note : Get FilePathName from FILE_OBJECT

最新推荐文章于 2018-10-09 15:08:00 发布
最新推荐文章于 2018-10-09 15:08:00 发布
阅读量2.6k 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lostspeed/article/details/11738311
版权

封了一个函数, 从 FILE_OBJECT 中 得到 FilePathName

在WinXpSp3下测试通过.


函数定义

BOOLEAN IsValidUnicodeString(PUNICODE_STRING pstr);
BOOLEAN GetFilePathNameFromFileObject(
    FILE_OBJECT * pFileObj, 
    UNICODE_STRING * puniFilePathName);


函数实现

BOOLEAN GetFilePathNameFromFileObject(
    FILE_OBJECT * pFileObj, 
    UNICODE_STRING * puniFilePathName)
{
    /// puniFilePathName 已经被 RtlInitUnicodeString 初始化过, 
    /// .Buffer 有MAX_PATH宽字符长度
    
    BOOLEAN bValidFN_FileObj = FALSE;
    BOOLEAN bValidFN_RelatedFileObj = FALSE;

    PFILE_OBJECT pRelatedFileObject = NULL;
    UNICODE_STRING ustrTmp;
    UNICODE_STRING ustrLink; ///< 分隔符号, e.g. L'\\'

    if ((NULL == pFileObj) || (NULL == puniFilePathName))
        return FALSE;

    /// 初始化数据
    RtlInitUnicodeString(&ustrTmp, NULL);
    RtlInitUnicodeString(&ustrLink, L"\\");
    RtlZeroMemory(puniFilePathName->Buffer, puniFilePathName->MaximumLength);
    puniFilePathName->Length = 0;

    pRelatedFileObject = pFileObj->RelatedFileObject;
    bValidFN_FileObj = IsValidUnicodeString(&pFileObj->FileName);
    bValidFN_RelatedFileObj = 
        IsValidUnicodeString(&pRelatedFileObject->FileName);

    /// 盘符
    IoVolumeDeviceToDosName(pFileObj->DeviceObject, &ustrTmp);
    RtlCopyUnicodeString(puniFilePathName, &ustrTmp);
    RtlFreeUnicodeString(&ustrTmp); ///< !
    
    /// 相对路径
    /// pRelatedFileObject->FileName 也有可能是空的
    /// 相对全路径名称全部在 pFileObj->FileName
    if (bValidFN_RelatedFileObj)
    {
        /// pRelatedFileObject->FileName.Buffer 可能是有效的
        /// 却不是一个可见的宽字符串, 以 L'\0'开头
        if ((L'\\' != pRelatedFileObject->FileName.Buffer[0])
            &&(L'\0' != pRelatedFileObject->FileName.Buffer[0]))
        {
            RtlUnicodeStringCat(puniFilePathName, &ustrLink);
        }
            
        RtlUnicodeStringCat(puniFilePathName, &pRelatedFileObject->FileName);
    }

    /// 文件名, 也有可能是包含相对路径的全路径名称.
    /// e.g. "\Windows\System\xx.yyy"
    if (bValidFN_FileObj)
    {
        if ((L'\\' != pFileObj->FileName.Buffer[0])
            && (L'\0' != pFileObj->FileName.Buffer[0]))
        {
            RtlUnicodeStringCat(puniFilePathName, &ustrLink);
        }

        RtlUnicodeStringCat(puniFilePathName, &pFileObj->FileName);
    }

    return (bValidFN_FileObj || bValidFN_RelatedFileObj);
}


BOOLEAN IsValidUnicodeString(PUNICODE_STRING pstr)
{
    BOOLEAN bRc = FALSE;
    ULONG   ulIndex = 0;

    __try
    {
        if (!MmIsAddressValid(pstr))
            return FALSE;

        if ((NULL == pstr->Buffer) || (0 == pstr->Length))
            return FALSE;

        for (ulIndex = 0; ulIndex < pstr->Length; ulIndex++)
        {
            if (!MmIsAddressValid((UCHAR *)pstr->Buffer + ulIndex))
                return FALSE;
        }

        bRc = TRUE;
    }
    
    __except(EXCEPTION_EXECUTE_HANDLER)
    {
        bRc = FALSE;
    }

    return bRc;
}

在分派例程中得到 FILE_OBJECT 方法

pIoStack = IoGetCurrentIrpStackLocation(pIrp);

pFileObject = pIoStack->FileObject;


入参的准备

    WCHAR               cFilePathNameW[MAX_PATH];
    UNICODE_STRING      unistrFilePathName;

    RtlZeroMemory(cFilePathNameW, sizeof(cFilePathNameW));
    RtlInitUnicodeString(&unistrFilePathName, cFilePathNameW);
    unistrFilePathName.MaximumLength = sizeof(cFilePathNameW); ///< !


效果图

DisPatchDeviceControl IOCTL 0x22e000
cFilePathName[0] = C:\ 
cFilePathName[1] = C:\Documents and Settings\All Users\Application Data\VMware 
cFilePathName[2] = C:\Documents and Settings\All Users\Application Data\VMware\VMware Tools 
cFilePathName[3] = C:\Documents and Settings\All Users\Application Data\VMware\VMware Tools\ 
cFilePathName[4] = C:\WINDOWS\system32\Msimtf.dll 
cFilePathName[5] = C:\WINDOWS\system32\NOTEPAD.EXE 
cFilePathName[6] = C:\WINDOWS\AppPatch\sysmain.sdb 
cFilePathName[7] = C:\WINDOWS\AppPatch\systest.sdb 
cFilePathName[8] = C:\WINDOWS\system32\ 
cFilePathName[9] = C:\WINDOWS\ 
cFilePathName[10] = C:\WINDOWS\system32\NOTEPAD.EXE.Manifest 
cFilePathName[11] = C:\WINDOWS\system32\NOTEPAD.EXE.Config 
cFilePathName[12] = C:\WINDOWS\WinSxS\Policies\x86_Policy.6.0.Microsoft.Windows.Common-Controls_6595b64144ccf1df_zh-CN_f3ffe327\ 
cFilePathName[13] = C:\WINDOWS\Assembly\GAC\Policy.6.0.Microsoft.Windows.Common-Controls\ 
cFilePathName[14] = C:\WINDOWS\WinSxS\Policies\x86_Policy.6.0.Microsoft.Windows.Common-Controls_6595b64144ccf1df_zh-CHS_6bff526c\ 
cFilePathName[15] = C:\WINDOWS\WinSxS\Policies\x86_Policy.6.0.Microsoft.Windows.Common-Controls_6595b64144ccf1df_x-ww_5ddad775\ 
cFilePathName[16] = C:\WINDOWS\WinSxS\Policies\x86_Policy.6.0.Microsoft.Windows.Common-Controls_6595b64144ccf1df_x-ww_5ddad775\6.0.2600.5512.Policy 
cFilePathName[17] = C:\WINDOWS\WinSxS\Policies\x86_Policy.6.0.Microsoft.Windows.Common-Controls.mui_6595b64144ccf1df_zh-CN_b45a2b14\ 
cFilePathName[18] = C:\WINDOWS\Assembly\GAC\Policy.6.0.Microsoft.Windows.Common-Controls.mui\ 
cFilePathName[19] = C:\WINDOWS\WinSxS\Policies\x86_Policy.6.0.Microsoft.Windows.Common-Controls.mui_6595b64144ccf1df_zh-CHS_2c599a59\ 
cFilePathName[20] = C:\WINDOWS\WinSxS\Manifests\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83.Manifest 
cFilePathName[21] = C:\WINDOWS\Prefetch\NOTEPAD.EXE-336351A9.pf 
cFilePathName[22] = C:\Documents and Settings\Administrator\ 
cFilePathName[23] = C:\Documents and Settings\Administrator\桌面\ 
cFilePathName[24] = C:\DOCUME~1\ 
cFilePathName[25] = C:\DOCUME~1\ADMINI~1\ 
cFilePathName[26] = C:\DOCUME~1\ADMINI~1\LOCALS~1\ 
cFilePathName[27] = C:\Documents and Settings\Administrator\桌面\abc.txt 
cFilePathName[28] = C:\Documents and Settings\Administrator\桌面 
cFilePathName[29] = C:\SYSTEM VOLUME INFORMATION\ 
cFilePathName[30] = C:\Documents and Settings\Administrator\Recent\ 
cFilePathName[31] = C:\Documents and Settings\Administrator\Recent\abc.txt.lnk 
cFilePathName[32] = C:\SYSTEM VOLUME INFORMATION\_RESTORE{288FCF24-DDBA-4A0A-98C0-50E279B93ECC}\ 
cFilePathName[33] = C:\SYSTEM VOLUME INFORMATION\_RESTORE{288FCF24-DDBA-4A0A-98C0-50E279B93ECC}\RP4\ 
cFilePathName[34] = C:\WINDOWS\APPPATCH\ 
cFilePathName[35] = C:\WINDOWS\WINSXS\ 
cFilePathName[36] = C:\WINDOWS\WINSXS\X86_MICROSOFT.WINDOWS.COMMON-CONTROLS_6595B64144CCF1DF_6.0.2600.5512_X-WW_35D4CE83\ 
cFilePathName[37] = C:\WINDOWS\SYSTEM32\NTDLL.DLL 
cFilePathName[38] = C:\WINDOWS\SYSTEM32\KERNEL32.DLL 
cFilePathName[39] = C:\WINDOWS\SYSTEM32\UNICODE.NLS 
cFilePathName[40] = C:\WINDOWS\SYSTEM32\LOCALE.NLS 
cFilePathName[41] = C:\WINDOWS\SYSTEM32\SORTTBLS.NLS 
cFilePathName[42] = C:\WINDOWS\SYSTEM32\COMDLG32.DLL 
cFilePathName[43] = C:\WINDOWS\SYSTEM32\ADVAPI32.DLL 
cFilePathName[44] = C:\WINDOWS\SYSTEM32\RPCRT4.DLL 
cFilePathName[45] = C:\WINDOWS\SYSTEM32\SECUR32.DLL 
cFilePathName[46] = C:\WINDOWS\WINSXS\X86_MICROSOFT.WINDOWS.COMMON-CONTROLS_6595B64144CCF1DF_6.0.2600.5512_X-WW_35D4CE83\COMCTL32.DLL 
cFilePathName[47] = C:\WINDOWS\SYSTEM32\MSVCRT.DLL 
cFilePathName[48] = C:\WINDOWS\SYSTEM32\GDI32.DLL 
cFilePathName[49] = C:\WINDOWS\SYSTEM32\USER32.DLL 
cFilePathName[50] = C:\WINDOWS\SYSTEM32\SHLWAPI.DLL 
cFilePathName[51] = C:\WINDOWS\SYSTEM32\SHELL32.DLL 
cFilePathName[52] = C:\WINDOWS\SYSTEM32\WINSPOOL.DRV 
cFilePathName[53] = C:\WINDOWS\SYSTEM32\SHIMENG.DLL 
cFilePathName[54] = C:\WINDOWS\APPPATCH\ACGENRAL.DLL 
cFilePathName[55] = C:\WINDOWS\SYSTEM32\WINMM.DLL 
cFilePathName[56] = C:\WINDOWS\SYSTEM32\OLE32.DLL 
cFilePathName[57] = C:\WINDOWS\SYSTEM32\OLEAUT32.DLL 
cFilePathName[58] = C:\WINDOWS\SYSTEM32\MSACM32.DLL 
cFilePathName[59] = C:\WINDOWS\SYSTEM32\VERSION.DLL 
cFilePathName[60] = C:\WINDOWS\SYSTEM32\USERENV.DLL 
cFilePathName[61] = C:\WINDOWS\SYSTEM32\UXTHEME.DLL 
cFilePathName[62] = C:\WINDOWS\SYSTEM32\CTYPE.NLS 
cFilePathName[63] = C:\WINDOWS\SYSTEM32\IMM32.DLL 
cFilePathName[64] = C:\WINDOWS\SYSTEM32\LPK.DLL 
cFilePathName[65] = C:\WINDOWS\SYSTEM32\USP10.DLL 
cFilePathName[66] = C:\WINDOWS\WINDOWSSHELL.MANIFEST 
cFilePathName[67] = C:\WINDOWS\SYSTEM32\MSCTF.DLL 
cFilePathName[68] = C:\WINDOWS\SYSTEM32\MSCTFIME.IME 
cFilePathName[69] = C:\SYSTEM VOLUME INFORMATION\_RESTORE{288FCF24-DDBA-4A0A-98C0-50E279B93ECC}\RP4\CHANGE.LOG 
cFilePathName[70] = C:\BOOT.INI 
cFilePathName[71] = C:\WINDOWS\SYSTEM32\WIN32K.SYS 
cFilePathName[72] = C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83 
cFilePathName[73] = C:\Documents and Settings\ 
cFilePathName[74] = C:\Documents and Settings\Administrator\Local Settings\ 
cFilePathName[75] = C:\Documents and Settings\Administrator\Local Settings\History\desktop.ini 
cFilePathName[76] = C:\WINDOWS\WindowsShell.Config 
cFilePathName[77] = C:\WINDOWS\system32\SHELL32.dll.124.Manifest 
cFilePathName[78] = C:\WINDOWS\system32\SHELL32.dll.124.Config 
cFilePathName[79] = C:\WINDOWS\Prefetch\ 
cFilePathName[80] = C:\WINDOWS\system32\0804\ 
cFilePathName[81] = C:\WINDOWS\MUI\Fallback\0804\ 
cFilePathName[82] = C:\WINDOWS\system32\DRIVERS\MUI\0804\ 
cFilePathName[83] = C:\WINDOWS\system32\DRIVERS\ACPI.sys 
cFilePathName[84] = C:\WINDOWS\system32\DRIVERS\mssmbios.sys 
cFilePathName[85] = C:\WINDOWS\system32\DRIVERS\intelppm.sys 
cFilePathName[86] = C:\WINDOWS\system32\DRIVERS\ipnat.sys 
cFilePathName[87] = C:\WINDOWS\System32\Drivers\HTTP.sys 
cFilePathName[88] = C:\WINDOWS\system32\WBEM\Logs\wmiprov.log 
cFilePathName[89] = C:\WINDOWS\SoftwareDistribution\DataStore\ 
cFilePathName[90] = C:\WINDOWS\SoftwareDistribution\DataStore\DataStore.edb 
cFilePathName[91] = C:\WINDOWS\SoftwareDistribution\DataStore\DataStore.edb\ 
cFilePathName[92] = C:\WINDOWS\SoftwareDistribution\DataStore 
cFilePathName[93] = C:\WINDOWS\SoftwareDistribution 
cFilePathName[94] = C:\WINDOWS\SoftwareDistribution\ 
cFilePathName[95] = C:\WINDOWS 
cFilePathName[96] = C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.chk 
cFilePathName[97] = C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.chk\ 
cFilePathName[98] = C:\WINDOWS\SoftwareDistribution\DataStore\Logs 
cFilePathName[99] = C:\WINDOWS\system32\xpsp2res.dll


参考

 http://bbs.pediy.com/showthread.php?t=60777






LostSpeed
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
内核回调中获取设备,路径,文件信息蓝屏问题
zhuhuibeishadiao
02-12 1505
最近在写一个类似procmon的框架,写完跑了一两天没有什么问题,直到windows defender的一个进程起来之后,过一会驱动必蓝屏 于是很郁闷,看堆栈都是空的,起初以为是栈被破坏了,但是代码里面没有递归等等,基本大的变量都申请了内存,看dump说是irql过高,又看了代码,我习惯都是用非分页内存,所以不存在访问内存的问题,并且代码中都是在psl级别执行的,基本都排除了,异常点是ObpQu...
读取文件和注册表句柄信息
ccx_john的专栏
10-26 1228
在编写驱动进行HOOK的时候,我们经常会需要从某参数获取相关信息,最常见的就是从进程、文件、注册表句柄中获取相关路径以进行相关保护。其中关于从进程句柄获取信息的方法我已经在《SSDT HOOK实现进程保护》一文中给出了方法,今天我们就给出文件和注册表句柄的处理方法。       下面首先看通过HOOK ZwSetInformationFile保护文件防删除的方法,这个函数的第一个参数File
从今天开始记录下文件过滤驱动中遇到的问题
qq125409446的专栏
04-22 486
BSOD?  今天蓝屏蓝疯了 首先是NTSTATUSRtlVolumeDeviceToDosName(IN PVOID VolumeDeviceObject,OUT PUNICODE_STRING DosName);NTSTATUSIoVolumeDeviceToDosName(IN PVOID VolumeDeviceObject,OUT PUNICODE_STRING DosName);这
开发一个简易的任务监控程序
lonelyrains的专栏
07-05 3504
需求:时刻监控任务列表,如果需要一直启动的程序未开启,则开启
PETools源码
05-09
static char THIS_FILE[] = __FILE__; #endif ///////////////////////////////////////////////////////////////////////////// // CImportTable dialog CImportTable::CImportTable(CWnd* pParent /*=NULL*/) ...
图像技术(IDL)- 05图像读写与显示
12-22
Yn=DIALOG_READ_IMAGE(FILTER='bmp,jpg,gif,png,tif', FILE=FilePathName, GET_PATH=FilePath, IMAGE=ImageData, QUERY=IInfo, RED=CTRed, GREEN=CTGreen, BLUE=CTBlue, TITLE='读取图像') ``` ##### 2. 直接读取...
MFC文件操作
12-05
 CFile::GetStatus( pathName, status );  }  3.文件的读写  文件的读写非常重要,下面将重点进行介绍。文件读写的最普通的方法是直接使用CFile进行,如文件的读写可以使用下面的方法:  //对文件进行读...
java实现上传图片并压缩图片大小功能
08-30
if (imageFile.getSize() >= 10 * 1024 * 1024) { return new BaseResult(false, "文件不能大于10M"); } String uuid = UUID.randomUUID().toString(); String fileDirectory = CommonDateUtils.date2string...
C++遍历文件夹下文件的方法
09-03
- `FindData.dwFileAttributes & FILE_ATTRIBUTE_DIRECTORY`:这个表达式检查文件属性中是否设置了`FILE_ATTRIBUTE_DIRECTORY`标志,如果设置,表示这是一个目录。 这个方法虽然简单实用,但仅适用于Windows系统,...
windows 内核下获取进程路径
10-09 644
windows 内核下获取进程路径 思路:1):在EPROCESS结构中获取。此时要用到一个导出函数:PsGetProcessImageFileName,申明如下: NTSYSAPI UCHAR * PsGetProcessImageFileName( __in PEPROCESS Process ); 此函数获取的是一个简单的进程名,...
<寒江独钓>Windows内核安全编程__具有还原功能的磁盘卷过滤驱动
The New Old Things
10-27 7769
磁盘过滤驱动的概念 1.设备过滤和类过滤 在之前的文章里,我们已经介绍过滤的概念,所谓过滤技术就是在本来已有的设备栈中加入自己的一个设备。由于Windows向任何一个设备发送IRP请求都会首先发送给这个设备所在设备栈的最上层设备,然后再依次传递下去,这就使得加入的设备在目标设备之前获取Irp请求称为可能,这时候就可以加入自己的处理流程。在这里把插入设备栈的用户设备叫做过滤设备,建立这个设备并使
通过进程查询它打开的文件,通过文件查询打开它的进程
qq1282867270的专栏
01-26 995
标题很二,不过应该程序员会明白,这个就是我需要的,就够了。 经常遇到一些问题,比如:通过进程ID确定进程名,通过进程名确定进程ID。windows通常只提供一种查询,然后全部枚举一遍,自己建立反向查询映射关系。 为了给后来人提供参考,也为了自己不用再次发明轮子,或者找不到轮子的时候,在这里做备忘录。代码是整理别人的,API是微软发明的,就像小麦是农民种的,面粉是工厂磨的,但是有人蒸出来
获取文件对象的名称
misterliwei的专栏
08-20 5661
获取文件对象的名称 一.取文件对象名称我们可以使用函数ObQueryNameString来查询获取文件对象(FILE_OBJECT)的名称。由于文件对象有专门的名称查询函数IopQueryName,所以ObQueryNameString在内部会直接调用这个函数来查询文件对象名。 我们还有另外一种方法比较“直接”地获得文件对
zwCreateProcess获得目标进程名
trents的专栏
02-13 3057
参数KeyHandle 为SectionHandle。 解决了文件名因为缓冲机制导致的修改文件名,但获得的文件名是老名的问题。 有两种文件对象控制区域,DataSection 和 ImageSection ImageSection :文件映像,进程退出时没被释放,而被放到空闲内存区域,以被重用 DataSection   :  数据副本, 进程退出,被释放 在获得文件对象方法中,
foen(filepathname,"ab")
最新发布
07-28
根据您提供的代码 `foen(filepathname, "ab")`,我猜测您可能想表达的是 `fopen(filepathname, "ab")`。请注意,正确的函数名是 `fopen`,而非 `foen`。 `fopen` 函数用于以指定的模式打开一个文件。在这里,`"ab"` 是一个打开文件的模式参数。具体来说,`"ab"` 表示以二进制追加模式打开文件,如果文件不存在则创建文件。 以下是一个示例代码,展示如何使用 `fopen` 函数以二进制追加模式打开文件: ```c #include <stdio.h> int main() { const char* filepathname = "example.txt"; FILE* file = fopen(filepathname, "ab"); if (file == NULL) { printf("无法打开文件!\n"); return 1; } // 执行文件操作... fclose(file); // 关闭文件 return 0; } ``` 在上面的示例中,我们使用 `fopen` 函数以二进制追加模式打开名为 "example.txt" 的文件,并将返回的文件指针存储在 `file` 变量中。然后,我们可以在文件中执行需要的读写操作。最后,使用 `fclose` 函数关闭文件。 请确保提供正确的文件路径和名字,并根据实际需求进行适当的错误处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值