Как создать дамп растрового файла NTFS $

Для проекта я хочу получить список всех свободных / используемых кластеров в разделе NTFS. Для этого мне нужно сбросить файл $Bitmap и разобрать его содержимое.

В Интернете есть немного API и примеров, но, похоже, они не работают. Есть ли простой способ / пример кода, чтобы просто скопировать файл $Bitmap куда-нибудь.

Является ли использование FSCTL_GET_VOLUME_BITMAP единственным способом? В идеале я хотел бы сделать это в C#.

Источник

2 ответа

NFI.EXE, который является (раньше) частью "инструментов поддержки oem", может перечислять все элементы раздела NTFS. Он также может быть в состоянии сбросить содержимое $Bitmap.

Источник

Вы определенно хотите пойти легким путем и использовать IOCTL, а не пытаться читать $Bitmap непосредственно. Конечно, вам не нужно делать это самостоятельно, если кто-то сделал это для вас. Оказывается, блоггер MSDN уже написал для вас симпатичную небольшую обертку:

http://blogs.msdn.com/b/jeffrey_wall/archive/2004/09/13/229137.aspx

Весь класс содержит более 300 строк кода, поэтому я не буду публиковать все это, но вот функция, которая получает растровое изображение тома:

    /// <summary>
    /// Get cluster usage for a device
    /// </summary>
    /// <param name="DeviceName">use "c:"</param>
    /// <returns>a bitarray for each cluster</returns>
    static public BitArray GetVolumeMap(string DeviceName)
    {
        IntPtr pAlloc = IntPtr.Zero;
        IntPtr hDevice = IntPtr.Zero;

        try
        {
            hDevice = OpenVolume(DeviceName);

            Int64 i64 = 0;

            GCHandle handle = GCHandle.Alloc(i64, GCHandleType.Pinned);
            IntPtr p = handle.AddrOfPinnedObject();

            // alloc off more than enough for my machine
            // 64 megs == 67108864 bytes == 536870912 bits == cluster count
            // NTFS 4k clusters == 2147483648 k of storage == 2097152 megs == 2048 gig disk storage
            uint q = 1024 * 1024 * 64; // 1024 bytes == 1k * 1024 == 1 meg * 64 == 64 megs

            uint size = 0;
            pAlloc = Marshal.AllocHGlobal((int)q);
            IntPtr pDest = pAlloc;

            bool fResult = DeviceIoControl(
                hDevice,
                FSConstants.FSCTL_GET_VOLUME_BITMAP,
                p,
                (uint)Marshal.SizeOf(i64),
                pDest,
                q,
                ref size,
                IntPtr.Zero);

            if (!fResult)
            {
                throw new Exception(Marshal.GetLastWin32Error().ToString());
            }
            handle.Free();

            /*
            object returned was...
      typedef struct 
      {
       LARGE_INTEGER StartingLcn;
       LARGE_INTEGER BitmapSize;
       BYTE Buffer[1];
      } VOLUME_BITMAP_BUFFER, *PVOLUME_BITMAP_BUFFER;
            */
            Int64 StartingLcn = (Int64)Marshal.PtrToStructure(pDest, typeof(Int64));

            Debug.Assert(StartingLcn == 0);

            pDest = (IntPtr)((Int64)pDest + 8);
            Int64 BitmapSize = (Int64)Marshal.PtrToStructure(pDest, typeof(Int64));

            Int32 byteSize = (int)(BitmapSize / 8);
            byteSize++; // round up - even with no remainder

            IntPtr BitmapBegin = (IntPtr)((Int64)pDest + 8);

            byte[] byteArr = new byte[byteSize];

            Marshal.Copy(BitmapBegin, byteArr, 0, (Int32)byteSize);

            BitArray retVal = new BitArray(byteArr);
            retVal.Length = (int)BitmapSize; // truncate to exact cluster count
            return retVal;
        }
        finally
        {
            CloseHandle(hDevice);
            hDevice = IntPtr.Zero;

            Marshal.FreeHGlobal(pAlloc);
            pAlloc = IntPtr.Zero;
        }
    }
Источник
Другие вопросы по тегам