拦截对磁盘块的写入。此操作将驻留在什么级别？在FS层还是在LVM和FS之间？

Question

场景：

您在 Windows 7 中打开 notepad.exe。写入 1024 个字符并保存文件。 Windows显然将这个文件保存到硬盘上。此时我可以确定数据写入哪个块。一个简单的文件监视器会给我通知事件的信息，但在文件系统层，它是否还包括数据写入的块？鉴于文件小于 4kb，它将仅使用 1 个块。文件系统知道它将去往哪个块吗？

有人可以更深入地解释一下这个过程吗？在堆栈的哪一层确定数据最终将进入哪个块。在文件系统级别使用驱动程序的文件监视器是否能保证最终的块目的地？或者这是在文件系统层和逻辑卷层之间确定的，这意味着我需要一个上层卷过滤器驱动程序？

Answer 1

文件系统驱动程序（或者甚至可能低于级别，具体取决于您是否对 HDD 盘上文件的物理位置的簇号感兴趣）决定数据进入哪个块（或簇）。我不确定即使使用卷过滤器驱动程序您是否能够链接文件和块。总而言之，文件可以是稀疏的、压缩的或加密的，即使有文件系统过滤器捕获数据（将它们与保存到块的数据匹配），您也无法进行匹配。如果您解释跟踪的目的是什么，也许有人会提出比构建一堆过滤器驱动程序更好的主意。