jnsqs 发表于 2012-9-14 06:24 static/image/common/back.gif
是编译过的程序。
哦 如果只是编译过的程序的话 吸引力不大...
近日收到《人民邮电出版社》的责任编辑发来的邮件,通知我《NTFS文件系统扇区存储探秘》一书印刷完成,很快就能在全国的书店上架销售,在此告知关注此书的朋友,敬请留意。
白玉箫 发表于 2012-9-19 09:35 static/image/common/back.gif
哦 如果只是编译过的程序的话 吸引力不大...
这本书主要是分析NTFS文件系统的扇区存储规律,而不是讲如何编程,如果将程序代码都放到书里,书的篇幅就太大了。
标题原来是 “《NTFS文件系统扇区存储探秘》一书用哪一个封面好呢?”,发这个帖子的时候,此书还没有出版。现在书已经出版了,各大网店都已经上架销售。我想将书中的程序陆续在本论坛发出来,需要把原来的标题改成“《NTFS文件系统扇区存储探秘》一书的程序下载”,可是不知道如何修改标题,请了解的给说一下。。
“监视0磁道变化. exe”程序在日常的硬盘维护中,能得到很广泛地应用。由于0磁道及其63个扇区的特殊性,它成为很多软件隐藏代码的地方。其中有操作系统、应用软件、BIOS功能扩展程序和病毒程序等。经常观察0磁道的数据变化,能发现很多不为人知的软件机密。
应用之一,清除软件垃圾。
笔者所说的软件垃圾,是指某些软件卸载或被删除以后,仍然遗留在0磁道扇区中的程序代码。这些程序代码在硬盘正常使用的过程中,是不会被清除的。即使硬盘格式化(指高级格式化),甚至于重新分区,对它们也无能为力。
这些代码已经失去了正常的功能,但有时却会产生一些破坏作用。
现举一例说明这个问题。EZ-Drive是BIOS功能扩展程序,由于一些老主板上的BIOS程序,不能识别大容量硬盘,所以硬盘生产厂开发出BIOS功能扩展程序,随硬盘送给购买者。该程序能接替主板BIOS,实现对大容量硬盘的管理。
安装了EZ-Drive程序以后,再运行“监视0磁道变化. exe”,会发现0磁道的很多扇区数据发生了变化,数量有20几个之多。这其实是该程序的执行代码,这些代码不能放在数据区中,因为有可能被删除或被格式化,大硬盘的管理功能也就随着消失了。
所以该程序选择了一个非常安全,而又被系统弃之不用的区域放置其代码,这就是0磁道的2-63扇区。
当操作者不想再使用该程序时,却发现该程序的卸载不太容易操作。有时卸载不彻底,残存的代码在硬盘启动时就出来捣乱,又找不到解决的办法,很让操作者头痛。
用本书介绍的工具程序,可以很容易地彻底清除其残留代码。在安装BIOS功能扩展程序EZ-Drive之前,先运行“监视0磁道变化. exe”程序,将0磁道的扇区数据保存到文件中备份。安装EZ-Drive之后,再运行“监视0磁道变化. exe”程序,将显示的数据与先前备份到文件中的数据进行比较,就能发现哪些扇区被写入了代码。
卸载EZ-Drive以后,可以运行第4.2节介绍的“写硬盘扇区数据. exe”程序,将写入代码的扇区清零,就能彻底消除其后遗症。
应用之二,识别软件保护。
有些软件在安装时,将一些特殊标记写入0磁道的某个扇区中,其目的是为了保护自己的知识产权。如果对这些扇区中的数据进行分析,就有可能了解到该软件的保护方法。
应用之三,清除潜伏病毒。
有些病毒程序将其激活代码写入0磁道的扇区中,等到病毒作者设定的条件成立时,使病毒发作。经常运行工具程序“监视0磁道变化. exe”,查看0磁道的数据变化,当发现有新写入的可疑数据时,及时将其删除。就能使这类病毒失去激活的条件,防患于未然。
刚刚找到这本书,订购了一本看看
学习啦!!!
谢谢楼主。。
在使用物理硬盘扇区读写技术,探索文件系统的扇区存储规律时,经常需要了解哪些扇区被写入了数据,以及写入的是什么数据。
如果所使用的硬盘是一块新硬盘,则比较容易观察与判断,因为新硬盘中扇区的原始状态都是空白,写入的数据显示出来以后操作者就能一目了然。如果是一块使用了一段时间的硬盘,则由于频繁地存取文件,甚至于经过多次分区与格式化,写入的数据就不那么容易查找了。
在这种情况下,可以先将某一个区间的扇区清零,然后再进行试验操作,操作者就能很容易找出写入的数据。
本章介绍的工具程序,能根据操作者指定的扇区区间,自动将区间内的所有扇区全部清零,操作起来省时省力。
『WinHex + 模板』 更新至 WinHex_16.6
觉得第三张做封面可以!