编程实现对硬盘全盘数据进行读写数据擦除

Hostess

发布日期: 2018-12-19 09:33:30 浏览量: 1157
评分:
star star star star star star star star star_border star_border
*转载请注明来自write-bug.com

背景

在 XP 系统下下,我们可以直接调用 WirteFile 函数对磁盘写入数据,但到了 Windows 7 以及 Windows 7 版本以上的系统,就已经开始变得不那么简单了。

在 Windows 7 及以上版本中,对文件系统和存储堆栈进行的更改,限制对磁盘和卷的直接访问,但是,在以下情况,存储驱动器可以写入磁盘句柄:

  • 正要写入的扇区不位于卷内(空隙块与分区表)。注意:程序使用卷之外的扇区来存储元数据。分区表也位于卷之外的扇区中。由于这些扇区不受任何文件系统的控制,因此没有理由阻止对这些扇区的访问

  • 已经通过锁定请求或卸载请求显式锁定卷

  • 正要写入的扇区位于未安装或者无文件系统的卷内(这个是原生磁盘块,没有受操作系统的管理,当然可以随便写)

本文介绍的是使用第 2 种方法,通过锁定请求或卸载请求显式锁定卷来实现对磁盘数据的读写。现在把实现过程的实现原理整理成文档,分享给大家。

实现原理

我们对于磁盘空隙块与分区表等磁盘位置是可以像 XP 系统那样直接使用 WriteFile 函数写的,但对于盘的数据区的写入则应该采用显式锁定的已安装卷或卸载请求显式锁定卷。

一般是采用 FSCTL_DISMOUNT_VOLUME,FSCTL_LOCK_VOLUME 的前提是没有程序占用该盘的文件,所以可能会失败,FSCTL_DISMOUNT_VOLUME 是强制型的,当我们强制卸载请求显式锁定卷后,一些正在占用磁盘的程序会出现崩溃,原因是它不能读盘上资源。但是,要注意的是,对于FSCTL_DISMOUNT_VOLUME, 如果指定的卷是系统卷或包含页面文件,则操作失败,所以不能对系统盘强制卸载成功。

首先,我们先介绍第一种方式:锁定请求显式锁定卷。

  • 首先,我们使用 CreateFile 打开逻辑卷,获取句柄

  • 然后,我们就可以使用 DeviceIoControl 传递 FSCTL_LOCK_VOLUME 控制码,锁定请求显式锁定卷

  • 那么,这时,我们就可以通过 SetFilePointer 一定文件指针,使用 WriteFile 函数对磁盘数据进行写入

  • 写入完成后,还需使用 DeviceIoControl 传递 FSCTL_UNLOCK_VOLUME 控制码,解锁请求显式锁定卷

  • 最后,我们便可以关闭文件句柄,完成操作

然后,我们介绍第二种方式:卸载请求显式锁定卷。

  • 首先,我们使用 CreateFile 打开逻辑卷,获取句柄

  • 然后,我们就可以使用 DeviceIoControl 传递 FSCTL_DISMOUNT_VOLUME 控制码,卸载请求显式锁定卷

  • 那么,这时,我们就可以通过 SetFilePointer 一定文件指针,使用 WriteFile 函数对磁盘数据进行写入

  • 最后,我们便可以关闭文件句柄,完成操作

这就是本文介绍的两种方法。要注意,使用CreateFile打开设备的时候,名称不能为\\\\.\\PHYSICALDRIVEn(n为0-256),即物理磁盘,只能对逻辑分区锁定与卸载操作。而且,这两种方法,都不能对系统盘进行操作。

编码实现

数据读取

  1. // 读取指定扇区数据
  2. BOOL ReadDisk(char cDriver, ULONGLONG ullOffsetSector, BYTE *pData)
  3. {
  4. DWORD dwRet = 0;
  5. BOOL bRet = FALSE;
  6. char szDriver[MAX_PATH] = { 0 };
  7. // \\\\.\\C:
  8. ::wsprintf(szDriver, "\\\\.\\%c:", cDriver);
  9. // 打开硬盘物理设备
  10. HANDLE hDisk = ::CreateFile(szDriver, GENERIC_READ | GENERIC_WRITE,
  11. FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, OPEN_EXISTING,
  12. FILE_ATTRIBUTE_ARCHIVE, NULL);
  13. if (INVALID_HANDLE_VALUE == hDisk)
  14. {
  15. ShowError("CreateFile");
  16. return FALSE;
  17. }
  18. // 移动文件指针到指定扇区偏移
  19. LARGE_INTEGER li = { 0 };
  20. li.QuadPart = SECTOR_SIZE * ullOffsetSector;
  21. ::SetFilePointer(hDisk, li.LowPart, &li.HighPart, FILE_BEGIN);
  22. // 读取数据
  23. bRet = ::ReadFile(hDisk, pData, SECTOR_SIZE, &dwRet, NULL);
  24. if (FALSE == bRet)
  25. {
  26. ShowError("ReadFile");
  27. return FALSE;
  28. }
  29. // 关闭句柄
  30. ::CloseHandle(hDisk);
  31. return TRUE;
  32. }

锁定请求显式锁定卷方式写入数据

  1. // 写入指定扇区数据 方法一 锁定请求显式锁定卷
  2. BOOL WriteDisk_Lock(char cDriver, ULONGLONG ullOffsetSector, BYTE *pData)
  3. {
  4. DWORD dwRet = 0;
  5. BOOL bRet = FALSE;
  6. char szDriver[MAX_PATH] = { 0 };
  7. // \\\\.\\C:
  8. ::wsprintf(szDriver, "\\\\.\\%c:", cDriver);
  9. // 打开硬盘物理设备
  10. // 这里名称不能为\\\\.\\PHYSICALDRIVEn(n为0-256),即物理磁盘,只能对逻辑分区锁定与DISMOUNT操作
  11. HANDLE hDisk = ::CreateFile(szDriver, GENERIC_READ | GENERIC_WRITE,
  12. FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, OPEN_EXISTING,
  13. FILE_ATTRIBUTE_ARCHIVE, NULL);
  14. if (INVALID_HANDLE_VALUE == hDisk)
  15. {
  16. ShowError("CreateFile");
  17. return FALSE;
  18. }
  19. // 锁定请求显式锁定卷
  20. bRet = ::DeviceIoControl(hDisk, FSCTL_LOCK_VOLUME, NULL, 0, NULL, 0, &dwRet, NULL);
  21. if (FALSE == bRet)
  22. {
  23. ShowError("DeivceIoControl");
  24. return FALSE;
  25. }
  26. // 移动文件指针到指定扇区偏移
  27. LARGE_INTEGER li = { 0 };
  28. li.QuadPart = SECTOR_SIZE * ullOffsetSector;
  29. ::SetFilePointer(hDisk, li.LowPart, &li.HighPart, FILE_BEGIN);
  30. // 写入数据
  31. bRet = ::WriteFile(hDisk, pData, SECTOR_SIZE, &dwRet, NULL);
  32. if (FALSE == bRet)
  33. {
  34. ShowError("WriteFile");
  35. return FALSE;
  36. }
  37. // 解锁请求显式锁定卷
  38. bRet = ::DeviceIoControl(hDisk, FSCTL_UNLOCK_VOLUME, NULL, 0, NULL, 0, &dwRet, NULL);
  39. if (FALSE == bRet)
  40. {
  41. ShowError("DeivceIoControl");
  42. return FALSE;
  43. }
  44. // 关闭句柄
  45. ::CloseHandle(hDisk);
  46. return TRUE;
  47. }

卸载请求显式锁定卷方式写入数据

  1. // 写入指定扇区数据 方法二 卸载请求显式锁定卷
  2. BOOL WriteDisk_Dismount(char cDriver, ULONGLONG ullOffsetSector, BYTE *pData)
  3. {
  4. DWORD dwRet = 0;
  5. BOOL bRet = FALSE;
  6. char szDriver[MAX_PATH] = { 0 };
  7. // \\\\.\\C:
  8. ::wsprintf(szDriver, "\\\\.\\%c:", cDriver);
  9. // 打开硬盘物理设备
  10. // 这里名称不能为\\\\.\\PHYSICALDRIVEn(n为0-256),即物理磁盘,只能对逻辑分区锁定与DISMOUNT操作
  11. HANDLE hDisk = ::CreateFile(szDriver, GENERIC_READ | GENERIC_WRITE,
  12. FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, OPEN_EXISTING,
  13. FILE_ATTRIBUTE_ARCHIVE, NULL);
  14. if (INVALID_HANDLE_VALUE == hDisk)
  15. {
  16. ShowError("CreateFile");
  17. return FALSE;
  18. }
  19. // 卸载请求显式锁定卷
  20. bRet = ::DeviceIoControl(hDisk, FSCTL_DISMOUNT_VOLUME, NULL, 0, NULL, 0, &dwRet, NULL);
  21. if (FALSE == bRet)
  22. {
  23. ShowError("DeivceIoControl");
  24. return FALSE;
  25. }
  26. // 移动文件指针到指定扇区偏移
  27. LARGE_INTEGER li = { 0 };
  28. li.QuadPart = SECTOR_SIZE * ullOffsetSector;
  29. ::SetFilePointer(hDisk, li.LowPart, &li.HighPart, FILE_BEGIN);
  30. // 写入数据
  31. bRet = ::WriteFile(hDisk, pData, SECTOR_SIZE, &dwRet, NULL);
  32. if (FALSE == bRet)
  33. {
  34. ShowError("WriteFile");
  35. return FALSE;
  36. }
  37. // 关闭句柄
  38. ::CloseHandle(hDisk);
  39. return TRUE;
  40. }

程序测试

我们在 main 函数中调用上面的函数进行测试,向非系统盘 E 盘读取并使用 3 种方式写入数据,测试结果如下所示:

数据读取成功,直接调用 WriteFile 函数写入数据方式失败;使用锁定请求显式锁定卷方式失败;使用卸载请求显式锁定卷方式成功。

总结

要注意两点:一是使用 CreateFile 打开设备的时候,名称不能为\\\\.\\PHYSICALDRIVEn(n为0-256),即物理磁盘,只能对逻辑分区锁定与卸载操作。二是,本文介绍的这两种方法,都不能对系统盘进行操作。

参考

参考自《Windows黑客编程技术详解》一书

上传的附件 cloud_download Disk_ReadWrite_Test.7z ( 153.31kb, 15次下载 )

发送私信

真正的离开没有告别,悄无声息

15
文章数
10
评论数
最近文章
eject