64位系统下System32文件系统重定向
前言
因为一次偶然的机会,需要访问系统目录“C:/Windows/System32“文件夹下的内容,使用的测试机器上预装了win7 64系统。在程序运行中竟然发生了该文件路径不存在的问题!!通过查看网上相关的资料,了解到64位系统下,System32(同时也包括Program Files)这两个文件夹被动态地重定向了。为了可以直观的反映这个问题,这里将编写一个小的测试程序进行验证。
实例验证
首先随机选择一个文件,并将其拷贝到系统目录的System32文件夹下。本文选择QQ启动程序进行验证(主要是QQ自带企鹅图标易于辨认,哈哈),如图1所示
图1 手动将QQ拷贝到系统System32文件夹下
编写实际测试程序,直接上代码(调用了windows系统API PathFileExists来判断文件是否存在)
/************************************************************************/ /* file : 验证在64位机器上system32以及Program Files的exe不能用API直接找到 * author : Huagang Li * date : 2014-8-23 01:22:55 * tips : 64位系统下system32 文件夹重定向机制 * */ /************************************************************************/ #include <Windows.h> #include <string> #include <tchar.h> #include <Shlwapi.h> #pragma comment(lib,"Shlwapi.lib") // PathFileExists链接时需要 int WINAPI WinMain( __in HINSTANCE hInstance, __in_opt HINSTANCE hPrevInstance, __in_opt LPSTR lpCmdLine, __in int nShowCmd ) { std::wstring strFile = L"C:\\Windows\\System32\\QQProtect.exe"; if (::PathFileExists(strFile.c_str())) { ::MessageBox(NULL, _T("文件存在"), _T("Good"), MB_OK); } else { ::MessageBox(NULL, _T("文件不存在"), _T("Opps"), MB_OK); } return EXIT_SUCCESS; }
运行的结果如图2所示:
图2 文件不存在??
从上面的结果可以看出,在调用windows API检测QQ文件是否存在时,系统给出了一个令人匪夷所思的结论:文件不存在!!但这个文件确实被拷贝进了该目录下啊。要解释这个奇怪的现象,就得从windows 64位系统中的文件系统重定向说起。当微软开发了64位系统时,为了做到向前兼容,需要重新实现32为系统中需要的相关文件(system32文件夹下的dll以及exe)。然而,这些新的实现版本是基于64位系统开发的,因此如果继续存放于System32文件夹下,显得名不副实。可是为了做到向前兼容,又需要将这些依赖文件存放于这个目录下,为了解决上述冲突,微软采用了一种文件系统重定向机制:在64位系统下,System32文件夹下的文件实际重定向到SysNative这个文件夹(注意,这个文件夹不能直接找到)。这样,就可以将64位系统下64位的库和应用程序存放于System32文件夹下(因为已经重定向到SysNative了),而32位的库和应用程序则被存放在另一个叫做SysWOW64的文件夹中。具体的对应关系为:
\Windows\SysWOW64 文件夹下存放32位的库和应用程序 (WOW64 == Windows on Windows 64 bit )
\Windows\System32 文件夹下存放64位的库和应用程序
为了验证文件系统重定向,将前文中的测试路径改为:
std::wstring strFile = L"C:\\Windows\\SysNative\\QQProtect.exe";
测试结果如图3所示:
图3 改为Sysnative结果
上述结果显示了,64位系统下如果需要访问System32目录下的文件,一个可行的方法是将访问路径改为SysNative。但是由于sysnative文件夹不能通过windows资源管理器访问到(如图4所示),因此对于一般人来讲,这样的改名其实很困惑。
图4 资源管理器访问不到Sysnative文件夹
既然微软开发了文件系统重定向机制机制,那就可以通过一定的方式操作这种机制。通过查看msdn可以发现,http://msdn.microsoft.com/en-us/library/aa365743.aspx 提供的方式可以禁用文件系统重定向问题。因此,本文尝试调用这个API接口进行验证:
/************************************************************************/ /* file : 验证在64位机器上system32以及Program Files的exe不能用API直接找到 * author : Huagang Li * date : 2014-8-23 01:22:55 * tips : 64位系统下system32 文件夹重定向机制 * */ /************************************************************************/ #include <Windows.h> #include <string> #include <tchar.h> #include <Shlwapi.h> #pragma comment(lib,"Shlwapi.lib") // PathFileExists链接时需要 int WINAPI WinMain( __in HINSTANCE hInstance, __in_opt HINSTANCE hPrevInstance, __in_opt LPSTR lpCmdLine, __in int nShowCmd ) { std::wstring strFile = L"C:\\Windows\\System32\\QQProtect.exe"; // 64位系统下 system32 文件系统重定向 PVOID OldValue = NULL; Wow64DisableWow64FsRedirection(&OldValue); if (::PathFileExists(strFile.c_str())) { ::MessageBox(NULL, _T("文件存在"), _T("Good"), MB_OK); } else { ::MessageBox(NULL, _T("文件不存在"), _T("Opps"), MB_OK); } Wow64RevertWow64FsRedirection(OldValue); return EXIT_SUCCESS; }
运行后得到的结果和上文中Sysnative一样,如图5所示:
图5 禁用文件系统重定向机制后的结果
注意,由于禁用文件系统重定向后可能引起其他一些问题(例如原本依赖于System32下的dll文件加载失败),因此在禁用并完成需要的操作后,要回复原来的禁用状态(如程序中Wow64RevertWow64FsRedirection(OldValue);)。这样,在调用PathFileExists后,恢复了文件系统重定向机制,不会影响后续操作。
另外,64位系统下Program Files与Program Files(x86)的关系就与上面的System32和S也是WOW64一致,也存在文件系统重定向。
结论
1. 64位系统下存在文件系统重定向机制(File System Redirector)
2. System32文件夹动态被定向到SysNative文件夹
3. 可以通过windows API Wow64DisableWow64FsRedirection禁用这种定向机制
参考链接
[1] http://msdn.microsoft.com/en-us/library/aa384187.aspx
[2] http://msdn.microsoft.com/en-us/library/aa365743.aspx
[3] http://blog.sina.com.cn/s/blog_792da39c01013bzh.html
