ntfs_info_study —— 仿NtfsInfo工具

ntfs_info_study 这个工具可以显示ntfs卷的一些信息。主要也是学习NtfsInfo的功能,而仿造的一个小工具。ntfs_info_study能显示的信息包括卷大小,扇区数量,簇数量,扇区字节数,簇字节数,主文件表每条记录字节数以及主文件表的一些信息。当然它还可以显示部分NTFS系统文件的信息,例如:$Volume。

实际上ntfs_info_study稍微修复了NtfsInfo的一个问题。原来的NtfsInfo已经无法显示NTFS系统文件的信息了。原因是这个工具调用FindFirstFile这样的函数来查找NTFS系统文件。我不知道什么版本的Windows可以这么做,至少现在Windows 7上,这个方法是行不通的。所以在我从写的工具里,是先打开系统文件,然后查询文件信息,但是普通的CreateFile是打不开这些文件的,这里我的方法是调用OpenFileById。不过实际上,我还没找到正规而且完美显示所有NTFS系统文件的方法,因为部分系统文件在打开的时候会提示访问拒绝。

当然不正规的但是却比较完美的查看NTFS系统文件的方法也有,就是直接打开卷,解析NTFS文件系统数据结构。这个功能已经在ntfs_study中实现了,具体可以移步这个链接

20130227235402

以上是一副对比图,其他功能是一样的,唯一的区别就是最后一项中,ntfs_info_study能够显示部分NTFS系统文件信息。

Usage: ntfs_info_study.exe

使用方法自然也不必说明了,有兴趣的各位可以下载玩玩。

下载ntfs_info_study

NTInternals

pipe_list_study —— 仿PipeList的小工具

昨天在家看完笑傲江湖,没事可做,看了sysinternals的一个很简单的小工具PipeList,然后逆了下,山寨了一个,并且加按照管道名筛选的功能。工具很简单,一共也就200行代码。使用方法如下:

1
2
3
4
Usage: pipe_list_study.exe [search_pipe_name]

search_pipe_name  ---  List the pipes that has search_pipe_name in the pipe name string.
                       Without this argument pipe_list_study will list all pipes.

20130221114347

下载pipe_list_study

NTInternals

又是总结和展望:没有世界末日,生活还要继续

今天总算是有时间,有心情写一篇总结去年生活,展望今年的文章了。

过去的2012年对我来说并不是末日,恰恰相反,他更像是一个新的开始。年初加入新公司,感觉选择还是比较正确的。在新的公司工作,工作不算忙,考勤也比较人性化,环境也还不错。主要是新同事们都还不错,别的不说,侃大山的能力还是很让人钦佩的。所以工作之余也非常娱乐。他们负责娱,我负责乐就行了,哈哈哈哈。刚刚说到工作不算忙,说起来本人也确实在这个环境中挺酱油的,不过俺也不是偷懒,主要是工作上合适我的活不算多。我去小组之后,发现本来打打杀杀的软件,现在要做良民了,不过其实这个做产品的思路是正确的,我也落得点清闲,实在不错。

当然了,本人实际上不甘于清闲。没事的时候还是跟哥们研究了许多编译器和系统底层的机制。除此之外,今年最大的一个收获是把COM这套东西了解一下,这样不仅对今后的工作有所帮助,而且自己本身对代码应该如何写方面也有一些收获。了解了COM当然要了解ATL,因为ATL过于强大,大部分代码我也没有去读,现在而言主要停留在能合理的使用,对于这点我也比较满意,实际上没打算把ATL搞得太清楚。至于编译器,学的也不多,刚刚把语法分析那块弄得一知半解吧。系统底层倒是一直在研究,尤其是文件系统,注册表等。关于系统底层这些,可以看我去年发的几篇blog,都是一些研究后自己写的工具。包括ntfs文件系统学习工具,注册表格式学习工具,pdb的解析工具等等。

回头再看看去年定的目标。。。我只能说“呵呵”。。。没有一个完成的啊有木有!!!果然奇迹没有发生啊有木有!!!那么,我又要给今年定目标了。。。

1.写一个study系列的工具,可以从山寨sysinternals的工具开始做起。

没了,对!就这一条!!!我就不信这一条我也搞不定!!!!!

去年写了总结后,同学们说我生活上的写的太少了,好吧那我简单总结下生活上的开心事!最开心的是,哥开始健身了!!!每周固定和一哥们去三次健身房,每次25分钟跑4k多米,并且锻炼腹肌和肱二头肌。现在人感觉就像回到高中状态。更让人欣慰的事情是能看到一点点腹肌了!另外精神方面,更多的相信“念念不忘,必有回响”,也有称这个为宇宙神秘力量的,不是迷信,而是一种信念,是一种相信只要你不断努力,不断追求就一定能达到目标的执念。不过可惜,我一直念念不忘年会大奖,可惜大宇宙送了我两个字——“呵呵”。。。关于练字,总是断断续续,貌似没啥进步。关于英语,嗯,没了。关于更八卦的生活详情~呵呵~你们以为我会写么!

那么今年生活上的目标呢?!还是健身,练字,英语和嘿嘿~~~

最后还是送祝福时间:祝福我的家人,朋友和我自己,新春快乐,健康平安,家庭和睦温馨!!!

proc_study —— 仿PsList的进程查看工具

proc_study 是我通过逆向PsList而写出来的小工具,如果在本地查看进程,这个工具和pslist没有任何区别。因为实现查看进程的方式也是和pslist一模一样的。另一方面,他缺乏pslist的查看远程计算机的进程的功能。没有实现这个并不是不知道怎么实现,是我半天也没搭建出这样的一个远程环境,真够郁闷的。这个应该是年前的最后一个study系列的工具了。期待蛇年有时间山寨更多工具,嘿嘿~~~

20130204204101

这个工具的使用方法和命令行参数可以直接参看PsList的。因为整个Usage我都是直接山寨过来的。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
Usage: proc_study [-d][-m][-x][-t][name|pid]
-d      Show thread detail.
-m     Show memory detail.
-x      Show processes, memory information and threads.
-t       Show process tree.
name Show information about processes that begin with the name
specified.
-e      Exact match the process name.
pid Show information about specified process.

All memory values are displayed in KB.
Abbreviation key:
Pri Priority
Thd Number of Threads
Hnd Number of Handles
VM Virtual Memory
WS Working Set
Priv Private Virtual Memory
Priv Pk Private Virtual Memory Peak
Faults Page Faults
NonP Non-Paged Pool
Page Paged Pool
Cswtch Context Switches

下载proc_study

NTInternals