那些遇到过的问题

如何在 Windows 7 中更改休眠文件的位置?

Phe*_*nom 46 windows-7 hibernate

我无法在 Windows 7 中启用休眠,因为我的 C: 驱动器上没有足够的空间来创建休眠文件。如何让 Windows 将文件放在其他地方?

Sna*_*ark 42

你不能,它必须在引导驱动器的根目录中(在你的情况下是 C: 驱动器)。

Raymond Chen 在这篇 Windows 机密文章中解释了原因:文件系统悖论

休眠遵循类似的模式。使操作系统休眠意味着将内存的全部内容转储到休眠文件中;从休眠状态恢复需要将该文件吸回内存并假装什么也没发生。同样,这是另一个鸡与蛋的问题:要加载休眠文件,您需要文件系统驱动程序,但文件系统驱动程序在休眠文件中。如果将休眠文件保存在引导驱动器的根目录中,则可以使用微型文件系统驱动程序。

  • 对于糟糕的 Windows 无法处理这个问题,我的 SSD 真的需要它。我希望他们在未来修复它,这样你就可以像在 Mac OS X 中一样选择把它放在哪里。 (15认同)
  • 是的,在我看来,这有点设计缺陷。即使系统需要从主驱动器启动,也没有理由必须在同一个驱动器上存储所有千兆字节的信息——休眠文件可以加载基本信息(例如驱动器访问),然后寻找另一个驱动器以获取更多信息数据。不幸的是,他们没有设计它来处理这种情况——这意味着他们不会在一个新的操作系统......如果有的话。 (5认同)
  • 这是微软愚蠢的借口。如果两个磁盘都在同一个控制器上 - 使用相同的驱动程序怎么办?如果一个磁盘是ssd并且您不想快速磨损怎么办? (3认同)
  • @NickSoft,没错。没有什么能阻止“微型文件系统驱动程序”识别其他磁盘驱动器。除了纯粹的懒惰和典型的微软削减成本的方法,以最大限度地提高 Micro$oft 回报。 (2认同)

Nad*_*adu 6

好的,移动 hiberfil.sys 需要解决两件事

  1. 告诉作为进程“系统”运行的“ntoskrnl.exe”将休眠数据打开/保存到 D:\hiberfil.sys 而不是 C:\ -> 尚未解决!

  2. 将此机会也应用于启动配置数据文件 (c:\BOOT\BCD) -> 使用 VisualBCD 之类的工具相对容易https://www.boyans.net/DownloadVisualBCD.html -> 甚至只使用 regedit编辑 HKLM\BCD00000000\Objects{71575733-c376-11e4-80ea-806e6f6e6963}\Elements\21000001 即 ResumeLoader 的 HiberFileDrive 或 \22000002 HiberFilePath。也许你需要使用 'File/Load hive' c:\BOOT\BCD 来挂载 'BCD00000000' 分支。(光标需要在 HKLM 上,否则菜单项是灰色的) -> 因为看起来这已经完成了通过 ntosknl.exe,因此无需更改此设置,因为您的更改将被覆盖。

然而,1. 是更糟糕、更难以改变的事情。嗯,让我们将 ntoskrnl.exe 加载到 IDA 并找到处理 /hiberfil.sys 的函数并反编译它以查看那里到底发生了什么......

__int64 __fastcall PopCreateHiberFile(LARGE_INTEGER *a1)
{
...
 RtlInitUnicodeString(&Source, L"\\hiberfil.sys");
...
  RtlAppendUnicodeStringToString(&Destination, &IoArcBootDeviceName);
  RtlAppendUnicodeStringToString(&Destination, &Source);
...
  ObjectAttributes.RootDirectory = 0i64;
  ObjectAttributes.Attributes = 576;
  ObjectAttributes.ObjectName = &Destination;
  ObjectAttributes.SecurityDescriptor = v5;
  ObjectAttributes.SecurityQualityOfService = 0i64;
  ret_2 = IoCreateFile(
            &FileHandle,
            0x100003u,
            &ObjectAttributes,
...
Run Code Online (Sandbox Code Playgroud)

好吧,简而言之,路径是这样硬编码的: IoArcBootDeviceName + "\hiberfil.sys" 没有一些讨厌的二进制补丁,没有办法改变它。好吧,除了接触神圣的窗口之外,修补“ntoskernel”可能会导致诸如更新撤消补丁或防病毒程序可能会变得疯狂等问题……但是让我们看看对 IoArcBootDeviceName 的引用是什么:

IopLoadCrashdumpDriver PopDeleteHiberFile PopCreateHiberFile PopBcdSetupResumeObject PopBcdSetDefaultResumeObjectElements PopBcdSetPendingResume PopBcdRegenerateResumeObject PopBcdEstablishResumeObject PopAllocateHiberContext IopCreateArcNames PopBcdSetupResumeObject

哇,改变这似乎很好(唯一有点不正常的是 IopLoadCrashdumpDriver System32\Drivers\crashdmp.sys 但是谁需要崩溃转储 - 如果我们在那里破坏一些东西并不重要)

所以修补IopCreateArcNames创建ArcBootDeviceName将被罚款:

NTSTATUS INIT_FUNCTION NTAPI IopCreateArcNames  (   IN PLOADER_PARAMETER_BLOCK  LoaderBlock )   
...
   /* Create the global system partition name */
   63     sprintf(Buffer, "\\ArcName\\%s", LoaderBlock->ArcBootDeviceName);
   64     RtlInitAnsiString(&ArcString, Buffer);
   65     RtlAnsiStringToUnicodeString(&IoArcBootDeviceName, &ArcString, TRUE);
   66 
   67     /* Allocate memory for the string */
   68     Length = strlen(LoaderBlock->ArcBootDeviceName) + sizeof(ANSI_NULL);
   69     IoLoaderArcBootDeviceName = ExAllocatePoolWithTag(PagedPool,
   70                                                       Length,
   71                                                       TAG_IO);
   72     if (IoLoaderArcBootDeviceName)
   73     {
   74         /* Copy the name */
   75         RtlCopyMemory(IoLoaderArcBootDeviceName,
   76                       LoaderBlock->ArcBootDeviceName,
   77                       Length);
   78     }

...
Run Code Online (Sandbox Code Playgroud)

https://doxygen.reactos.org/d3/d82/ntoskrnl_2io_2iomgr_2arcname_8c.html 顺便说一句,我正在使用 Win7 64 位的 ntkrnlmp.exe 6.1.7601.19045 并针对 ReactOS 检查了此代码。(然而,休眠部分尚未在 Reactos 源代码中实现) 请注意 ArcBootDeviceName 将类似于:\Device\Harddisk1\Partition0

嗯,让我们将 ArcBootDeviceName(LoaderBlock + 0x78) 修补为 ArcHalDeviceName(LoaderBlock + 0x80)

因此,如果 bootmgr 加载程序位于与 windows 不同的分区上,希望 hibernate.sys 是 bootmgr 所创建的。

1405A9C15 4C 8B 4B 78                    mov     r9, [rbx+78h]
Patch #1           80

1405A9C19 4C 8D 05 30 06+                lea     r8, aArcnameS   ; "\\ArcName\\%s"
1405A9C20 48 8D 4C 24 40                 lea     rcx, [rsp+0D8h+pszDest] ; pszDest
1405A9C25 48 8B D7                       mov     rdx, rdi        ; cchDest
1405A9C28 E8 E3 AE B6 FF                 call    RtlStringCchPrintfA

...
1405A9C41 48 8D 0D C0 E7+                lea     rcx, IoArcBootDeviceName ; DestinationString
1405A9C48 41 B0 01                       mov     r8b, 1          ; AllocateDestinationString
1405A9C4B E8 60 13 DB FF                 call    RtlAnsiStringToUnicodeString
1405A9C50 48 8B 7B 78                    mov     rdi, [rbx+78h]
Patch #2           80
Run Code Online (Sandbox Code Playgroud)

因此,在 ntoskrnl.exe 中,在两个位置将 4C8B4B78 替换为 4C8B4B80。之后不要忘记修复 PE-Checksum。

  • 哦,亲爱的,改变这一点离“用户友好”还很远。即使我自己也没有完全测试过这一点。也许存在一些问题,例如需要修补 bootmgr 或通过修补 ntioskrnl 或 bootmgr 触发的某些签名检查,但我无法找到并解除武装。然而,我只是对这个挑战着迷,只是为了资金进入 Windows 内部。这些是我的“发现”。 (2认同)

归档时间:

查看次数:

65763 次

最近记录:

6 年,4 月 前
我可以将 hiberfil.sys 移动到另一个驱动器吗? 91
更多相关链接
相关归档
技术人员可以随时访问我的电脑吗? 16
如何覆盖 wincmd.ini 位置? 11
启动文件夹中的程序在启动时不运行 9
未启用交换的休眠 9
Windows 7 中的 XP 模式是否比常规虚拟机更好? 6
KVM 切换期间的音频问题 6
在 Windows 7 中自由移动图标 5
自动隐藏/取消隐藏 Windows 任务栏的脚本/工具 5
如何卸载不提供“删除”选项的打印机? 4
Windows 7 全窗口透明度 0
难疑归档
你如何将 wget 响应重定向到标准输出? 237
键入`ls -l`时,文件名后面的星号是什么意思? 202
在不使用 Internet 的情况下传输大文件有哪些选择? 191
如何防止 VLC 根据查看的内容分辨率自动调整其窗口大小? 159
如何知道 Windows 上次重新启动的时间? 138
为什么 Firefox 在 URL 中使用“chrome://”协议/架构? 126
$WINDOWS.~BT 文件夹是什么? 123
Windows 10:重命名 Windows 资源管理器快速访问中的固定项目 103
移动处理器和桌面处理器有什么区别? 101
“本地”和“漫游”文件夹有什么区别? 99