找回密码
 立即注册→加入我们

QQ登录

只需一步,快速开始

搜索
热搜: 下载 VB C 实现 编写
查看: 6691|回复: 4

论磁盘内存映射

[复制链接]
发表于 2015-6-28 23:20:19 | 显示全部楼层 |阅读模式

欢迎访问技术宅的结界,请注册或者登录吧。

您需要 登录 才可以下载或查看,没有账号?立即注册→加入我们

×
       这个题目有点眼熟吧,文件内存映射用的比较多,用于大文件读写效率较高。其原理是将映射的内存页的来源标记为磁盘驱动器,这样对地址的读写产生中断时,会直接操作磁盘,这样对打文件的读写速度提高很多。然而这种技术微软只用在文件上,对于目录、磁盘和设备均不能使用。而普通缓冲区buffer方式读写,总是要有内存拷贝,所以相对慢一些,在我3年前做数据恢复的时候,为了研究大文件恢复接触到文件内存映射,第一次就很纳闷到底有没有磁盘映射,这样我就不需要总是读来读去。下面给出这2种方式的区别:
Buffered方式:
CreateFile
ReadFile/WriteFile
CloseHandle

mapping方式:
CreateFile
CreateFileMapping
MapViewOfFile
  指针操作
UnmapViewOfFile
CloseHandle
CloseHandle

       在这里我对相关内核API做了逆向和破解,写了一个驱动支持对于磁盘实现内存映射。主要是对IRP_MJ_QUERY_INFORMATION和FastIoQueryStandardInfo的hook,代码如下:
驱动层:

  1. #include <ntddk.h>
  2. #include "DeviceMappingCommon.h"

  3. typedef struct _DEVICE_MAPPING
  4. {
  5.         HANDLE hDevice;
  6.         PFILE_OBJECT pFileObject;
  7.         LARGE_INTEGER dwMaximumSize;
  8. }DEVICE_MAPPING, *PDEVICE_MAPPING;

  9. PDEVICE_MAPPING gMappingData = NULL;
  10. PDRIVER_DISPATCH OriginQuery = NULL;
  11. PFAST_IO_QUERY_STANDARD_INFO OriginFastDispatch = NULL;
  12. FAST_MUTEX gLock;

  13. extern "C"
  14. {
  15.         BOOLEAN NTAPI ObFindHandleForObject(PEPROCESS, PVOID, PVOID, PVOID, PHANDLE);
  16.         NTSTATUS NTAPI NtQueryVolumeInformationFile (HANDLE, PIO_STATUS_BLOCK, PVOID, ULONG, FS_INFORMATION_CLASS);
  17. }

  18. VOID DeviceMappingDriverUnload(PDRIVER_OBJECT DriverObject)
  19. {
  20.         ExAcquireFastMutex(&gLock);
  21.         if(gMappingData)
  22.         {
  23.                 ExFreePool((PVOID)gMappingData);
  24.                 gMappingData = NULL;
  25.         }
  26.         ExReleaseFastMutex(&gLock);
  27.         if(DriverObject->DeviceObject)
  28.         {
  29.                 UNICODE_STRING DriverName;
  30.                 RtlInitUnicodeString(&DriverName, L"\\Device\\DeviceMapping");
  31.                 IoDeleteSymbolicLink(&DriverName);
  32.                 IoDeleteDevice(DriverObject->DeviceObject);
  33.         }
  34.         return;
  35. }

  36. NTSTATUS DeviceMappingQueryInformation(PDEVICE_OBJECT pDevObj, PIRP pIrp)
  37. {
  38.         PIO_STACK_LOCATION stack = IoGetCurrentIrpStackLocation(pIrp);
  39.         if(stack->Parameters.QueryFile.FileInformationClass == FileStandardInformation && stack->FileObject)
  40.         {
  41.                 HANDLE hDevice = NULL;
  42.                 BOOLEAN IsRef = FALSE;
  43.                 ExAcquireFastMutex(&gLock);
  44.                 if(gMappingData && stack->FileObject == gMappingData->pFileObject)
  45.                 {
  46.                         PFILE_STANDARD_INFORMATION FileInformation = (PFILE_STANDARD_INFORMATION)pIrp->AssociatedIrp.SystemBuffer;
  47.                         FileInformation->EndOfFile.QuadPart = gMappingData->dwMaximumSize.QuadPart;
  48.                         pIrp->IoStatus.Status = STATUS_SUCCESS;
  49.                         pIrp->IoStatus.Information = sizeof(FILE_STANDARD_INFORMATION);
  50.                         IoCompleteRequest(pIrp, IO_NO_INCREMENT);
  51.                         IsRef = TRUE;
  52.                 }
  53.                 ExReleaseFastMutex(&gLock);
  54.                 if(IsRef)
  55.                         return STATUS_SUCCESS;
  56.         }
  57.         OriginQuery(pDevObj, pIrp);
  58. }

  59. BOOLEAN DeviceMappingFastIo(PFILE_OBJECT FileObject, BOOLEAN Wait, PFILE_STANDARD_INFORMATION Buffer,PIO_STATUS_BLOCK IoStatus,struct _DEVICE_OBJECT *DeviceObject)
  60. {
  61.         BOOLEAN ret = OriginFastDispatch(FileObject, Wait, Buffer, IoStatus, DeviceObject);
  62.         ExAcquireFastMutex(&gLock);
  63.         if(FileObject == gMappingData->pFileObject)
  64.         {
  65.                 Buffer->Directory = FALSE;
  66.         }
  67.         ExReleaseFastMutex(&gLock);
  68.         return ret;
  69. }

  70. NTSTATUS DeviceMappingIOControl(PDEVICE_OBJECT pDevObj, PIRP pIrp)
  71. {
  72.         NTSTATUS status = STATUS_SUCCESS;
  73.         PIO_STACK_LOCATION stack = IoGetCurrentIrpStackLocation(pIrp);
  74.         ULONG cbin = stack->Parameters.DeviceIoControl.InputBufferLength;
  75.         ULONG cbout = stack->Parameters.DeviceIoControl.OutputBufferLength;
  76.         ULONG code = stack->Parameters.DeviceIoControl.IoControlCode;
  77.         ULONG info = 0;
  78.         switch(code)
  79.         {
  80.         case IOCTL_ENABLE_DEVICEMAPPING:
  81.                 {
  82.                         DEVICE_MAPPING tmp;
  83.                         PFILE_OBJECT fo = NULL;
  84.                         PDRIVER_DISPATCH* ppdd = NULL;
  85.                         PFAST_IO_QUERY_STANDARD_INFO* ppfiqsi = NULL;
  86.                         DEVICEMAPPING_IOCTL_DATA* InputBuffer = (DEVICEMAPPING_IOCTL_DATA*)pIrp->AssociatedIrp.SystemBuffer;
  87.                         RtlZeroMemory(&tmp, sizeof(tmp));
  88.                         tmp.hDevice = InputBuffer->hDevice;
  89.                         status = ObReferenceObjectByHandle(InputBuffer->hDevice, NULL, *IoFileObjectType, KernelMode, (PVOID*)&fo, NULL);
  90.                         if(NT_SUCCESS(status))
  91.                         {
  92.                                 tmp.pFileObject = fo;
  93.                                 PDEVICE_OBJECT  relatedevice = IoGetRelatedDeviceObject(fo);
  94.                                 PDRIVER_OBJECT relatedriver = NULL;
  95.                                 PFAST_IO_DISPATCH relatedfastdispatch = NULL;
  96.                                 tmp.dwMaximumSize.QuadPart = InputBuffer->size;
  97.                                 if(relatedriver = relatedevice->DriverObject)
  98.                                 {
  99.                                         OriginQuery = relatedriver->MajorFunction[IRP_MJ_QUERY_INFORMATION];
  100.                                         ppdd = &relatedriver->MajorFunction[IRP_MJ_QUERY_INFORMATION];
  101.                                         relatedfastdispatch = relatedriver->FastIoDispatch;
  102.                                         if(relatedfastdispatch && relatedfastdispatch->FastIoQueryStandardInfo)
  103.                                         {
  104.                                                 OriginFastDispatch = relatedfastdispatch->FastIoQueryStandardInfo;
  105.                                                 ppfiqsi = &relatedfastdispatch->FastIoQueryStandardInfo;
  106.                                         }
  107.                                 }
  108.                                 ObDereferenceObject(fo);
  109.                         }
  110.                         ExAcquireFastMutex(&gLock);
  111.                         if(gMappingData)
  112.                         {
  113.                                 ExFreePool((PVOID)gMappingData);
  114.                                 gMappingData = NULL;
  115.                         }
  116.                         gMappingData = (DEVICE_MAPPING*)ExAllocatePool(NonPagedPool,sizeof(DEVICE_MAPPING));
  117.                         if(gMappingData && ppdd)
  118.                         {
  119.                                 RtlCopyMemory(gMappingData, &tmp, sizeof(DEVICE_MAPPING));
  120.                                 *ppdd = DeviceMappingQueryInformation;
  121.                                 if(ppfiqsi)
  122.                                 {
  123.                                         *ppfiqsi = DeviceMappingFastIo;
  124.                                 }
  125.                         }
  126.                         ExReleaseFastMutex(&gLock);
  127.                         break;
  128.                 }
  129.         case IOCTL_DISABLE_DEVICEMAPPING:
  130.                 {
  131.                         ExAcquireFastMutex(&gLock);
  132.                         if(gMappingData)
  133.                         {
  134.                                 PFILE_OBJECT fo = NULL;
  135.                                 PDEVICE_OBJECT relatedevice = NULL;
  136.                                 PDRIVER_OBJECT relatedriver = NULL;
  137.                                 status = ObReferenceObjectByHandle(gMappingData->hDevice, NULL, *IoFileObjectType, KernelMode, (PVOID*)&fo, NULL);
  138.                                 if(NT_SUCCESS(status))
  139.                                 {
  140.                                         relatedevice = IoGetRelatedDeviceObject(fo);
  141.                                         if(relatedevice)
  142.                                                 relatedriver = relatedevice->DriverObject;
  143.                                         if(relatedriver && relatedriver->MajorFunction[IRP_MJ_QUERY_INFORMATION] == DeviceMappingQueryInformation)
  144.                                         {
  145.                                                 relatedriver->MajorFunction[IRP_MJ_QUERY_INFORMATION] = OriginQuery;
  146.                                         }
  147.                                         if(relatedriver && relatedriver->FastIoDispatch && relatedriver->FastIoDispatch->FastIoQueryStandardInfo == DeviceMappingFastIo)
  148.                                         {
  149.                                                 relatedriver->FastIoDispatch->FastIoQueryStandardInfo = OriginFastDispatch;
  150.                                         }
  151.                                         ObDereferenceObject(fo);
  152.                                 }
  153.                                 ExFreePool((PVOID)gMappingData);
  154.                                 gMappingData = NULL;
  155.                         }
  156.                         ExReleaseFastMutex(&gLock);
  157.                         break;
  158.                 }
  159.         default:
  160.                 status = STATUS_INVALID_VARIANT;
  161.         }
  162.         pIrp->IoStatus.Status = status;
  163.         pIrp->IoStatus.Information = info;
  164.         IoCompleteRequest(pIrp, IO_NO_INCREMENT);
  165.         return status;
  166. }

  167. NTSTATUS DeviceMappingDriverDefaultDispatch(PDEVICE_OBJECT pDevObj, PIRP pIrp)
  168. {
  169.         pIrp->IoStatus.Status = STATUS_SUCCESS;
  170.         pIrp->IoStatus.Information = 0;
  171.         IoCompleteRequest(pIrp, IO_NO_INCREMENT);
  172.         return STATUS_SUCCESS;
  173. }


  174. #pragma code_seg("INIT")
  175. extern "C" NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObj, PUNICODE_STRING pRegistryString)
  176. {
  177.         UNICODE_STRING DevName;
  178.         PDEVICE_OBJECT pDevObj = NULL;
  179.         NTSTATUS status = STATUS_SUCCESS;
  180.         pDriverObj->DriverUnload = DeviceMappingDriverUnload;
  181.         pDriverObj->MajorFunction[IRP_MJ_CREATE] = DeviceMappingDriverDefaultDispatch;
  182.         pDriverObj->MajorFunction[IRP_MJ_CLOSE] = DeviceMappingDriverDefaultDispatch;
  183.         pDriverObj->MajorFunction[IRP_MJ_READ] = DeviceMappingDriverDefaultDispatch;
  184.         pDriverObj->MajorFunction[IRP_MJ_WRITE] = DeviceMappingDriverDefaultDispatch;
  185.         pDriverObj->MajorFunction[IRP_MJ_DEVICE_CONTROL] = DeviceMappingIOControl;
  186.         RtlInitUnicodeString(&DevName, L"\\Device\\DeviceMapping");
  187.         ExInitializeFastMutex(&gLock);
  188.         status = IoCreateDevice(pDriverObj, 0, &DevName, FILE_DEVICE_UNKNOWN, 0, TRUE, &pDevObj);
  189.         if(NT_SUCCESS(status))
  190.         {
  191.                 pDevObj->Flags |= DO_BUFFERED_IO;
  192.                 UNICODE_STRING SymLinkName;
  193.                 RtlInitUnicodeString(&SymLinkName, L"\\??\\DeviceMapping");
  194.                 IoCreateSymbolicLink(&SymLinkName, &DevName);
  195.         }
  196.         return status;
  197. }
复制代码

  1. #define MAXNAME 256

  2. #define IOCTL_ENABLE_DEVICEMAPPING CTL_CODE(FILE_DEVICE_UNKNOWN, 0x800, METHOD_BUFFERED, FILE_ANY_ACCESS)
  3. #define IOCTL_DISABLE_DEVICEMAPPING CTL_CODE(FILE_DEVICE_UNKNOWN, 0x801, METHOD_BUFFERED, FILE_ANY_ACCESS)

  4. typedef struct _DEVICEMAPPING_IOCTL_DATA//和驱动通信所用data
  5. {
  6.         HANDLE hDevice;
  7.         ULONG size;
  8. }DEVICEMAPPING_IOCTL_DATA, *PDEVICEMAPPING_IOCTL_DATA;
复制代码


应用层:

  1. #include <windows.h>
  2. #include "DeviceMappingCommon.h"
  3. #include <time.h>
  4. #include <iostream>
  5. using namespace std;
  6. #define BUFSIZE 0x1000
  7. #define WRITECOUNT 0x10000

  8. void MappingRead(HANDLE hc)
  9. {
  10.         HANDLE hObj = CreateFileA("c:\\1.dat", GENERIC_ALL, 0, NULL, CREATE_NEW, FILE_ATTRIBUTE_NORMAL, NULL);
  11.         if(hObj == INVALID_HANDLE_VALUE)
  12.         {
  13.                 cout<<"Open 1.dat failed"<<endl;
  14.                 return;
  15.         }
  16.         HANDLE hMap = CreateFileMapping(hc, NULL, PAGE_READONLY, 0, BUFSIZE * WRITECOUNT, NULL);
  17.         if(hMap)
  18.         {
  19.                 PBYTE pbDev = (PBYTE)MapViewOfFile(hMap, FILE_MAP_COPY, 0, 0, 0);
  20.                 DWORD cbwrite;
  21.                 if(pbDev)
  22.                 {
  23.                         for(int i=0;i < WRITECOUNT; i++)
  24.                         {
  25.                                 WriteFile(hObj, pbDev + i * BUFSIZE, BUFSIZE, &cbwrite, NULL);
  26.                         }
  27.                         UnmapViewOfFile(pbDev);
  28.                 }
  29.                 CloseHandle(hMap);
  30.         }
  31.         else
  32.                 cout<<"error:"<<GetLastError();
  33.         CloseHandle(hObj);
  34. }

  35. void BufferedRead(HANDLE hc)
  36. {
  37.         BYTE buf[BUFSIZE];
  38.         int count = 0;
  39.         DWORD cbwrite;
  40.         HANDLE hObj = CreateFileA("c:\\2.dat", GENERIC_ALL, 0, NULL, CREATE_NEW, FILE_ATTRIBUTE_NORMAL, NULL);
  41.         if(hObj == INVALID_HANDLE_VALUE)
  42.         {
  43.                 cout<<"Open 2.dat failed"<<endl;
  44.                 return;
  45.         }
  46.         while(ReadFile(hc, buf, BUFSIZE, &cbwrite, NULL) && cbwrite && count++ < WRITECOUNT)
  47.         {
  48.                 WriteFile(hObj, buf, BUFSIZE, &cbwrite, NULL);
  49.         }
  50.         CloseHandle(hObj);
  51. }

  52. void main()
  53. {
  54.         HANDLE hFile;


  55.         hFile = CreateFileA("\\\\.\\c:", GENERIC_READ, FILE_SHARE_READ | FILE_SHARE_WRITE,
  56.                 NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
  57.         if(hFile == INVALID_HANDLE_VALUE)
  58.         {
  59.                 cout<<"Open c: failed"<<endl;
  60.                 return;
  61.         }
  62.        
  63.         time_t begin,end;
  64.         _asm{int 3};
  65.         HANDLE hDeviceMapping = CreateFileA("\\\\.\\DeviceMapping",0, 0, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
  66.         int i=GetLastError();
  67.         if(hDeviceMapping != INVALID_HANDLE_VALUE)
  68.         {
  69.                 DEVICEMAPPING_IOCTL_DATA did = {hFile, BUFSIZE * WRITECOUNT};
  70.                 DWORD retlen;
  71.                 DeviceIoControl(hDeviceMapping, IOCTL_ENABLE_DEVICEMAPPING, &did, sizeof(did), &did, 0, &retlen, NULL);
  72.                 begin = time(NULL);
  73.                 MappingRead(hFile);
  74.                 end = time(NULL);
  75.                 DeviceIoControl(hDeviceMapping, IOCTL_DISABLE_DEVICEMAPPING, &did, sizeof(did), &did, 0, &retlen, NULL);
  76.                 CloseHandle(hDeviceMapping);
  77.                 cout << "Mapping time:" <<end - begin << endl;
  78.         }
  79.         else
  80.                 cout<< "Error info:"<<GetLastError()<<endl;

  81.         begin = time(NULL);
  82.         BufferedRead(hFile);
  83.         end=time(NULL);
  84.         cout << "Buffer time:" << end - begin << endl;

  85.         CloseHandle(hFile);
  86. }

复制代码



分析过程:

  1. //#include <ntddk.h>
  2. #include <ntifs.h>

  3. typedef struct _HANDLE_TABLE
  4. {
  5.         ULONG_PTR TableCode;
  6.         PEPROCESS QuotaProcess;
  7.         HANDLE UniqueProcessId;
  8. #define HANDLE_TABLE_LOCKS 4
  9.         EX_PUSH_LOCK HandleTableLock[HANDLE_TABLE_LOCKS];
  10.         LIST_ENTRY HandleTableList;
  11.         EX_PUSH_LOCK HandleContentionEvent;
  12.         PVOID DebugInfo;
  13.         LONG ExtraInfoPages;
  14.         ULONG FirstFree;
  15.         ULONG LastFree;
  16.         ULONG NextHandleNeedingPool;
  17.         LONG HandleCount;
  18.         union
  19.         {
  20.                 ULONG Flags;
  21.                 BOOLEAN StrictFIFO : 1;
  22.         };
  23. } HANDLE_TABLE, *PHANDLE_TABLE;

  24. typedef struct _HANDLE_TABLE_ENTRY
  25. {
  26.         union
  27.         {
  28.                 PVOID Object;
  29.                 ULONG ObAttributes;
  30.                 PACCESS_MASK AuditMask;
  31.                 ULONG_PTR Value;
  32.         };
  33.         union
  34.         {
  35.                 union
  36.                 {
  37.                         ACCESS_MASK GrantedAccess;
  38.                         struct
  39.                         {
  40.                                 USHORT GrantedAccessIndex;
  41.                                 USHORT CreatorBackTraceIndex;
  42.                         };
  43.                 };
  44.                 LONG NextFreeTableEntry;
  45.         };
  46. } HANDLE_TABLE_ENTRY, *PHANDLE_TABLE_ENTRY;

  47. extern "C"
  48. {
  49.         typedef BOOLEAN (*EX_ENUMERATE_HANDLE_ROUTINE)(PHANDLE_TABLE_ENTRY,HANDLE,PVOID );
  50.         BOOLEAN __stdcall ObFindHandleForObject(PEPROCESS,PVOID,PVOID,PVOID,PHANDLE);
  51.         PHANDLE_TABLE __stdcall ObReferenceProcessHandleTable (PEPROCESS);
  52.         BOOLEAN __stdcall ExEnumHandleTable (PHANDLE_TABLE, EX_ENUMERATE_HANDLE_ROUTINE ,PVOID,PHANDLE);
  53. }

  54. VOID Unload(PDRIVER_OBJECT pDriverObject)
  55. {

  56. }
  57. PDRIVER_DISPATCH defaultdispatch=NULL;

  58. NTSTATUS QuerySize (PDEVICE_OBJECT pDeviceObject, PIRP pIrp)
  59. {
  60.         PAGED_CODE();
  61.         NTSTATUS status = STATUS_SUCCESS;
  62.         PIO_STACK_LOCATION IrpSp = IoGetCurrentIrpStackLocation(pIrp);
  63.         KdPrint(("MajorFunction=%d MinorFunction=%d\n",IrpSp->MajorFunction,IrpSp->MinorFunction));
  64.        
  65.         if(IrpSp->Parameters.QueryFile.FileInformationClass == FileStandardInformation)
  66.         {
  67.                 IO_STATUS_BLOCK isb;
  68.                 FILE_FS_FULL_SIZE_INFORMATION ffsi;
  69.                 HANDLE handle = NULL;
  70.                 RtlZeroMemory(&ffsi,sizeof(ffsi));
  71.                 if(!IrpSp->FileObject){}
  72.                 else
  73.                 {
  74.                         if(ObFindHandleForObject(IoGetCurrentProcess(),IrpSp->FileObject,NULL,NULL,&handle))
  75.                         {
  76.                                 status = NtQueryVolumeInformationFile(handle,&isb,&ffsi,sizeof(ffsi),FileFsFullSizeInformation);
  77.                                 if(NT_SUCCESS(status))
  78.                                 {
  79. //                                         KdPrint(("ActualAvailableAllocationUnits=%L\n",&ffsi.ActualAvailableAllocationUnits));
  80. //                                         KdPrint(("BytesPerSector=%d\n",ffsi.BytesPerSector));
  81. //                                         KdPrint(("TotalAllocationUnits=%L\n",&ffsi.TotalAllocationUnits));
  82. //                                         KdPrint(("CallerAvailableAllocationUnits=%L\n",&ffsi.CallerAvailableAllocationUnits));
  83. //                                         KdPrint(("SectorsPerAllocationUnit=%d\n",ffsi.SectorsPerAllocationUnit));
  84.                                 }
  85.                         }
  86.                         PFILE_STANDARD_INFORMATION FileInformation = (PFILE_STANDARD_INFORMATION)pIrp->AssociatedIrp.SystemBuffer;
  87.                         FileInformation->EndOfFile.QuadPart = ffsi.TotalAllocationUnits.QuadPart;
  88.                         FileInformation->EndOfFile.QuadPart *= ffsi.SectorsPerAllocationUnit * ffsi.BytesPerSector;
  89.                         return STATUS_SUCCESS;
  90.                 }
  91.         }
  92.         return defaultdispatch(pDeviceObject,pIrp);
  93. }

  94. typedef struct _DEVICE_EXTENSION
  95. {

  96. }DEVICE_EXTENSION,*PDEVICE_EXTENSION;

  97. extern "C" NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObj, PUNICODE_STRING pRegistryString)
  98. {
  99.         NTSTATUS status = STATUS_SUCCESS;
  100.         HANDLE hfile;
  101.         pDriverObj->DriverUnload=Unload;

  102.         OBJECT_ATTRIBUTES oa;
  103.         UNICODE_STRING drivename;
  104.         IO_STATUS_BLOCK isb;
  105.         PFILE_OBJECT fo;
  106.         LARGE_INTEGER li={0};
  107.         RtlInitUnicodeString(&drivename,L"\\??\\c:");
  108.         InitializeObjectAttributes(&oa,&drivename,OBJ_CASE_INSENSITIVE,NULL,NULL);
  109.         status = ZwOpenFile(&hfile,FILE_READ_DATA|FILE_READ_ATTRIBUTES|SYNCHRONIZE,&oa,&isb,
  110.                 FILE_SHARE_READ|FILE_SHARE_WRITE,FILE_OPEN_FOR_FREE_SPACE_QUERY|FILE_SYNCHRONOUS_IO_NONALERT);
  111.         if(NT_SUCCESS(status))
  112.         {
  113.                 KdPrint(("\n\nDriverEntry Entered\nHandle=%08x\n",hfile));
  114.                 status = ObReferenceObjectByHandle(hfile,0,*IoFileObjectType,KernelMode,(PVOID*)&fo,NULL);
  115.                 KdPrint(("fo=%p\n",fo));
  116.                 FILE_FS_FULL_SIZE_INFORMATION ffsi;
  117.                 status = NtQueryVolumeInformationFile(hfile,&isb,&ffsi,sizeof(ffsi),FileFsFullSizeInformation);
  118.                 status = FsRtlGetFileSize(fo,&li);
  119.                 PDRIVER_OBJECT passocdrive = IoGetRelatedDeviceObject(fo)->DriverObject;
  120.                 defaultdispatch = passocdrive->MajorFunction[IRP_MJ_QUERY_INFORMATION];
  121.                 passocdrive->MajorFunction[IRP_MJ_QUERY_INFORMATION]=QuerySize;

  122.         //        PDEVICE_OBJECT DeviceObject = IoGetRelatedDeviceObject(fo);
  123.                 status = FsRtlGetFileSize(fo,&li);
  124.                 HANDLE sechandle;
  125.                 LARGE_INTEGER li={0};
  126.                 li.LowPart=0x1000;
  127.                 RtlInitUnicodeString(&drivename,L"\\??\\map1");
  128.                 status = ZwCreateSection(&sechandle,SECTION_MAP_READ,&oa,&li,PAGE_READONLY,SEC_COMMIT,hfile);
  129.                 PVOID addr=NULL;
  130.                 SIZE_T size=0;
  131.                 if(NT_SUCCESS(status))
  132.                 {
  133.                         status = ZwMapViewOfSection(sechandle,ZwCurrentProcess(),&addr,0,0x1000,NULL,&size,ViewShare,
  134.                                 MEM_TOP_DOWN,PAGE_READONLY);
  135.                         ULONG data=*(ULONG*)addr;
  136.                         data=0;
  137.                 }

  138.                 status = 0;
  139.         }
  140.         return STATUS_SUCCESS;
  141. }

复制代码


测试结果:
分别用缓冲区方式和内存映射方式,分别读取c盘前256MB,分别写入文件中:
Mapping time:23
Buffer time:26
可见还是有一些效果的~~~。

文件内容:
Offset      0  1  2  3  4  5  6  7   8  9  A  B  C  D  E  F

00000000   EB 52 90 4E 54 46 53 20  20 20 20 00 02 08 00 00   隦 NTFS         
00000010   00 00 00 00 00 F8 00 00  3F 00 FF 00 3F 00 00 00        ? ?  ?   
00000020   00 00 00 00 80 00 80 00  B1 8C 7F 02 00 00 00 00       € € 睂      
00000030   00 00 0C 00 00 00 00 00  CB F8 27 00 00 00 00 00           锁'     
00000040   F6 00 00 00 01 00 00 00  CC 44 E9 BC 90 E9 BC 3C   ?      藾榧 榧<
00000050   00 00 00 00 FA 33 C0 8E  D0 BC 00 7C FB B8 C0 07       ?缼屑 |?
00000060   8E D8 E8 16 00 B8 00 0D  8E C0 33 DB C6 06 0E 00   庁? ? 幚3燮   
00000070   10 E8 53 00 68 00 0D 68  6A 02 CB 8A 16 24 00 B4    鑃 h  hj 藠 $ ?
00000080   08 CD 13 73 05 B9 FF FF  8A F1 66 0F B6 C6 40 66    ?s ?婑f 镀@f
00000090   0F B6 D1 80 E2 3F F7 E2  86 CD C0 ED 06 41 66 0F    堆€?麾喭理 Af
000000A0   B7 C9 66 F7 E1 66 A3 20  00 C3 B4 41 BB AA 55 8A   飞f麽f? 么A华U?
000000B0   16 24 00 CD 13 72 0F 81  FB 55 AA 75 09 F6 C1 01    $ ?r  鸘猽 隽
000000C0   74 04 FE 06 14 00 C3 66  60 1E 06 66 A1 10 00 66   t ?  胒`  f? f
000000D0   03 06 1C 00 66 3B 06 20  00 0F 82 3A 00 1E 66 6A       f;    ?  fj
000000E0   00 66 50 06 53 66 68 10  00 01 00 80 3E 14 00 00    fP Sfh    €>   
000000F0   0F 85 0C 00 E8 B3 FF 80  3E 14 00 00 0F 84 61 00    ? 璩€>    刟
00000100   B4 42 8A 16 24 00 16 1F  8B F4 CD 13 66 58 5B 07   碆?$   嬼?fX[
00000110   66 58 66 58 1F EB 2D 66  33 D2 66 0F B7 0E 18 00   fXfX ?f3襢 ?  
00000120   66 F7 F1 FE C2 8A CA 66  8B D0 66 C1 EA 10 F7 36   f黢娛f嬓f陵 ?
00000130   1A 00 86 D6 8A 16 24 00  8A E8 C0 E4 06 0A CC B8     喼?$ 婅冷  谈
00000140   01 02 CD 13 0F 82 19 00  8C C0 05 20 00 8E C0 66     ? ? 尷   幚f
00000150   FF 06 10 00 FF 0E 0E 00  0F 85 6F FF 07 1F 66 61          卭  fa
00000160   C3 A0 F8 01 E8 09 00 A0  FB 01 E8 03 00 FB EB FE   脿?? 狖 ? ?
00000170   B4 01 8B F0 AC 3C 00 74  09 B4 0E BB 07 00 CD 10   ?嬸? t ?? ?
00000180   EB F2 C3 0D 0A 41 20 64  69 73 6B 20 72 65 61 64   腧? A disk read
00000190   20 65 72 72 6F 72 20 6F  63 63 75 72 72 65 64 00    error occurred
000001A0   0D 0A 4E 54 4C 44 52 20  69 73 20 6D 69 73 73 69     NTLDR is missi
000001B0   6E 67 00 0D 0A 4E 54 4C  44 52 20 69 73 20 63 6F   ng   NTLDR is co
000001C0   6D 70 72 65 73 73 65 64  00 0D 0A 50 72 65 73 73   mpressed   Press
000001D0   20 43 74 72 6C 2B 41 6C  74 2B 44 65 6C 20 74 6F    Ctrl+Alt+Del to
000001E0   20 72 65 73 74 61 72 74  0D 0A 00 00 00 00 00 00    restart        
000001F0   00 00 00 00 00 00 00 00  83 A0 B3 C9 00 00 55 AA           儬成  U?
。。。。。。。。。。。。。。。。。。。。。
回复

使用道具 举报

发表于 2015-6-29 19:56:31 | 显示全部楼层
前排学习~
回复

使用道具 举报

发表于 2015-11-20 19:25:07 | 显示全部楼层
学习了   
回复 赞! 靠!

使用道具 举报

发表于 2015-11-24 08:54:45 | 显示全部楼层
666666666666
回复 赞! 靠!

使用道具 举报

发表于 2019-2-19 10:49:38 | 显示全部楼层
我天,厉害orz
回复 赞! 靠!

使用道具 举报

本版积分规则

QQ|Archiver|小黑屋|技术宅的结界 ( 滇ICP备16008837号 )|网站地图

GMT+8, 2025-1-14 20:28 , Processed in 0.032023 second(s), 21 queries , Gzip On.

Powered by Discuz! X3.5

© 2001-2025 Discuz! Team.

快速回复 返回顶部 返回列表