《WIN64驱动教程》补充[27]:NTFS文件流的创建、删除、枚举
作者:Tesla.AngelaNTFS文件流是NTFS文件系统的一个奇葩特性,可以理解成它是一个普通文件的不可见“子文件”。
这种“子文件”真实存在于硬盘(准确说是NTFS分区)上,但是系统自带的工具却无法枚举到。
创建一个NTFS流文件的方法很简单,用CMD的内部命令ECHO即可实现:ECHO abcde>>ST.txt:S1此时可以看到C盘根目录下多了一个0字节的test.txt文件,但是打开后,看不到任何内容。
如果要证实该流文件的存在,可以使用WIN64AST。打开文件管理的选项卡,可见C盘下的ST.txt:S1被标为蓝色。
删除流文件很简单,直接使用DeleteFile即可。如果把一个文件复制到非NTFS分区,其附带的流文件会丢失。
如果删除一个包含流文件的普通文件,那么该普通文件附带的流文件也会全部消失。正可谓:皮之不存毛将焉附。
读写流文件可以使用BackupRead和BackupWrite等API,相关信息可以去MSDN查看。
**** Hidden Message ***** 学习了 2024补充学习 感谢楼主,学习一下。 学习一下 好好学习
页:
[1]