1999 年 10 月 12 日 - 此问题:

  1. 系统内部机制的新增功能

    • NTFS for Windows 98/NTFSDOS Professional
    • DebugView v3.21
    • Filemon 和 Regmon v4.21
    • Diskmon v1.1
    • 系统内部 www.microsoft.com
    • 10 月"NT 内部机制"
    • 非新内容
  2. INTERNALS 新闻

    • Win2K RC2 DDK 已发布
    • 新的 Win2K RC 内核 API
    • 软件开发 '99 东部
    • 使用 DiskEdit
  3. 即将提供哪些功能

    • Win2K API 激增

发起人:NALS 软件

系统内部信息新闻稿由 TheNalnals Software 赞助,网址为 http://www.winternals.com. Nalnals Software 是适用于 Windows NT/2K 的高级系统工具的领先开发人员和提供商。 功能包括适用于 Windows NT 4.0 的 FAT32、ERD Commander (Windows NT) 和 NTRecover。

使用功能软件远程恢复,你可以从企业中的任何位置通过 TCP/IP 访问无法启动计算机的驱动器。 通过远程更正使 NT 或 Win9x 系统保持不在线的驱动程序、文件系统和配置问题,节省时间和支持成本。 甚至可以使用远程恢复执行远程 chkdsk 或分区操作,这使得它是一种通用的灾难恢复工具。 在 下载免费的只读试用版, http://www.sysinternals.com/rrecover.htm 并购买 读/写版本 http://www.winternals.com.

大家好,

欢迎使用 Systems Internals 新闻稿。 该新闻稿当前有 10,000 名订阅者。

2000 Windows 2000 (Win2K) 似乎遵循了一种模式,即即将发生,然后被推回。 最新的版本是它将在 2 月发布。 而有关 Win2K 发货日期的唯一信息是未发布,因为 Microsoft 甚至不会告知 OEM 或合作伙伴何时发货。 是的,它们是:"它准备就绪后就会发货" (我将不会强制说有关在此处销售) 。

有关 Microsoft 的一个令人担心的一件事是,他们生成的关于其产品的媒体总是让产品看起来就像在发货时一样,即使产品是五边车。 最新的示例是 98 年的后继Windows。 不久之前,Microsoft 就为它进行了重大推送,就像它是一个成品一样,准备好将所有家庭设备转换为智能设备。 具有反面性的是,稍后的文章表明,Microsoft 甚至尚未完全定义该产品,它可能需要一年或一年以上,然后才能在商店架子上看到它。

此模式不是新模式,我也不是第一个编写它的人。 但这不会阻止我思考什么是仔细协调的计划,以及软件工程主体完全缺乏的结果。 如果你像理论家一样,购买前一个角度,Microsoft 会通过用这个令人信服的产品来让客户满意,这样一来,如果他们等待的时间稍长一点,就值得等待,并且不需要转向非 Microsoft 产品, 后一种观点表明,Microsoft 永远不会了解软件开发过程,并且会持续减少工程工作量,并过度估计 beta 代码的质量。

我正坐在围栏上,我的理论是哪个理论所根据的。 实际上,我认为这种模式是由于两者中的一些原因。 我认为它已帮助 Microsoft 像 Active Directory 一样行动,这两年已几乎准备就绪。 如果提前知道需要等待 Win2K 的时间,则有些客户在很长一段时间之前就已转向了 Novell Directory Services。 另一方面,Microsoft 在印刷机中反复出现黑色眼睛,因为产品交付前景良好,然后延迟。 我认为 Microsoft 的管理层并不了解重现、隔离和修复最后 5% 的 bug 有多困难。

就 Microsoft 的开发实践而言,其预发布命名方案是我看到的最困惑的命名方案之一。 他们的 Beta 版本实际上是 Alpha,其候选发布实际上是 Beta 版本。 即使使用这些定义也是一个延伸:Microsoft 在从一个候选发布版本到下一个发布候选发布,甚至添加新功能时,不会从软件中拖出功能。 他们使用 NT 4.0 执行此操作,并且使用 Win2K 执行此操作。 这种做法当然不会加快发布周期。

那么 Win2K 将在 2 月发货吗? 我认为我们在隧道的末尾看到了光。 毕竟,RC2 中只有少量新 API...

作为上一篇时事通讯的跟进,我讨论了 Microsoft 的首字母缩略词混淆问题,读者表示,他找到了另一个示例。 在标题为:"扩展到大型机Transaction-Processing"部分中,中的文章引用 http://msdn.microsoft.com/library/backgrnd/html/msdn_windnapps.htm CISC - 复杂指令集计算。 对于熟悉大型机应用程序的任何人,很明显,预期的首字母缩略词是 CICS - 客户信息控制系统。 反向字母序列,你在不同的技术区域中。

像往常一样,请将新闻稿传递给你认为可能很有趣的好友。

谢谢!

-Mark

系统内部机制的新增功能

NTFS FOR WINDOWS 98/NTFSDOS PROFESSIONAL

我们最后完成了。 自 Bryce 和我在 1996 年 5 月发布 NTFSDOS 1.0 以来,我们一直在寻找 Windows 文件系统兼容性的一大小节:从 Windows 9x 和 DOS 对 NTFS 进行读/写访问。 我们确定,对 NTFS 格式进行反向工程并为此复杂的日记文件系统编写驱动程序是一项困难且有风险的主张。 即使精确确定格式的每一个细微差别,更新格式(如 Win2K 的 NTFS v5.0)也需要全新的反向工程和开发工作。 此外,验证文件系统驱动程序的格式是否正确与 NTFS 的格式一样复杂是一项令人生挑战的建议。

因此,我们被欺骗了。

适用于 Windows 98 的 NTFS 提供对 Windows 95 或 Windows 98 中的 NTFS 驱动器的完全读/写访问权限,NTFSDOS Professional 提供从 DOS 进行的完整 NTFS 读/写访问。 NTFS for Windows 98 和 NTFSDOS Professional都不了解 NTFS 文件系统格式。 相反,它们依赖于来自 Windows NT 或 Windows 2000 安装的 NTFS 驱动程序来实现该知识。 这两个实用工具都使用相同的基本代码作为 NTFS 文件系统驱动程序的环境包装器。 适用于 Windows 98 的 NTFS 提供与 NTFS 上方的 Windows 9x 文件系统 API 的接口,以及 NTFS 下面的 Windows 9x 磁盘服务。 Windows 98 的接口 NTFS 与 NTFS 的本机 Windows NT/2K 环境类似,包含 IIP、I/O 管理器、缓存管理器、NT 样式磁盘设备以及 NTFS 与之交互的其他 NT/2K 子系统。

NTFSDOS Professional的工作方式与 Windows 98 的 NTFS 相同,只不过它将 NTFS 与上述 DOS 服务和下面的 BIOS 中断 13 磁盘服务进行接口连接。 为了帮助创建类似 NT/2K 的环境,我们依赖于 NTOSKRNL(NT/2K 内核文件)中的许多函数。 这两个实用工具将 NTOSKRNL 与 NTFS 一起加载,以便 NTFS 可以直接使用内核的本机服务。

构建 NTFS 环境非常有趣,我们又进一步了一步:使用 NT 的启动时 chkdsk 实用工具 Autochk 执行相同的操作。 NTFSDOS Professional和 NTFS for Windows 98 都提供名为 NTFSCHK 的 NTFS chkdsk 实用工具。 NTFSCHK 与 NTFS 文件系统包装器在同一主体上运行,其中为 Autochk 程序创建类似 NT 的环境,以便 Autochk 在 Windows 95/98 和 DOS 下运行。 此技巧的结果是为 95/98 和 DOS 提供Windows NTFS 读/写支持。

可以在 下载适用于 Windows 98 的免费 NTFS 只读版本,在 上下载 http://www.sysinternals.com/ntfs98.htm NTFSDOS Professional免费只读版本http://www.sysinternalscom/ntfspro.htm. 可以在管理软件中购买这两种工具的完整读/写版本。 http://www.winternals.com.

DEBUGVIEW V3.21

DebugView 是一个调试输出监视器,可捕获 Windows 95、Windows 98、NT 4.0 和 Windows 2000 下的内核和 Win32 调试输出。 它具有高级筛选、突出显示和日志记录功能,甚至可以捕获来自整个网络的系统的调试输出。 其最新版本 3.21 引入了监视 Windows 95 和 Windows 98 下的 16 位 OutputDebugString 输出的能力。

可以在 下载 DebugView v3.21 http://www.sysinternals.com/dbgview.htm.

FILEMON 和 REGMON V4.21

Filemon 和 Regmon 是适用于 Windows 95、98、NT 4.0 和 Win2K 的文件系统和注册表监视实用工具。 它们随着新的可用性功能不断演变,随着版本 4.21 (Filemon 和 Regmon 的版本号同步) 它们引入了使用最新筛选器列表的更高级筛选,能够使用自定义颜色定义突出显示筛选器 (,甚至包括) 、可自定义字体、剪贴板支持,以及更多 CUI 兼容的热键。 驱动程序源代码也进行了修改,在 GUI 接口函数中包含更可靠的参数验证。

在 下载 Filemon v4.21, http://www.sysinternals.com/filemon.htm 在 下载 Regmon v4.21 http://www.sysinternals.com/regmon.htm.

DISKMON V1.1

Diskmon 是一种监视和显示逻辑和物理磁盘活动的工具。 版本 1.1 更新了 Diskmon 以使用 Windows 2000,并引入了新的可用性增强功能。 此外,Diskmon 现在解释大量磁盘和大容量存储 I/O 控制代码,将其十六进制代码转换为 Diskmon 输出窗口中的文本表示形式。

Diskmon v1.1 不仅用作磁盘监视器,还可以用作基于软件的磁盘灯。 当你在磁盘指示灯模式下设置它时,Diskmon 将自身最小化到系统托盘中,当存在磁盘读取访问权限时,该灯为绿色;如果有磁盘写入访问权限,则设置为红色。

在 下载 Diskmon v1.1 http://www.sysinternals.com/diskmon.htm.

系统内部 WWW.MICROSOFT.COM

考虑到系统内部 (之前为 NT Internals) ,Microsoft 实际上将 sysinternals.com 引用为客户的资源。 有越来越多的文章Microsoft 知识库系统内部实用工具。 以下是最新信息:

  • Q183060 INFO:其他错误消息80004005 & 故障排除指南 http://support.microsoft.com/support/kb/articles/Q183/0/60.ASP
    本文介绍如何使用 Filemon 检查数据对象、数据对象和远程数据OLE DB ActiveX数据访问错误的原因。

  • Q196453 - 排查 NTVDM 和 WOW 启动错误 http://support.microsoft.com/support/kb/articles/Q196/4/53.ASP
    本文还以 Filemon 作为一种工具,用于确定 NT) 中 Win16/DOS 兼容性环境的 NTVDM (启动错误的原因。

  • Q216368 - PRB:使用文件时在应用程序安装期间访问冲突 http://support.microsoft.com/support/kb/articles/Q216/3/68.ASP
    HandleEx 和 DLLView 是建议的工具,用于确定在执行由部署向导和部署向导生成的安装程序Visual Basic 安装向导原因。

  • Q232830 - 操作说明:确定文件句柄所有权 http://support.microsoft.com/support/kb/articles/Q232/8/30.ASP
    HandleEx 再次获取本文中的引荐,该引荐讨论如何找出打开了文件或目录的进程。

10 月"NT INTERNALS"

我 10 月《Windows NT》中的"NT 内部"列是"Win2K 可靠性增强功能,第 3 部分"。 这一系列由三个部件开始的第三部分介绍了两项功能强大的 Win2K 功能,这些功能可帮助开发人员和管理员查明 bug 驱动程序:受写入保护的内核内存和驱动程序验证程序。

现在,俄语读者可以在自己的本地阅读我的文章。 在 上前往 Windows NT 杂志的俄语版,查看第一个翻译的"NT 内部"列,"启动过程" (http://www.osp.ru/win2000/http://www.osp.ru/win2000/1999/10/59.htm). 感谢 Ivan Rouzanov 通知我这一点。

从 8 月初开始,Windows NT 杂志文章的在线版本仅可供订阅者访问,并且每期新问题均在线发布文章。 如果尚未订阅,请通过 中的订阅链接获取 http://www.sysinternals.com/publ.htm 系统内部订阅折扣。

非 SO-NEW 内容

WinObj 是一个功能强大的工具,Windows NT/2K 对象命名空间。 Object 命名空间是 NT/2K 中的三个命名空间之一:对象命名空间、注册表命名空间和文件系统命名空间。 可以通过对象命名空间中的对象访问注册表和文件系统命名空间。 例如,当 Win32 程序打开注册表项时,ADVAPI32.DLL库在调用内核服务 之前将名称 HKEY_LOCAL_MACHINE\Software\Microsoft\Registry\Machine\Software\Microsoft 转换为 NtCreateKey 。 如果查看 WinObj 中 Object 命名空间的根目录,会看到名为 Registry 的"key"类型的对象。 注册表名称与密钥名称的第一个组件匹配,因此 NT/2K 对象管理器将名称的其余部分传递给定义密钥对象的 \Machine\Software\Microsoft 子系统。 内核配置服务器维护注册表和密钥对象,因此它会分析名称的其余部分以查找所需的密钥。

可以使用 WinObj 浏览对象命名空间并查看或设置对象安全属性。 在 下载 Winobj http://www.sysinternals.com/winobj.htm. 我在 1997 年 10 月 NT Internals 列"在对象管理器内部"中讨论了 Object Manager 命名空间和 WinObj。 按照以下链接访问 colum 的在线版本: http://www.sysinternals.com/publ.htm.

INTERNALS 新闻

WIN2K RC2 DDK 已发布

现在可以从 下载 Microsoft 设备驱动程序开发工具包的 Win2K RC2 (DDK) 下载 http://www.microsoft.com/ddk/ddkRC2.htm. 可以免费下载工具包或在线浏览文档。

新的 WIN2K RC2 内核 API

在最新的 Win2K 内核中,情况看起来正在稳定。 RC3 中只有四个新的导出内核 API,而不是大约 12 个出现在 (,还有 66 个从 Beta 3 到 RC1) 消失。 有几个新函数有点有趣,因此我已决定记录它们。 第一个为 ,尽管未记录其原型,但它的原型包含在 MmGetSystemRoutineAddress RC2 DDK 的 ntddk.h 头文件中:

NTKERNELAPI
PVOID
MmGetSystemRoutineAddress (
    IN PUNICODE_STRING SystemRoutineName
    );

它的使用与外观一样简单。 输入驻留在 NTOSKRNL.EXE 或 HAL.DLL 的函数的名称,你将返回其入口点地址。 此函数在 Win2K 的第一个版本中实际上没有用,但可能会变得非常有用,并且它是 Microsoft 应在 NT (3.1) 的第一个版本中包含的函数。 与 Win32 应用程序的用户空间一样,此函数允许驱动程序动态确定 GetProcAddress API 的可用性。 如果 Microsoft 将新 API 添加到 Win2K 服务包 (并且我确定可以编写) 驱动程序以利用 API,但也可以在较旧版本的 Win2K 上正常失败或在不使用 API 的模式下运行。 驱动程序能够这样做的关键是能够在加载后检查 API 是否存在。 如果没有此功能,驱动程序必须静态链接到它使用的函数,并且如果加载驱动程序时这些函数不存在,则内核加载程序会向用户报告一个错误,并且无法加载驱动程序。

第二个新 API 是 MmGetPhysicalMemoryPages 。 同样,其原型位于 RC2 ntddk.h 中,但并未记录。 其原型为:

NTKERNELAPI
PPHYSICAL_MEMORY_RANGE
MmGetPhysicalMemoryRanges (
    VOID
    );

其中 PHYSICAL_MEMORY_RANGE

typedef struct _PHYSICAL_MEMORY_RANGE {
    PHYSICAL_ADDRESS BaseAddress;
    LARGE_INTEGER NumberOfBytes;
} PHYSICAL_MEMORY_RANGE, *PPHYSICAL_MEMORY_RANGE;

此函数返回一个条目数组,该数组的末尾由一个条目标记,该条目对于 和 都有 PHYSICAL_MEMORY_RANGEBaseAddressNumberOfBytes 0。 与 MmGetSystemRoutineAddress 一样,它是一个非常简单的 API。 它会返回 Win2K 知道的所有物理内存的说明。 Win2K 支持使用 和 API 来添加和删除 MmAddPhysicalMemoryMmRemovePhysicalMemory 内存。 这促使存在允许查询内存范围的 API 的原因。 MmAddPhysicalMemory 在 RC1 和 MmRemovePhysicalMemory RC2 中添加了 。 这两个函数也在 ntddk.h 中原型化。

其他新的 RC2 API 是什么? PoShutdownBugCheckRtlInvertRangeListPoShutdownBugCheck 使你能够崩溃系统并执行与电源相关的操作,例如挂起。 RC2 内核在几个位置使用。 范围是一般起始端规范,由用户定义,并且由许多内核 API 支持,用于管理、排序和访问它们。 Win2K 即插即用资源仲裁使用它们来跟踪和组织硬件资源要求。 即使未记录范围列表 API,其所有原型和结构定义都包含在 ntddk.h 中,因此你可能可以使用 API 来管理自己的面向开始端的数据。

请继续关注后续新闻稿中未记录的 API,以更加有趣。

软件开发 99 东部

1999 年东部陆版本的软件开发将于 11 月 8 日至 12 日在美国华盛顿特区进行。 我在最后一天进行了三场讲座:Windows 2000 年对开发人员的新增功能、Windows NT/2000 蓝屏内部和 Windows NT/2000 网络内部。 此外,在 Windows NT 第 2 版内部和邻居 (中,Dave 则与我在一起 20 分钟,在所有位置(Dan且 CT) ),我托管着一个 Windows NT/2K 内部机制圆表。 我们将一起回答有关 Windows NT/2K 内部问题。 说你好,并提及新闻稿,我将向你提供免费的 Systems Internals T 恤!

请访问软件开发网站,网址为 http://www.sdexpo.com.

使用 DISKEDIT

你可能不知道,但有一个磁盘编辑器实用工具Windows NT DOS 的可修复的"Windows NT磁盘编辑"样式。 此外,该实用工具了解 FAT 和 NTFS,并且是免费的。 Microsoft 在 Windows NT 4.0 Service Pack 4 CD 上意外提供了 DiskEdit,该工具必须是文件系统团队的内部调试工具。 DiskEdit 有一个简洁的界面,需要一个小的手册来记录,但我将开始一个简单的演练。 我将重点介绍使用 DiskEdit 来解压缩 NTFS 文件系统格式,因为 DiskEdit 是了解 NTFS 的唯一公开可用的工具。

首先,需要从 SERVICE Pack 4 (SP4) CD-ROM 获取 DiskEdit。 只需将其从 \i386 目录复制到硬盘。 如果要在 Win2K 下使用 DiskEdit,则需要为它创建一个专用目录,将以下 DLL 从 SP4 winnt\system32 目录 (或 SP4 CD) 复制到与 DiskEdit 相同的目录:IFSUTIL.DLL、ULIB.DLL、UNTFS.DLL 和 UFAT.DLL。 现在可以启动 DiskEdit。

对于本演练,在 NTFS 驱动器的根目录中创建名为 TEMP 的目录,并在此目录中创建名为 OUT.TXT 的文件,方法为在命令提示符窗口中键入以下命令,将 TEMP 用作当前目录 echo hello > out.txt :。 通过选择"文件",OUT.TXT DiskEdit 中具有新配置文件的驱动器|打开菜单项,在生成的对话框的"卷名"字段中输入驱动器号。 请确保包含冒号,例如 d: ""。 几乎所有 DiskEdit 功能都需要已打开驱动器。

我们将从 NTFS OUT.TXT根目录开始查找文件。 选择菜单项"读取|NTFS 文件记录打开一个对话框,通过该对话框,只需输入其编号,就可查看任何 MFT 记录条目。 保留每个 NTFS 驱动器的前 16 个 MFT 记录条目,并对应于预定义的 NTFS 元数据文件。 下面是数字分配, (DiskEdit 将所有输入解释为十六进制) :

        0: $MFT - MFT
        1: $MFTMirr - MFT Mirror (a copy of the first 4 entries of the MFT)
        2: $LogFile - NTFS LogFile
        3: $Volume - volume information file
        4: $AttrDef - the attribute definition file
        5: . - the root directory
        6: $Bitmap - the volume allocation bitmap file
        7: $Boot - the boot sector
        8: $BadClus - the bad cluster database file
        9: $Secure - new to SP4, the security attribute database
        A: $UpCase - the lower-to-upper case mapping file
        B: $Extend - new to Win2K, the directory that contains
                             the reparse, object ID, and quota metadata files
        C-F: Unused as of NTFS v5.0 (Win2K)

继续查看其中一些 MFT 条目。 你将开始注意到一个常见主题:它们全部由 $INDEX_ROOT 、 和 等 $FILE_NAME 属性组成 $DATA 。 它位于存储特定于文件的数据的属性中。 当属性数据较小时,NTFS 将数据存储在文件的 MFT 记录中作为"驻留"数据,而当数据较大时,NTFS 将记录外部的数据作为"非驻留"数据存储在磁盘上的群集中。

现在输入"5"作为文件编号,你将查看根目录的文件。 我们将通过查看目录的 属性(特定于记录目录内容的目录的属性)来查看根目录中的文件和 $INDEX_ALLOCATION 目录。 为此,请选择"读取|NTFS 属性菜单项,这将打开另一个对话框。 DiskEdit 区分大小写,因此请精确输入以下内容,就像我列出它一样:

        Base Frs Number: 5

基本 Frs (基本文件记录) 是 MFT 编号的另一个名称。 输入 到 5 可指定想要从根目录读取属性。

        Attribute Type: $INDEX_ALLOCATION

这向 DiskEdit 指示要读取目录的内容数据。 建议使用下拉菜单来选择想要的属性,因为 DiskEdit 对于输入属性类型的方式非常有选择。

        Attribute Name: $I30

如果查看根目录的属性,会看到""在其""行中列为其名称,因此,你输入的就是属性 $INDEX_ALLOCATION$I30Type code, name 名称。

按"确定",你将看到属性内容的十六进制转储。 我们希望看到一些更具理解性,因此请选择"视图|NTFS 索引缓冲区菜单项。 你将看到目录内容列表。 滚动浏览列表,直到看到名称为 TEMP ""的条目。 如果看不到该条目,则条目可能位于根目录的 属性(也与目录关联的属性类型)中,并且始终将值存储在 $INDEX_ROOT MFT 记录中。 索引根条目和分配条目共同构成了存储所有目录条目的 B+ 树结构。 如果必须查看属性,只需执行与查看属性相同的步骤来 $INDEX_ROOT 查看 $INDEX_ALLOCATION 该属性。 在索引缓冲区中滚动时,可能会看到双行星号:这些星号指定一个索引缓冲区的末尾和下一个索引缓冲区的开头。

找到 TEMP 目录的条目后,请记下 FRS (文件) 。 选择"读取|NTFS 文件记录并输入 TEMP 的 FRS。 现在,查看 TEMP 目录的 MFT 记录。 我们想要查找OUT.TXT文件,因此必须查看 TEMP 的内容来查找它。 查看 TEMP (或) 属性,切换到将数据作为 NTFS 索引缓冲区查看,并找到OUT.TXT $INDEX_ALLOCATION$INDEX_ROOT 文件。 请记住在属性选择对话框中输入 TEMP 的 FRS 作为基本 FRS 编号。 如果刚刚创建了 TEMP,则只有 (错误键入某些内容,就会看到 DiskEdit 的空错误对话框出现 $INDEX_ROOT) 。

找到"读取"OUT.TXT确定其 FRS 使用 Read|NTFS 文件记录,查看其 MFT 条目。 向下滚动,直到找到 $DATA 属性。 现在,你正在查看OUT.TXT的位置。 由于我们创建一个小文件,因此数据存储在 MFT 记录中。 如果尝试使用 DiskEdit 查看 OUT.TXT 的 属性,将看不到任何数据,因为 DiskEdit 无法正确显示驻留数据 (DiskEdit 的许多 bug 之 $DATA 一) 。 因此,将 2KB (> 2KB) 复制到 \TEMP\ OUT.TXT 。 现在,可以通过以下两OUT.TXT查看数据:可以使用读取检查数据的开始位置 (或者所有数据是否连续存储在磁盘上) 数据|NTFS 群集并指定在属性"范围OUT.TXT"中显示的第一个"lcn" $DATA 值;或者可以使用 Read|NTFS 属性,并输入""作为属性类型, (中不向该字段键入任何内容,) $DATA 作为属性名称。

区列表描述属性的非驻留数据的位置。 一个区列表条目描述了长度最多为 16 个群集的每个连续数据块。 区列表条目指定虚拟群集编号 (vcn) 、逻辑群集 (lcn) 和运行长度。 Vcn 是文件内的群集,条目描述的数据从该群集开始。 Lcn 指定将数据存储在磁盘上的逻辑群集,runlength 是该位置的属性数据的字节数 (请记住,DiskEdit 显示十六进制值) 。

通过展示如何扫描目录内容,OUT.TXT查找文件的 MFT 记录。 但是,有一个快捷方式:选择"破解|NTFS 路径并输入TEMP\OUT.TXT。 你将看到 OUT.TXT FRS,可以使用 Read|NTFS 文件记录,直接转到它。

这使我结束 DiskEdit 的开始。 建议通过浏览 FAT 或 NTFS 驱动器来体验此功能强大的工具。 你不太可能会发现使用 DiskEdit 修改数据以从卡住磁盘中恢复数据的可能性,但如果对 NTFS 磁盘上格式感兴趣 (FAT 格式是记录完善的) 这是用于调查的极好工具。

即将提供哪些功能

WIN2K API 激增

尽管 RC2 中只有 4 个新的已导出内核模式 API,但自 NT 4.0 起,Microsoft 在内核和核心 Win32 DLL 中引入的 API 总数已激增。 下月,我将准确告诉你有多少个新 API 以及新 API 出现在何处,遗憾的是,同时让那些认为 Win2K 是一种膨胀的、对 alt.advocacy.linux Usenet rants 的极大信任的人。


感谢你阅读系统内部信息通讯。

发布时间:1999 年 10 月 20 日星期三晚上 7:10(由 ott一)

[新闻稿存档 ^][ 第 1 卷 ,第 4 卷][卷 2,数字 1 ]

[新闻稿存档 ^][ 第 1 卷 ,第 4 卷][卷 2,数字 1 ]

系统内部信息新闻稿第 1 卷,第 5 号

http://www.sysinternals.com
版权所有 1999 Mark Russin一文