NTFS ADS (Alternative Data Streams)

← →
AlexRush © (2003-08-04 15:24) [0]

Как осуществлять поиск subj ?

← →
ZZ © (2003-08-04 16:12) [1]

Чего хочу моя есть никак не понять :)) Кого и где ты собрался искать?

← →
Reindeer Moss Eater (2003-08-04 16:25) [2]

Никак не найти. Надо заранее знать имена потоков.
Хотя сами такие файлы найти возможно.

← →
Е-Моё имя © (2003-08-04 16:58) [3]

поищи в сети-есть утилиты для их поиска
у меня дома есть, но как называется-не помню

← →
AlexRush © (2003-08-04 17:04) [4]

2Reindeer Moss Eater > Хотя сами такие файлы найти возможно. - "такие файлы" -- это ( :$DATA) 2Reindeer Moss Eater > Хотя сами такие файлы найти возможно. - "такие файлы" -- это файлы, которые имеют более одного (:$DATA) потока ? Если да, то как их обнаружить ?

2All под "поиском" я понимаю поиск средствами API (документированного или нет) но не работы с файловой системой через драйвер.

← →
Reindeer Moss Eater (2003-08-04 18:12) [5]

Если да, то как их обнаружить ?

Косвенно. Например размер файла большой, а внутри какжется что пусто (Данные в доп. потоках)

← →
Е-Моё имя © (2003-08-04 18:52) [6]

размер файла не учитывает дополнительные потоки

← →
Е-Моё имя © (2003-08-04 18:53) [7]

в доп. потоке можно спрятать несколько гиг, а файл будет трехбайтовый, с известными тремя буквами ;))

← →
AlexRush © (2003-08-04 18:56) [8]

2Reindeer Moss Eater (04.08.03 18:12), вообще-то Е-Моё имя © (04.08.03 18:53) прав.

← →
AlexRush © (2003-08-04 19:01) [9]

Ставим вопрос более конкретно:
Можно ли с пом. стандартного набора API-функций (как документированных, так и нет) найти дополнительные ADS (кроме умалчиваемого :$DATA) не зная имен потоков ?
или же...
зная имя файла, определить, есть ли у него дополнительные ADS ?

← →
ZZ © (2003-08-04 19:21) [10]

А что, в msdn ничего? Например про BackupRead..
А :$DATA не самый умалчиваемый :)

← →
AlexRush © (2003-08-04 20:31) [11]

2ZZ © (04.08.03 19:21)

BackupRead processes all of the data pertaining to an opened object as a series of discrete byte streams. Each stream is preceded by a 32-bit aligned WIN32_STREAM_ID structure.
- Я вот не понял: BackupRead возвращает массив (выровненный) структур WIN32_STREAM_ID за один вызов, или одну ?

Сколько не передай в nNumberOfBytesToRead, lpNumberOfBytesRead столько и содержит (вернет)...
и еще момент: If the function returns a nonzero value, and the variable pointed to by lpNumberOfBytesRead is zero, then all the data associated with the file handle has been read. - что-то у меня никогда она zero не бывает :(

Ежели не затруднит, объясни вышеозначенные моменты.

← →
Alex Konshin © (2003-08-05 06:23) [12]

http://www.sysinternals.com/ntw2k/source/misc.shtml#Streams

Вот накатал примерчик... вроде даже работает :))
procedure TForm1.Button1Click(Sender: TObject); var hFile : THandle; Ptr : Pointer; Sid : LPWIN32_STREAM_ID; cbReaded: Cardinal; dwLow,dwHigh: Cardinal; begin hFile:=CreateFile("C:\test1.txt",GENERIC_READ,0,nil,OPEN_EXISTING,0,0); if hFile=INVALID_HANDLE_VALUE then ShowMessage(SysErrorMessage(getLastError)); GetMem(Sid,4096); ptr:=nil; while (true) do begin ZeroMemory(Sid,4096); if (not BackupRead(hFile,Pointer(Sid),20,cbReaded,false,true,ptr)) then ShowMessage(SysErrorMessage(getLastError)); if (cbReaded=0) then break; if (not BackupRead(hFile,PByte(Cardinal(Sid)+20),Sid.dwStreamNameSize,cbReaded,false,true,ptr)) then ShowMessage(SysErrorMessage(getLastError)) ( 0,@Sid.cStreamName,"Stream",0) Вот накатал примерчик... вроде даже работает :)) procedure TForm1.Button1Click(Sender: TObject); var hFile : THandle; Ptr : Pointer; Sid : LPWIN32_STREAM_ID; cbReaded: Cardinal; dwLow,dwHigh: Cardinal; begin hFile:=CreateFile("C:\test1.txt",GENERIC_READ,0,nil,OPEN_EXISTING,0,0); if hFile=INVALID_HANDLE_VALUE then ShowMessage(SysErrorMessage(getLastError)); GetMem(Sid,4096); ptr:=nil; while (true) do begin ZeroMemory(Sid,4096); if (not BackupRead(hFile,Pointer(Sid),20,cbReaded,false,true,ptr)) then ShowMessage(SysErrorMessage(getLastError)); if (cbReaded=0) then break; if (not BackupRead(hFile,PByte(Cardinal(Sid)+20),Sid.dwStreamNameSize,cbReaded,false,true,ptr)) then ShowMessage(SysErrorMessage(getLastError)) else MessageBoxW(0,@Sid.cStreamName,"Stream",0); BackupSeek(hFile,Sid.Size.LowPart,Sid.Size.HighPart,dwLow,dwHigh,@ptr); end; FreeMem(Sid); CloseHandle(hFile); end;

Чуть не забыл
type _WIN32_STREAM_ID = record dwStreamId : Cardinal; dwStreamAttributes : Cardinal; Size : LARGE_INTEGER; dwStreamNameSize : Cardinal; cStreamName : array[0..0] of WideChar; end; LPWIN32_STREAM_ID = ^_WIN32_STREAM_ID;

2ZZ
Действительно работает! :)
Но есть непонятки:
MSDN> nNumberOfBytesToRead
[in] Specifies the length of the buffer. The buffer size must be greater than the size of a WIN32_STREAM_ID structure.

sizeof(WIN32_STREAM_ID) == 24,так как структура выровненная, а ты передаешь 20 (?)
...сюда же PByte(Cardinal(Sid) +20)

Ну я пропустил первые 20 (DWORD*3 + LARGE_INTEGER*1) байт.. А это как раз будет cStreamName[0].. вроде так :))

2ZZ © (05.08.03 12:18) - ну это, что касается PByte(Cardinal(Sid)+20).. это понял :) а первый раз 20 в nNumberOfBytesToRead ?

NTFS ADS (Alternative Data Streams) - поиск Найти похожие ветки