2 界面布局

    背景图片 首先我们需要在当前场景下面创建UI的根节点,这个根节点决定了我们整个游戏的元素布局,以及适应多分辨率的缩放布局问题,所以我们其他的元素都要放在UIRoot下面. 考虑到我自己测试的时候在PC ...

  10. 国内各大互联网公司UED(用户体验设计)团队博客介绍

     UED是什么UED = user experience design,用户体验设计.UED的通常理解,就是“我们做的一切都是为了呈现在您眼前的页面”.UED团队包括:交互设计师(Interactio ...