当前位置：首页 > news >正文

基于元神操作系统实现NTFS文件操作（三）

news 2025/9/17 18:18:08

1. 背景

本文主要介绍DBR的读取和解析，并提供了基于元神操作系统的实现代码。由于解析DBR的目的是定位到NTFS磁盘分区的元文件$Root进行文件操作，所以只解析了少量的部分，其它部分可以参考相关文档进行理解。

DBR存在于磁盘分区的第一个扇区中，每个分区都有自己的DBR。要寻找DBR，只需定位到目标分区的开始位置即可，这通过前文中MBR的分区表实现，直接使用分区表项的第9-12字节即可。

2. 方法

（1）定位DBR

在MBR的起始地址上加0x1BE（即446），得到分区表的起始地址。假设要定位的磁盘分区是N号分区（N从0开始计数，0表示第一个分区，1表示第二个分区，依此类推），则在分区表起始地址上加16*N即可得到目标分区表项的起始地址，因为每个表项16字节。最后，在目标表项的0x08偏移开始的4个字节就是分区的起始扇区号，也就是定位DBR所需要的内容。

总结一下，定位DBR的公式形如：MBR_addr+0x1BE+16*N+0x08

（2）调用元神操作系统的API读取DBR

定位到DBR后使用API_READ_DISK_SECTOR调用元神操作系统的API来读取DBR，该操作实现在read_disk_dbr函数中，然后在主函数中的读取MBR之后添加对read_disk_dbr函数的调用，代码如下所示：

use32START:pushacall read_disk_mbrmov eax, 0call read_disk_dbr	;read dbr in partition eaxpopairetsector_dbr: times 512 db 0
partition_base dd 0
;input:
;	eax: index of partition to operate, 0 = first partition, 1 = second partition
read_disk_dbr:pushamov edi, API_PARAMmov dword [fs:edi], API_READ_DISK_SECTORmov dword [fs:edi+4], 2		;2 parametersmov ebx, sector_buffadd ebx, 0x1BE			;ebx point to partition tableshl eax, 4			    ;eax * 16add ebx, eax			;ebx point to dest partition itemadd ebx, 8			    ;ebx point to start sector no. of dest partitionmov edx, [ds:ebx]mov dword [fs:edi+8], edx	;parameter_1: sector no.mov [ds:partition_base], edxxor eax, eaxmov ax, dsadd eax, SEG_BASEmov bh,byte [fs:eax+7]mov bl,byte [fs:eax+4]shl ebx,16mov bx,word [fs:eax+2]add ebx, sector_dbrmov dword [fs:edi+12], ebx	;parameter_2: start address of buffercall pword [fs:OS_API]mov eax, 512movzx ebx, word [fs:cursor_y]movzx ecx, word [fs:cursor_x]mov esi, [fs:edi+12]call print_bytes_hexadd word [fs:cursor_y], 20.end:poparet

上述代码将磁盘第一个分区的DBR内容读取到sector_dbr缓冲区中，并以十六进制形式进行显示，结果如下图所示：

该图中显示的内容就是磁盘第一个分区的DBR内容。

注意：此处打印DBR内容的操作仅为讲解需要，后续操作追加之前应当注释掉read_disk_dbr函数中对于print_bytes_hex调用相关的部分，即注释掉call pword [fs:OS_API]之后的部分。

另外，函数read_disk_dbr需要提供一个输入参数“分区索引号”，根据该参数来定位到目标磁盘分区。本例代码中假设要操作的磁盘分区是第一个分区（即0号分区），该分区索引号在后续操作中可由上层应用提供，例如：读取文件“d2:\test.txt”操作，在文件名中用d2来指明要操作的文件位于磁盘的第二个分区中。

（3）解析DBR

DBR的内容共有512字节，前3个字节为跳转指令（跳转到引导代码处），之后的8个字节为文件系统的OEM标志字符串（如：“NTFS ”），再之后的若干字节记录了文件系统的重要信息，接下来的部分为引导代码，最后2个字节为标记字节（固定为55 AA）。

本文主要解析文件系统的重要信息部分，即偏移0x0B开始的若干字节。0x0B-0x0C表示每扇区的字节数；0x0D表示每簇的扇区数；0x15为介质描述符；0x18-0x19表示每磁道扇区数；0x1A-0x1B表示磁头数；0x1C-0x1F表示隐藏扇区数；0x28-0x2F表示该分区的总扇区数；0x30-0x37表示$MFT元文件的起始簇号；0x38-0x3F表示$MFT镜像文件的起始簇号；0x40为每个MFT记录所占的簇数；0x44为每索引所占的簇数；0x48-0x4F为分区的逻辑序列号；0x50-0x53为校验和。

结合上面的截图，0x0B-0x0C偏移处的值为00 02（即0x0200），表示每扇区大小为512字节；0x0D偏移处的值为08，表示每簇包含8个扇区；0x15偏移处的值为F8，表示硬盘；0x18-0x19偏移处的值为3F 00（即0x003F），表示每磁道含有63个扇区；0x1A-0x1B偏移处的值为F0 00（即0x00F0）；0x1C-0x1F偏移处的值为3F 00 00 00（即0x0000003F）；0x28-0x2F偏移处的值为C0 CE D4 01 00 00 00 00（即0x0000000001D4CEC0）；0x30-0x37偏移处的值为00 00 0C 00 00 00 00 00（即0x00000000000C0000），表示$MFT元文件的起始簇号为0x0C0000；0x38-0x3F偏移处的值为10 00 00 00 00 00 00 00（即0x0000000000000010）；0x40偏移处的值为F6；0x44偏移处的值为01；0x48-0x4F偏移处的值为89 91 30 D4 A9 30 D4 92。

其中，0x0D处的每簇扇区数、0x30-0x37处的$MFT元文件的起始簇号是后续操作中需要用到的信息，用于定位$Root元文件。

3. 总结

本文介绍了NTFS文件操作的第二步，即解析DBR。通过解析DBR可以获知分区的信息，并定位到元文件$MFT，以供后续读取$Root元文件使用。

安装元神操作系统的工具“元神操作系统安装器”可去网站www.gnxxkj.com进行下载。安装账号可去网址http://www.gnxxkj.com/app/wuziqi/register.php 进行注册。

基于元神操作系统实现NTFS文件操作（三）

相关文章：

基于元神操作系统实现NTFS文件操作（三）

深度学习与数学归纳法

《Linux从小白到高手》理论篇（六）：Linux软件安装一篇通

【Spring】运行Spring Boot项目，请求响应流程分析以及404和500报错

②EtherCAT转Modbus485RTU网关多路同步高速采集无需编程串口服务器

matlab-对比两张图片的HSV分量的差值并形成直方图

微服务SpringGateway解析部署使用全流程

Solidity 存储和内存管理：深入理解与高效优化

机器学习篇-day02-KNN算法实现鸢尾花模型和手写数字识别模型

【C++】STL--vector

Java使用Redis的详细教程

严重 Zimbra RCE 漏洞遭大规模利用（CVE-2024-45519）

php函数积累

前端项目场景相关的面试题，包含验证码、图片存储、登录鉴权、动态路由、组件划分等项目场景实际的面试题

uniapp 上了原生的 echarts 图表插件了兼容性还行

共享单车轨迹数据分析：以厦门市共享单车数据为例（八）

sentinel原理源码分析系列(二)-动态规则和transport

ubuntu切换源方式记录（清华源、中科大源、阿里源）

【10】纯血鸿蒙HarmonyOS NEXT星河版开发0基础学习笔记-泛型基础全解（泛型函数、泛型接口、泛型类）及参数、接口补充

2024年09月CCF-GESP编程能力等级认证C++编程一级真题解析

web vue 项目 Docker化部署

Flask RESTful 示例

今日科技热点速览

关键领域软件测试的突围之路：如何破解安全与效率的平衡难题

深度学习习题2

Aspose.PDF 限制绕过方案：Java 字节码技术实战分享（仅供学习）

基于 TAPD 进行项目管理

【Nginx】使用 Nginx+Lua 实现基于 IP 的访问频率限制

STM32HAL库USART源代码解析及应用

宇树科技，改名了！