А надо ли кому это ?

← →
Riply © (2008-04-21 09:07) [0]

Здравствуйте !
Занималась, занималась изучением файловых систем (NTFS в основном) и
вот, поразмыслив, решила прекратить работу над проектом (MFT_Scan).
Причин несколько. Вот основные:
- острая нехватка времени (надо же еще и заниматься тем, за что тугрики дают :)
- базовые знания по FS, считаю, получила и с чем их едят, вроде, разобралась :)
- дальнейшая работа над проектом имеет смысл, только если он
(или его потенциальные возможности) будут кому-то полезны, нужны.
Но, прежде чем запихать все в дальний ящик, решила выложить Degug-версию MFT_Scan.
Цель проста: если будут найдены ошибки, постараюсь их исправить (пока еще все помню).
Потом ведь будет гораздо сложнее это сделать (а завершать с ошибками некузяво :).
Это раз.
Второе:
В MFT_Scan-е я постаралась продемострировать некоторые возможности,
которые нам может дать работа с MFT.
Если эти возможности (их модификации или расширения) кого-то заитересуют (появяться идеи)
и таких людей будет не "раз-два и обчелся", то можно будет серьезно подумать о создании
проекта (модуля, Dll-ки и т.п.) уже для реальной работы.
Судьба MFT_Scan-а в Ваших руках :)

Краткое описание MFT_Scan:

Исходно это была попытка не только показать пользователю все файловые объекты,
скрытые от него различными способами (например, недоступные для API(NT) функций)
или заблокированные, но и дать ему возможность их чтения (копирования).
Вроде это получилось (на NTFS). Для работы необходим только доступ к самому диску.
MFT блок может работать вообще не открывая объектов.

Тестировалось на извесных мне способах "прятанья" (перехваты, настройка "секьюрити", блокировка и т.д. и т.п),
а также на программе "Ащдвук Пгфкв" (ее рекламировали на одном из форумов как "то что надо").
Не знаю принципов ее работы, но ее способ(ы) скрытия(блокировки) директорий не спасают.

Разумеется, попутно встал вопрос и о возможности записи.
Я провела только несколько тестов (и только с объектами, имеющими "свои" кластеры).
Резюме: в принципе это возможно :)

Остальную информацию можно получить из файла ReadMe.txt
(настоятельно его рекомендую прочитать тому кто захочет потестировать)

Вот адрес: http://slil.ru/25711344
Хотела выложить туда, где можно было бы запретить дальнейшее скачивание
например, в случае обнаружения серьезной(опасной) ошибки,
но не нашла такого места. Так что если что буду писать сюда: "не скачивайте больше !".
Следите за объявлениями :)

P.S.
Очень уж сильно не пинайте, а ?
"Я вам еще пригожусь" (с) - почти не искаженная :)

← →
Zeqfreed © (2008-04-21 09:14) [1]

http://narod.yandex.ru/disk/

← →
oxffff © (2008-04-21 09:20) [2]

> Riply © (21.04.08 09:07)

У меня лично вызывают глубокую симпатию образованные женщины.

P.S.
К сожалению выпускниц которые ковыряются в дебрях единицы.
Поэтому вы Riply - Умничка.

← →
KSergey © (2008-04-21 09:23) [3]

Оба на...
А исходники??

← →
Riply © (2008-04-21 09:34) [4]

> [3] KSergey © (21.04.08 09:23)
> А исходники??

Когда у Вас возникает непреодолимое желание выложить свои исходники,
попробуйте посмотреть на исходники, например, от Borland или известных
в программистских кругах людей.
Это надолго отобъет желание показывать что-то кому-то :)

А если серьезно, для того что бы выложить исходники,
надо еще ой как много работать.
Ибо дерьма на просторах интернета и без меня хватает :)

← →
KSergey © (2008-04-21 09:35) [5]

> Riply © (21.04.08 09:34) [4]

Глупость какая.

← →
boriskb © (2008-04-21 09:35) [6]

> А надо ли кому это ?

Конечно.
Прежде всего тебе.

А другим?... Не знаю.
Я бы с удовольствием приобрел такую прогу, еслиб она была доработана до учебника-справочника по файловым системам.

> [2] oxffff © (21.04.08 09:20)
> У меня лично вызывают глубокую симпатию образованные женщины.

У меня лично вызывают глубокую симпатию все, кто пытается хоть в чем то глубоко покопаться :))

← →
oxffff © (2008-04-21 09:48) [7]

> boriskb © (21.04.08 09:35) [6]

Согласен. В двух группах студентов по 30 человек таких людей человек 6 от силы.
А девченок из трех выпусков дай бог 1 наберется.
Берегите женщин.

← →
Игорь Шевченко © (2008-04-21 09:53) [8]

Первое:
RefreshPhyscalDrives, а не Phisical

← →
oxffff © (2008-04-21 09:56) [9]

> Игорь Шевченко © (21.04.08 09:53) [8]

physical.

← →
Игорь Шевченко © (2008-04-21 09:58) [10]

oxffff © (21.04.08 09:56) [9]

Ну да, буковку пропустил.

Второе - у TreeView желательно установить свойство ReadOnly, а то получается будто я могу переименовать объект. Надеюсь, что это не так - пробовать не стал.

← →
Riply © (2008-04-21 10:24) [11]

> [8] Игорь Шевченко © (21.04.08 09:53)
> Первое:
> RefreshPhyscalDrives, а не Phisical

Спасибо, исправлюсь.

> Второе - у TreeView желательно установить свойство ReadOnly, а то получается будто
> я могу переименовать объект. Надеюсь, что это не так - пробовать не стал.

:) Нет, не меняет. Уже подправила.

← →
Игорь Шевченко © (2008-04-21 10:28) [12]

И еще - потыкаться конечно интересно, но что оно делает - непонятно :)
Видно, что что-то делается, иконки там меняются, но как и что происходит, а главное, для чего - с первого непросвещенного взгляда неясно.
Scan-ы там всякие, оно конечно интересно, но вот так, чтобы запустил scan а оно тебе сказал - все в порядке или не все в порядке - его и хотелось бы увидеть.

← →
Kolan © (2008-04-21 10:32) [13]

Надо бы объяснить что где. Ну что слева дерево папок я догадался. А вот что за ListView справа и что за PageControl снизу  хз&#133

← →
Kolan © (2008-04-21 10:33) [14]

Ну и табы сбоку  оч. плохо выглядят.

← →
Игорь Шевченко © (2008-04-21 10:48) [15]

Исходники на почту не сбросишь ? Вроде адрес известен...

← →
Riply © (2008-04-21 10:49) [16]

> [12] Игорь Шевченко © (21.04.08 10:28)
> И еще - потыкаться конечно интересно, но что оно делает - непонятно :)
> Видно, что что-то делается, иконки там меняются, но как и что происходит,
> а главное, для чего - с первого непросвещенного взгляда неясно.
> Scan-ы там всякие, оно конечно интересно, но вот так,
> чтобы запустил scan а оно тебе сказал - все в порядке или не все в порядке - его и хотелось бы увидеть.

При любом сканировании, если она находит, скрытые объекты или объекты
у которых данные MFT отличаются от API данных, она их выводит.
Так же выводит ошибки.
Если все чисто в ListView, значит все совпало и ничего спрятанного в данной директории мы не обнаружили.

[цитата]

> [13] Kolan © (21.04.08 10:32)
> Надо бы объяснить что где. Ну что слева дерево папок я догадался.
> А вот что за ListView справа и что за PageControl снизу — хз…
Справа - отчет о найденых объектах
Внизу конторль за памятью в рабочих структурах. Он временный и потом будет убран.

P.S.
Побежала ReadMe переписывать :)

← →
Шмелъ (2008-04-21 11:17) [17]

как же страшно запускать вашу программу, после стольких настойчивых предупреждений:)

← →
Kolan © (2008-04-21 11:21) [18]

> Побежала ReadMe переписывать :)

Все наоборот поняла. В программу надо добавить, а не в рид ми&#133

← →
Kolan © (2008-04-21 11:22) [19]

> у которых данные MFT отличаются от API данных, она их выводит.

Ого, у меня куча элементов в списке&#133 Одни последствия касперского чего стоят&#133

← →
Kolan © (2008-04-21 11:25) [20]

> дальнейшая работа над проектом имеет смысл, только если
> он
> (или его потенциальные возможности) будут кому-то полезны,
> нужны.

Ты посмотри с другой стороны. То что ты хочешь  это поиметь заказчика, который тебе заплатит за разаработку.  Это хороший путь, но редко так бывает.

Чаще всего все подругому. Ты что-то делаешь, и выкладываешь на рынок, а уж потом будет видно надо кому-то это или нет.

Программа лично мне кажется достойной, так как ты глу боко покапалась&#133

← →
Anatoly Podgoretsky © (2008-04-21 11:52) [21]

> oxffff (21.04.2008 09:48:07) [7]

> Берегите женщин.

Берегитесь женщин.

← →
Anatoly Podgoretsky © (2008-04-21 11:53) [22]

> Игорь Шевченко (21.04.2008 09:53:08) [8]

А получились фискальные, а всего то одна буква

← →
Riply © (2008-04-21 11:53) [23]

> [15] Игорь Шевченко © (21.04.08 10:48)

Отправила первое письмо на старый адрес. Он не изменился с тех пор ?

> [17] Шмелъ (21.04.08 11:17)
> как же страшно запускать вашу программу, после стольких настойчивых предупреждений:)
NTFS - вообще не документирована.
Вся работа строиться только на собственных и чужих "исследованиях".
Остается очень много белых пятен. Так что вероятность ошибки очень велика.
А если учитывать, что работаем "напрямую" с диском, пусть даже открытым только на чтение,
то ошибка может иметь серьезные последствия.

> [18] Kolan © (21.04.08 11:21)
> Все наоборот поняла. В программу надо добавить, а не в рид ми…

Ну это же Debug-версия. Она предназначена только для разработчика. :)
О пользователях речь вообще не шла. Так что меняем (пока) не программу, а ReadMe :)

> Ого, у меня куча элементов в списке… Одни последствия касперского чего стоят…
Предвидела эту проблемму, хотела добавить фильтр на касперского, да забыла.
Дай мне точное названия его потоков. Хорошо ?

> Ты посмотри с другой стороны. То что ты хочешь — это поиметь заказчика, который тебе заплатит за разаработку.
> — Это хороший путь, но редко так бывает.

О заказчике я и не мечтаю :)
Просто лично для себя, я получила, нужные мне знания. Пора остановиться.
Но если это нужно другим, то можно и еще поработать.
По крайней мере знаешь, что не в пустую :)

← →
shlst (2008-04-21 11:54) [24]

Даже ни одного цветочка в заголовке, непорядок :)

← →
Anatoly Podgoretsky © (2008-04-21 11:55) [25]

> Kolan (21.04.2008 11:22:19) [19]

Ну так вирус же.

← →
Kolan © (2008-04-21 12:38) [26]

> Но если это нужно другим, то можно и еще поработать.

Имхо, можно и коммерческую ввыгоду поиметь, тем более, что NTFS  вообще не документирована&#133
Ну дело твоё.

Кстати, а зачем два статус бара?

← →
guav © (2008-04-21 13:02) [27]

Windows 2003 Standard, Windows XP x64 на всех файлах:
NtGetObjectRetrievalPointers The parameter is incorrect ( $C000000D )
То же в Comm.

Windows Vista, Windows Vista x64
NtGetObjectRetrievalPointers Access is denied ( $C0000022 )

В ХР SP2 вроде всё правильно.

Могу посмотреть код.
У меня к нему коммерческого интереса не шибко много, как понимаешь :)

> [26] Kolan © (21.04.08 12:38)
> NTFS — вообще не документирована…

Я бы так не сказал что вообще, есть linux-ntfs, есть немного документации от Майкрософт, есть немного в справочнике Gary Nebbett"а. Более полная и точная из этих - linux-ntfs.

← →
guav © (2008-04-21 13:12) [28]

Additional tab:

Не согласен с названиями следующих полей:
cbType // префикс cb - означает "количество байт", и вообще префиксы не рулят. и не тип это а signature.
_Usn64 // Не иначе как у Неббета взяла название. Глянь в документацию linux-ntfs что это на самом деле :)
SelfRecord // ThisRecord или ThisRecordNumber было бы понятнее.

Не понял что означает:
Transfer 0

> [26] Kolan © (21.04.08 12:38)
> Кстати, а зачем два статус бара?

Так все в стадии разработки. Еще не успела написать правильное заполнение нового.
А старый не уничтожаю, пока не готов новый :)

> [27] guav © (21.04.08 13:02)
> Windows 2003 Standard, Windows XP x64 на всех файлах:

> NtGetObjectRetrievalPointers
> The parameter is incorrect ( $C000000D )
> То же в Comm.

Вот черт. Саш, в предыдущей версии, которую ты тестировал, вроде этого не было ?
Она у тебя не сохранилась ? Можешь посмотреть ?
Догадываюсь в чем дело: я IoControl.. заменила на FsFileControl...

> Windows Vista, Windows Vista x64
> NtGetObjectRetrievalPointers
> Access is denied ( $C0000022 )

Это я еще не успела разобраться с манифестом :)
Все упирается во время. А не понимая, что там к чему, я не хочу использовать.

> В ХР SP2 вроде всё правильно.

Такого не бывает :)

> Я бы так не сказал что вообще, есть linux-ntfs, есть немного документации от Майкрософт,
> есть немного в справочнике Gary Nebbett"а. Более полная и точная из этих - linux-ntfs.

Я считаю, что то что предоставляет Майкрософт по этому вопросу,
документацией ну никак не назовешь :)

> Не согласен с названиями следующих полей:
> cbType // префикс cb - означает "количество байт", и вообще префиксы не рулят. и не тип это а signature.

Исправлю.

> _Usn64 // Не иначе как у Неббета взяла название. Глянь в документацию linux-ntfs что это на самом деле :)

У него, родимого. Каюсь. :)

> SelfRecord // ThisRecord или ThisRecordNumber было бы понятнее.

Ну ты же догадался :)

> Не понял что означает:
> Transfer 0

Я это поле вспомогательное by Riply :)

Непонятна раскраска объектов в treeview и в списке файлов - что значат папки голубого цвета и что желтого, а что желтого с красным крестиком.

Обнаружил надпись зеленого цвета внизу
ScanMFT ERROR_MR_MID_NOT_FOUND Неверная фукнция ($00000001)

Обнаружил, что оно значит:
{ The system cannot find message for message number $%1 }
{ in message file for %2. }
ERROR_MR_MID_NOT_FOUND = 317;

Долго думал, но так и не понял, что бы это значило и как это повредит моему диску :)

В предыдущей было именно так. На картинках видно.

> > _Usn64 // Не иначе как у Неббета взяла название. Глянь
> в документацию linux-ntfs что это на самом деле :)
>
> У него, родимого. Каюсь. :)

Ну по крайней мере обработка Data Runs и сжатых данных не от туда :)

> [29] Riply © (21.04.08 13:30)
> Это я еще не успела разобраться с манифестом :)

Так я вроде явно с правами админа запускаю.
При запуске без админа все объекты clFuchsia и Additional tab вообще не открывается.

> [30] Игорь Шевченко © (21.04.08 14:38)
> Непонятна раскраска объектов в treeview и в списке файлов - что значат папки голубого цвета и что желтого,
> а что желтого с красным крестиком.

Директории желтого (как в Explorer`е) - отклонений при проверке (ее как одиночного объекта)
не обнаружено.
Голубая директория - не видимая для API функций.
С красным крестиком - какая-то ошибка при работе с ней.
(Например при ее открытии при помощи API - получен Access is denied)

> Обнаружил надпись зеленого цвета внизу
> ScanMFT ERROR_MR_MID_NOT_FOUND Неверная фукнция ($00000001)
В этом Label`е, как правило сидит последняя ошибка.
Не для всех ситуаций успела определить собственные коды ошибок,
в этих случаях использовала стандартные, стараясь подобрать близкие по смыслу.
Вообще зеленый цвет, почти всегда, информативное сообщение о неком событии или несоответствии.

Довольно значительная выводимых часть "ошибок" и предупреждений
это для разработчика, а не для пользователя.
Потом их планируется убрать.

> Долго думал, но так и не понял, что бы это значило и как это повредит моему диску :)

Как только MFT_Scan обрушит MFT на диске, Вы узнаете об этом первым.
Так что можно не беспокоиться :)

[цитата]

> [31] guav © (21.04.08 14:42)
> В предыдущей было именно так. На картинках видно.
А жаль. Саш, попробуй просканировать, используя только NT-сканирование (убрав MFT и FD) и выбрав его тип
FileDirectoryInformation или FileBothDirectoryInformation, но не FileIdBothDirectoryInformation.
Возможно дело в этом. Но тогда мне придется менять способ сравнения данных на очень некузявый :)

> [31] guav © (21.04.08 14:42)
> Ну по крайней мере обработка Data Runs и сжатых данных не от туда :)

Runs`ы это помесь линуксоидных, майкрософтовских и Riply-вских :)
Компрессированные, разряженные и "смешанные" данные разработка чисто by Riply :)

> Так я вроде явно с правами админа запускаю.
И все равно ошибка Access is denied ?
Интересно, а в каких случаях, кроме нехватки прав она еще может возвращаться ?

> [33] Riply © (21.04.08 15:12)
> И все равно ошибка Access is denied ?
> Интересно, а в каких случаях, кроме нехватки прав она еще может возвращаться ?

Кстати, на этот случай я там добавила возможность управления привилегиями
(MainMenu --> Debug). Может какой-то из них не хватает ?

> Игорь Шевченко (21.04.2008 14:38:30) [30]

> Обнаружил надпись зеленого цвета внизу
> ScanMFT ERROR_MR_MID_NOT_FOUND Неверная фукнция ($00000001)

Аллах акбар

При повторном запуске, уже из другой директории, пока не создашь временную поддиректорию ..., будет вылетать ошибка отсутствия файла.

> [36] VirEx © (21.04.08 17:30)
> При повторном запуске, уже из другой директории, пока не создашь временную поддиректорию ...,
> будет вылетать ошибка отсутствия файла.

Есть такое. MFT_Scan один раз подгатавливает то что ему нужно для работы, а потом считает,
что все как надо и не утруждает себя доп. проверками :)

← →
iZEN (2008-04-22 20:45) [40]

NTFS-3G никто не смотрел?

А надо ли кому это ? Найти похожие ветки