在过滤驱动程序创建IRP查询文件信息

最新推荐文章于 2022-03-21 22:06:33 发布
最新推荐文章于 2022-03-21 22:06:33 发布
阅读量5.7k 收藏 1
点赞数
分类专栏: 文件过滤驱动 文章标签: file integer basic object processing struct
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/joshua_yu/article/details/591628
版权

在开发Windows下文件系统过滤驱动程序时,我们经常需要先查询一下文件的属性信息,为了实现这个小目标,可以调用Windows Native API函数ZwQueryInformationFile并提供希望查询的文件信息类的名字及结构即可。不过如果我们在驱动程序当中自己处理信息查询请求,可以避免IRP重入的问题。

1.自己创建文件信息查询IRP

NTSTATUS
QueryFileInformation(
 PDEVICE_OBJECT DeviceObject,
 PFILE_OBJECT FileObject,
 FILE_INFORMATION_CLASS FileInformationClass,
 PVOID FileInfo,
 ULONG FileInfoLength
 )
{
 PIRP Irp;
    KEVENT event;
    IO_STATUS_BLOCK IoStatusBlock;
    PIO_STACK_LOCATION IoStackLocation;
 
    //
    // Initialize the event
    //
    KeInitializeEvent(&event, NotificationEvent, FALSE);
 
    //
    // 分配一个IRP,用目标设备对象的StackSize作为新创建IRP的堆栈大小,这是
    // 标准的提供堆栈大小的方法。
    //
    Irp = IoAllocateIrp(DeviceObject->StackSize, FALSE);
 
    if (!Irp)
        return FALSE;
 
    //
    // 设置IRP头的相关参数,由于我们采用IoAllocateIrp创建的IRP,因此很多
    // 域要自己设置,包括安装输入缓冲区,同步事件以及IRP标志字段,这个字段
    // 对文件信息查询没有太大的用处,对文件读写十分关键。
    // 
    Irp->AssociatedIrp.SystemBuffer = FileInfo;
    Irp->UserEvent = &event;
    Irp->UserIosb = &IoStatusBlock;
    Irp->Tail.Overlay.Thread = PsGetCurrentThread();
    Irp->Tail.Overlay.OriginalFileObject = FileObject;
    Irp->RequestorMode = KernelMode;
    Irp->Flags = 0;
 
    //
    // 设置IRP堆栈位置中的相关参数,最重要的是MajorFunction,它决定了这个
    // IRP的主要功能,另外Parameters.QueryFile.FileInformationClass定义了
    // 希望查询哪种文件信息。
    //
    IoStackLocation = IoGetN

最低0.47元/天 解锁文章
峥嵘岁月76
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
[Win32驱动14]通过4种方式手动创建IRP
輚至消亡
11-11 521
1. IoBuildSynchronousFsdRequest __drv_aliasesMem PIRP IoBuildSynchronousFsdRequest( ULONG MajorFunction, PDEVICE_OBJECT DeviceObject, PVOID Buffer, ULONG Length, PLARGE_INTEGER StartingOffset, PKEVENT
简单的恶意样本行文分析-入门篇
weixin_48421613的博客
06-21 1106
开篇引题,此篇文章为入门入门文章,里面的内容为后续软件安全分析铺垫,有点东西,但是不多,所以大家觉得有用就看一眼,觉得无用就不看哈,别喷;此类应用场景呢,其实就是恶意样本行为分析、在遇到后门、应急响应后将恶意样本拷贝走之后去做一个初步的排查,能发现样本做了些什么,他有哪些功能等等...
[内核编程]内核态下的基本文件操作
輚至消亡
07-12 848
下面提供文件的复制, 删除以及重命名操作: 先说一下内核态下文件复制的主要步骤: 1. ZwCreateFile打开原文件 2. ZwQueryInformationFileStandardFileInformation类功能查询文件大小 3. ExAllocatePool分配堆空间 4. ZwReadFile读取原文件内容到堆 5. ZwCreateFile创建文件 6. ZwWriteFile写入新文件 PS: 别忘记释放堆和关闭文件句柄 接着说一下文件删除的主要步骤: .
ReadFile WriteFile DO_DIRECT_IO 中的IRP操作
迪迦 • 奥特曼
03-21 580
开头很重要的一句,我就在这里载坑了,kernel_address会直接与外面的buffer映射为同一部分,那么我们可以直接操这部分内存就行了。如果想保存,那直接保存kernel_address中的内容即可。 kernel_address为外部内存对应的内核内存地址,实际上其实对应的为同一段物理地址 Driver.h #pragma once // 用于包含ddk.h的头文件 #ifdef __cplusplus extern "C" { #endif #include <ntddk.h&g
Windows 文件过滤驱动经验总结
trents的专栏
05-11 524
看了 ChuKuangRen的第二版《文件过滤驱动开发教程》后,颇有感触。我想,交流都是建立在平等的基础上,在抱怨氛围和环境不好的同时应该先想一想自己究竟付出了多少?只知索取不愿付出的人也就不用抱怨了,要怪也只能怪自己。发自己心得的人无非是两种目的,一是引发一些讨论,好纠正自己错误的认识,以便从中获取更多的知识使自己进步的更快。二是做一份备忘,当自己遗忘的时候能够马上找到相关资料。我这
IFS文件过滤驱动程序开发之IRP文件操作接口的终极实现代码.zip
01-28
IFS(Installable File System)文件过滤驱动程序是Windows操作系统中用于拦截和处理文件系统操作的一种内核模式组件。IRP(I/O Request Packet)是Windows内核用来在驱动程序之间传递I/O请求的结构体,它包含了I/O...
利用汇编开发文件过滤驱动程序.sys驱动开发
01-28
在IT行业中,驱动程序开发是一项高技术含量的工作,特别是文件过滤驱动程序的开发,它涉及到操作系统内核层面的编程。本话题将详细讲解如何利用汇编语言开发文件过滤驱动程序,这种驱动通常以`.sys`文件形式存在,...
利用汇编语言开发文件过滤驱动程序
08-07
文件过滤驱动程序则是一种特殊的驱动程序,它工作在文件系统层,允许开发者拦截、修改或控制文件系统操作。本话题聚焦于如何利用汇编语言开发这样的驱动程序。 汇编语言是一种低级编程语言,它直接对应于计算机的...
WDM编程编写文件过滤驱动程序 源码
11-20
文件过滤驱动程序是一种特殊的WDM驱动,它们位于文件I/O路径中,用于在数据传输到或从文件系统时拦截和处理I/O请求。这些驱动程序在系统中扮演着至关重要的角色,因为它们可以在用户模式应用与文件系统之间添加额外...
VRV.rar_文件 过滤_文件过滤驱动
最新发布
09-24
【标题】"VRV.rar_文件 过滤_文件过滤驱动"涉及的核心概念是文件过滤驱动,这是一种在操作系统层面上实现文件系统保护的技术。文件过滤驱动(File Filtering Driver)是Windows操作系统内核模式驱动程序的一部分,它...
文件过滤驱动源代码 过滤文件系统驱动的完整代码
08-07
文件过滤驱动是Windows操作系统中的一种关键技术,用于在文件系统与应用程序之间插入一层处理逻辑,它可以在文件被读取、写入或创建时进行拦截,执行特定的操作,如数据加密、权限控制、日志记录等。这个压缩包"文件...
WDM编程编写文件过滤驱动
08-07
文件过滤驱动通常包含一个或多个文件系统过滤驱动,它们通过创建设备堆栈并附加到文件系统驱动之上来实现。这些驱动能够捕获文件的打开、关闭、读取、写入等操作,并在必要时进行修改或阻止。 3. **编写文件过滤...
文件过滤驱动用于windows驱动学习
10-19
4. **上下文信息管理**:为了跟踪每个文件对象的相关信息文件过滤驱动通常会为每个打开的文件创建一个上下文结构。这可以帮助驱动记住特定于文件的状态,比如访问权限或者过滤规则。 5. **同步与并发控制**:由于...
一个文件过滤驱动的完整代码,实现了文件加解密
11-20
文件过滤驱动(File System Filter Driver)是Windows操作系统中一种低级别的驱动程序,它在文件系统之上,硬件驱动之下运行,可以拦截对文件系统的操作。IFS(Installable File System)是微软Windows NT内核系列...
开发windows驱动程序,实现监控文件读写操作.zip
12-27
本压缩包"开发windows驱动程序,实现监控文件读写操作.zip"提供了一个关于如何创建驱动程序以监控文件系统读写操作的实例。下面我们将深入探讨这一主题。 1. **驱动程序概述** - 驱动程序是硬件设备与操作系统之间...
less加管道tail_Linux之cat tail less常见用法
weixin_39957934的博客
12-21 175
1.cat通常查找出错误日志 cat error.log | grep 'foo' , 这时候我们还有个需求就是输出当前这个日志的前后几行:cat error.log | grep -C 10 'foo' #显示file文件里匹配foo字串那行以及上下10行cat error.log | grep -B 10 'foo' #显示foo及前10行cat error.log | grep -A 10 ...
ring0层下实现的文件强制删除
zz_strive_2012的专栏
07-21 484
文件强删 在日常生活使用电脑的过程中,遇到删不掉的文件的时候,我们总会通过一些软件提供的强制删除文件功能来删除顽固的文件文件强删技术对于杀软来说是清楚病毒木马的武器,在扫描器检测出恶意文件的时候,就需要强删功能来清除恶意文件。而对于病毒木马来说,反过来可以用强删技术来强制删除系统保护文件或是受杀软保护的文件。 本文将会介绍文件强删技术,即使文件正在运行,也能强制删除本地文件。 实现过程 当文件是PE文件而且已经被加载到内存中的时候,正常情况下是无法通过资源管理器explorer.exe来删除本地文
ZwQueryVolumeInformationFileFileFsAttributeInformation
yangsongqbs的专栏
04-18 1701
这次在编写一个windows下的虚拟磁盘时,发现了一个很郁闷的问题, 在查询指定的文件句柄所在的文件系统的信息时考试报缓存区不正确 函数原型是 NTSTATUS   ZwQueryVolumeInformationFile(     IN HANDLE  FileHandle,                                       //指定的文件句柄     OU
文件过滤驱动在信息安全中的应用与关键技术
"本文档是一篇关于文件过滤技术在信息安全领域的毕业论文正文,主要探讨了文件过滤驱动在文件加密、病毒防护、进程控制和访问审计等方面的应用。" 在信息安全领域,文件过滤技术扮演着至关重要的角色,特别是在面对...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值