Всем привет. Читаю сырой диск, хотелось бы знать, и пропускать кластера, которые относяться к pagefile... Как бы это сделать?
Ну например на FAT - просто сравнивай номер даного кластера с номерами кластеров pagefile из таблицы файлов. На ntfs - похоже но таблицы несколько другие
Да, вариант парсить файловую систему есть всегда, это понятно. Но я думал что он крайний . "Defragmenting Files " и "Disk Management Control Codes", или еще какая нибудь хрень есть? Так чтобы IOCTL послать, и все хорошо. Такого вот ниче нет?
поможет конечно, после того как хендл pagefils.sys получим... Собственно в получении хендла весь и вопрос... Код (Text): kd> x nt!MmPagingFile 8055f080 nt!MmPagingFile = <no type information> kd> dd 8055f080 8055f080 81218c00 00000000 00000000 00000000 kd> dt nt!_MMPAGING_FILE 81218c00 +0x000 Size : 0x18000 +0x004 MaximumSize : 0x30000 +0x008 MinimumSize : 0x18000 +0x00c FreeSpace : 0x15683 +0x010 CurrentUsage : 0x297c +0x014 PeakUsage : 0x3802 +0x018 Hint : 0 +0x01c HighestPage : 0 +0x020 Entry : [2] 0x81105868 _MMMOD_WRITER_MDL_ENTRY +0x028 Bitmap : 0xffb7a000 _RTL_BITMAP +0x02c File : 0x81194178 _FILE_OBJECT +0x030 PageFileName : _UNICODE_STRING "\??\C:\pagefile.sys" +0x038 PageFileNumber : 0 +0x03c Extended : 0 '' +0x03d HintSetToZero : 0 '' +0x03e BootPartition : 0x1 '' +0x040 FileHandle : 0x800004a8
