是否取消该功能：WIMNT根据WIM文件的只读属性决定挂载方式

123

原帖由 nn2nn 于 2007-12-18 15:59 发表
NTFS权限还没迫着我去看它，所以不了解。

在XP和PE下，不特意支搞，也没有这方面问题。

关键是我想知道它是不是靠文件属性来确定是否能可写挂载，如果是你，你会在打开文件前先读一下它的属性吗？

123

写个驱动，HOOK ZwCreateFile，先调用真的函数打开，如果失败改为读属性方式（就算被独占访问的文件也可以看它的属性），成功的话改句柄为AC_GENERIC_ALL。我在虚拟机里测试可以HOOK，不过没测试WIM。
如果能用的话你自己在你的程序里动态加载。
我测试读只读属性的文件时读文件属性出错，不知要怎么写。 hookfile.rar (117.27 KB, 下载次数: 244)

2007-12-18 18:47 上传

点击文件名下载附件
下载积分: 无忧币 -2

[ 本帖最后由 123 于 2007-12-18 06:47 PM 编辑 ]

123

monitor是drivestudio里的调试工具,可以看到驱动的调试信息,可能缺少某些文件

123

没时间搞了,懂驱动的帮忙搞搞

123

但不用读属性直接以读写方式打开只读属性文件也会返回错误,判断属性由底层API完成

123

一般都是不管属性直接打开,如果返回失败就认为文件不可写,事先读属性完全是多余的,读属性也要打开文件何必呢

123

FBWF后的ISO却可以,想不出原因,用GETLASTERROR函数获得错误号查表就知道原因了

123

我还以为那些挂到SYSTEM32的是ISO,多个驱动HOOK同一个API时后一个驱动优先

lintel

不太理解，学ING

无优处男

进一问下，绕月卫星回来了没？

123

我在虚拟机里测试可以用记事本修改只读文件！换我写的加载程序。

123

如果这次可以用,就不用考虑是否取消该功能了

123

为什要换机试?

zyy

我是菜鸟，刚看贴时想投票 保留 的，看完各位的评论后也不知道该投什么了，还是等看看各位以后的评论再投吧。
又学习到好东东啦！

123

那就不是可写方式打不开只读文件的原因了,唯一的办法就是通过错误号查找原因

123

原帖由 nn2nn 于 2007-12-20 10:39 发表
可能真是在打开前，检测下WIM文件的属性，是只读的就不能可写挂载。

判断文件是否可写最快最有效的方法是可写打开，判断文件是否可读最快最有效的方法是只读打开，打开前检测属性效率至少降一大半，微软真的会那么笨？

123

我用WIMNT可写挂载只读WIM文件，直接显示挂载失败，驱动没有HOOK到任何信息，而用只读挂载是可以HOOK到的。

123

测试发现，WINRAR在修改只读文件时会提示只读属性，看来真的要HOOK属性了
还发现写字板修改只读文件后保存时会弹出另存为对话框，虽然也能覆盖，但如果属性不是只读的话就不会弹出另存为，还是要先读属性。
读属性好像是
NTSTATUS
  ZwQueryInformationFile(
    IN HANDLE  FileHandle,
    OUT PIO_STATUS_BLOCK  IoStatusBlock,
    OUT PVOID  FileInformation,
    IN ULONG  Length,
    IN FILE_INFORMATION_CLASS  FileInformationClass
    );

再HOOK一下，原来ZWCREATEFILE还是要的。

[ 本帖最后由 123 于 2007-12-20 11:23 AM 编辑 ]