SMB2/Ioctl/Function/FILE_DEVICE_NETWORK_FILE_SYSTEM/FSCTL_GET_SHADOW_COPY_DATA ​

0x00144064

此 SMB2/Ioctl 函数将查询文件或文件系统，以获取卷影副本的数量及其标签。

Device ​

SMB2/Ioctl/Function Device == FILE_DEVICE_NETWORK_FILE_SYSTEM

Access ​

SMB2/Ioctl/Function Device == FILE_READ_ACCESS

Function ​

SMB2/Ioctl/Function Function == 0x0019

Method ​

SMB2/Ioctl/Function Method == METHOD_BUFFERED

In Data ​

没有输入数据

Out Data ​

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Num Volumes |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Num Labels |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Count |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Labels+-+-+-+-+...

Num Volumes ​

卷的数量

Num Labels ​

标签数量

Count ​

标签列表中的字节数

Labels ​

由 Num Label 个以 null 结尾的 unicode 字符串组成的序列

讨论 ​

客户端有时会发出此 ioctl，并将 Max Out Length 设置为 16。这不足以返回任何标签，只是一种在进行真正调用之前探测输出缓冲区需要多大的方法。

如果输出缓冲区不足以容纳所有标签，则缓冲区将被直接截断，且不会返回错误。

Imported from https://wiki.wireshark.org/SMB2/Ioctl/Function/FILE_DEVICE_NETWORK_FILE_SYSTEM/FSCTL_GET_SHADOW_COPY_DATA on 2020-08-11 23:25:09 UTC

相关 Wireshark Wiki 页面 ​

• Wireshark Wiki 首页Home · 入门与使用
• SMB2/IoctlSMB2/Ioctl · 全量归档
• SMB2/Ioctl/FunctionSMB2/Ioctl/Function · 全量归档