Windows驱动编程 文件读写 以及注册表操作

最新推荐文章于 2024-04-24 19:52:50 发布
最新推荐文章于 2024-04-24 19:52:50 发布
阅读量6.8k 收藏 3
点赞数 1
分类专栏: window系统内核编程 文章标签: 编程 windows null attributes buffer microsoft
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zacklin/article/details/7465116
版权

3.3 文件的读写操作
打开文件之后,最重要的操作是对文件的读写。读与写的方法是对称的。只是参数输入与输出的方向不同。读取文件内容一般用ZwReadFile,写文件一般使用ZwWriteFile。

C++代码
  1. NTSTATUS
  2. ZwReadFile(
  3. IN HANDLE FileHandle,
  4. IN HANDLE Event  OPTIONAL,
  5. IN PIO_APC_ROUTINE  ApcRoutine  OPTIONAL,
  6. IN PVOID ApcContext  OPTIONAL,
  7. OUT PIO_STATUS_BLOCK  IoStatusBlock,
  8. OUT PVOID Buffer,
  9. IN ULONG Length,
  10. IN PLARGE_INTEGER  ByteOffset  OPTIONAL,
  11. IN PULONG Key  OPTIONAL);

FileHandle:是前面ZwCreateFile成功后所得到的FileHandle。如果是内核句柄,ZwReadFile和ZwCreateFile并不需要在同一个进程中。句柄是各进程通用的。
Event :一个事件。用于异步完成读时。下面的举例始终用同步读,所以忽略这个参数。请始终填写NULL。
ApcRoutine Apc:回调例程。用于异步完成读时。下面的举例始终用同步读,所以忽略这个参数。请始终填写NULL。
IoStatusBlock:返回结果状态。同ZwCreateFile中的同名参数。
Buffer:缓冲区。如果读文件的内容成功,则内容被被读到这个缓冲里。
Length:描述缓冲区的长度。这个长度也就是试图读取文件的长度。
ByteOffset:要读取的文件的偏移量。也就是要读取的内容在文件中的位置。一般的说,不要设置为NULL。文件句柄不一定支持直接读取当前偏移。
Key:读取文件时用的一种附加信息,一般不使用。设置NULL。
返回值:成功的返回值是STATUS_SUCCESS。只要读取到任意多个字节(不管是否符合输入的Length的要求),返回值都是 STATUS_SUCCESS。即使试图读取的长度范围超出了文件本来的大小。但是,如果仅读取文件长度之外的部分,则返回 STATUS_END_OF_FILE。
ZwWriteFile的参数与ZwReadFile完全相同。当然,除了读写文件外,有的读者可能会问是否提供一个ZwCopyFile用来拷贝一个文 件。这个要求未能被满足。如果有这个需求,这个函数必须自己来编写。下面是一个例子,用来拷贝一个文件。利用到了 ZwCreateFile,ZwReadFile和ZwWrite这三个函数。不过作为本节的例子,只举出ZwReadFile和ZwWriteFile 的部分:

C++代码
  1. NTSTATUS MyCopyFile(
  2. PUNICODE_STRING target_path,
  3. PUNICODE_STRING source_path)
  4. {
  5. // 源和目标的文件句柄
  6. HANDLE target = NULL,source = NULL;
  7. // 用来拷贝的缓冲区
  8. PVOID buffer = NULL;
  9. LARGE_INTEGER offset = { 0 };
  10. IO_STATUS_BLOCK io_status = { 0 };

  12. do {
  13. // 这里请用前一小节说到的例子打开target_path和source_path所对应的
  14. // 句柄target和source,并为buffer分配一个页面也就是4k的内存。
  15. … …
  16. // 然后用一个循环来读取文件。每次从源文件中读取4k内容,然后往
  17. // 目标文件中写入4k,直到拷贝结束为止。
  18. while(1) {
  19. length = 4*1024;        // 每次读取4k。
  20. // 读取旧文件。注意status。
  21. status = ZwReadFile (
  22. source,NULL,NULL,NULL,
  23. &my_io_status,buffer, length,&offset,
  24. NULL);
  25. if(!NT_SUCCESS(status))
  26. {
  27. // 如果状态为STATUS_END_OF_FILE,则说明文件
  28. // 的拷贝已经成功的结束了。
  29. if(status == STATUS_END_OF_FILE)
  30. status = STATUS_SUCCESS;
  31. break;
  32. }
  33. // 获得实际读取到的长度。
  34. length = IoStatus.Information;

  36. // 现在读取了内容。读出的长度为length.那么我写入
  37. // 的长度也应该是length。写入必须成功。如果失败,
  38. // 则返回错误。
  39. status = ZwWriteFile(
  40. target,NULL,NULL,NULL,
  41. &my_io_status,
  42. buffer,length,&offset,
  43. NULL);
  44. if(!NT_SUCCESS(status))
  45. break;

  47. // offset移动,然后继续。直到出现STATUS_END_OF_FILE
  48. // 的时候才结束。
  49. offset.QuadPart += length;
  50. }
  51. while(0);

  53. // 在退出之前,释放资源,关闭所有的句柄。
  54. if(target != NULL)
  55. ZwClose(target);
  56. if(source != NULL)
  57. ZwClose(source);
  58. if(buffer != NULL)
  59. ExFreePool(buffer);
  60. return STATUS_SUCCESS;
  61. }

除了读写之外,文件还有很多的操作。比如删除、重新命名、枚举。这些操作将在后面实例中用到时,再详细讲解。

4.1注册键的打开操作

和在应用程序中编程的方式类似,注册表是一个巨大的树形结构。操作一般都是打开某个子键。子键下有若干个值可以获得。每一个值有一个名字。值有不同的类型。一般需要查询才能获得其类型。
子键一般用一个路径来表示。和应用程序编程的一点重大不同是这个路径的写法不一样。一般应用编程中需要提供一个根子键的句柄。而驱动中则全部用路径表示。相应的有一张表表示如下:

应用编程中对应的子键    驱动编程中的路径写法
HKEY_LOCAL_MACHINE    \Registry\Machine
HKEY_USERS        \Registry\User
HKEY_CLASSES_ROOT    没有对应的路径
HKEY_CURRENT_USER    没有简单的对应路径,但是可以求得

实际上应用程序和驱动程序很大的一个不同在于应用程序总是由某个“当前用户”启动的。因此可以直接读取HKEY_CLASSES_ROOT和 HKEY_CURRENT_USER。而驱动程序和用户无关,所以直接去打开HKEY_CURRENT_USER也就不符合逻辑了。
打开注册表键使用函数ZwOpenKey。新建或者打开则使用ZwCreateKey。一般在驱动编程中,使用ZwOpenKey的情况比较多见。下面以此为例讲解。ZwOpenKey的原型如下:

C++代码
  1. NTSTATUS
  2. ZwOpenKey(
  3. OUT PHANDLE KeyHandle,
  4. IN ACCESS_MASK  DesiredAccess,
  5. IN POBJECT_ATTRIBUTES  ObjectAttributes
  6. );

这个函数和ZwCreateFile是类似的。它并不接受直接传入一个字符串来表示一个子键。而是要求输入一个OBJECT_ATTRIBUTES的指针。如何初始化一个OBJECT_ATTRIBUTES请参考前面的讲解ZwCreateFile的章节。
DesiredAccess支持一系列的组合权限。可以是下表中所有权限的任何组合:
?    KEY_QUERY_VALUE:读取键下的值。
?    KEY_SET_VALUE:设置键下的值。
?    KEY_CREATE_SUB_KEY:生成子键。
?    KEY_ENUMERATE_SUB_KEYS:枚举子键。
不过实际上可以用KEY_READ来做为通用的读权限组合。这是一个组合宏。此外对应的有KEY_WRITE。如果需要获得全部的权限,可以使用KEY_ALL_ACCESS。
下面是一个例子,这个例子非常的有实用价值。它读取注册表中保存的Windows系统目录(指Windows目录)的位置。不过这里只涉及打开子键。并不读取值。读取具体的值在后面的小节中再完成。
Windows目录的位置被称为SystemRoot,这一值保存在注册表中,路径是“HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows NT\CurrentVersion”。当然,请注意注意在驱动编程中的写法有所不同。下面的代码初始化一个OBJECT_ATTRIBUTES。

C++代码
  1. HANDLE my_key = NULL;
  2. NTSTATUS status;

  4. // 定义要获取的路径
  5. UNICODE_STRING my_key_path =
  6. RTL_CONSTANT_STRING(
  7. L” \\ Registry\\Machine\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion”);
  8. OBJECT_ATTRIBUTE my_obj_attr = { 0 };

  10. // 初始化OBJECT_ATTRIBUTE
  11. InitializeObjectAttributes(
  12. &my_obj_attr,
  13. &my_key_path,
  14. OBJ_CASE_INSENSITIVE,
  15. NULL,
  16. NULL);
  17. // 接下来是打开Key
  18. status = ZwOpenKey(&my_key,KEY_READ,&my_obj_attr);
  19. if(!NT_SUCCESS(status))
  20. {
  21. // 失败处理
  22. ……
  23. }

上面的代码得到了my_key。子键已经打开。然后的步骤是读取下面的SystemRoot值。这在后面一个小节中讲述。


zacklin
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windows内核驱动读写文件
10-11
windows内核驱动条件下文件的创建、读、写等功能实现源码。适用于驱动调试和运行观察的日志打印输出,比Windbg和reaceview更方便。
几个修改注册表后立即生效的刷新方法
热门推荐
yurnero123的专栏
11-13 2万+
每次修改注册表之后如果想要立即见到效果de
Windows驱动开发技术详解》之读写操作
imxiangzi的专栏
08-27 2140
缓冲区方式读写操作 设置缓冲区读写方式: 读写操作一般是由ReadFile和WriteFile函数引起的,这里先以WriteFile函数为例进行介绍。WriteFile要求用户提供一段缓冲区,并且说明缓冲区的大小,然后WriteFile将这段内存的数据传入到驱动程序中。这种方法,操作系统将应用程序提供缓冲区数据直接复制到内核模式的地址中。这样做,比较简单的解决了将用户地址传入驱
8.1 Windows驱动开发:内核文件读写系列函数
CSDN
11-19 4822
在应用层下的文件操作只需要调用微软应用层下的`API`函数及`C库`标准函数即可,而如果在内核中读写文件则应用层的API显然是无法被使用的,内核层需要使用内核专有API,某些应用层下的API只需要增加Zw开头即可在内核中使用,例如本章要讲解的文件与目录操作相关函数,多数ARK反内核工具都具有对文件的管理功能,实现对文件或目录的基本操作功能也是非常有必要的。
Windows技巧之注册表
nb_zsy的博客
11-24 5068
注册表Windows操作系统中的一个核心数据库,其中存放着各种参数,直接控制着Windows的启动、硬件驱动程序的装载以及一些Windows应用程序的运行,从而在整个系统中起着核心作用。这些作用包括了软、硬件的相关配置和状态信息,比如注册表中保存有应用程序和资源管理器外壳的初始条件、首选项和卸载数据等,联网计算机的整个系统的设置和各种许可,文件扩展名与应用程序的关联,硬件部件的描述、状态和属性,性能记录和其他底层的系统状态信息,以及其他数据等。
C# 读取并显示word文档中的内容
pan的博客
03-17 2万+
我想将信道模型的介绍以及分析的情况,都在C#的程序设计中进行实现。然后就想到了将word文档直接显示到窗体中,并且有滚动条可以拉动进行查看。搜集了一些资料之后找到了合适的方法——利用RichTextBox打开一个有文字格式和图片的Word文档。 1.添加引用 要加入word文档,就需要在”解决方案资源管理器”的”引用”中加入”Microsoft Word 12.0 Object Library ”...
Windows内核驱动开发】——读取注册表
zcr214的博客
11-28 3170
【我的】Windows驱动开发——读取注册表 作者:zcr214 时间:2016/5/5   注册表对于驱动来说是很重要的小伙伴,注册表可以很好的扮演用户到内核的桥梁角色,很多时候用户可以通过修改注册表的内容来达到控制驱动的目的。那么驱动要做的首先当然是读取到注册表啦,WDK提供了标准的接口函数,所以直接使用就可以了。 1.    ZwOpenKey()打开注册表 WDK提供了打开注册表
驱动读取注册表
Cosmopolitan的博客
09-25 654
#include <ntddk.h> #define MY_REG_SOFTWARE_KEY_NAME L"\\Registry\\Machine\\Software\\lxw" NTSTATUS Unload(PDRIVER_OBJECT driver) { DbgPrint("unload driver"); return STATUS_SUCCESS; } VOID ...
07-驱动中的注册表
ahaozi01的博客
07-16 482
注册表的打开与创建: 一般都需要打开或创建一个注册表键,可使用ZwCreateKey函数,函数原型如下: NTSTATUS ZwCreateKey( Out PHANDLE KeyHandle, In ACCESS_MASK DesiredAccess, In POBJECT_ATTRIBUTES ObjectAttributes, Reserved ULONG TitleIndex, In_opt PUNICODE_STRING Class, In ULONG CreateOptions, Out_opt
KMD驱动教程续-10
guokeno1--JEFF的技术博客
11-12 1226
Kmdtut 10---注册表                                       注册表董岩 译 10.1 注册表的结构10.2 在驱动程序中访问注册表10.3 RegistryWorks驱动程序源代码   10.3.1 注册表键的创建与打开   10.3.2 创建注册表键值   10.3.3 访问注册表键值   10.3.4 删除注册表键   10.3.
Windows驱动开发基础视频教程.txt
12-20
【适合小白入门】深入掌握Windows操作系统原理,提升程序开发水平,为学习驱动开发,内核安全打下基础。学完本课程可以轻松的理解Windows内核,开阔思路,对没有底层开发基础的人起到有非常好的指导作用。在此基础上...
Windows驱动编程基础教程.pdf
03-02
3.3 文件读写操作 21 第四章 操作注册表 25 4.1 注册键的打开操作 25 4.2 注册值的读 26 4.3 注册值的写 29 第五章 时间与定时器 30 5.1 获得当前滴答数 30 5.2 获得当前系统时间 31 5.3 使用定时器 32 第六章 ...
Windows驱动编程基础教程-楚狂人.doc
10-21
3.3 文件读写操作 21 第四章 操作注册表 25 4.1 注册键的打开操作 25 4.2 注册值的读 26 4.3 注册值的写 29 第五章 时间与定时器 30 5.1 获得当前滴答数 30 5.2 获得当前系统时间 31 5.3 使用定时器 32 第六章 ...
WIN64驱动编程基础教程
12-06
|-内核里操作文件 |-内核里操作注册表 |-内核里操作进线程 |-驱动里的其它常用代码 ------------------------------ 3.内核HOOK与UNHOOK |-系统调用、WOW64与兼容模式 |-编程实现突破WIN7的PatchGuard |-系统...
windows驱动开发技术详解-part2
07-06
Windows操作系统的基本原理、NT驱动程序与WDM驱动程序的构造、驱动程序中的同步异步处理方法、驱 动程序中即插即用功能、驱动程序的各种调试技巧等。同时,还针对流行的PCI驱动程序、USB驱动程序 、虚拟串口驱动...
ros2 node 之间的通信方式之 —— Topic通信案例
weixin_43488529的博客
04-24 205
Ros2 node之间的通信方式 之 Topic 通信案例
1 Java 泛型
qq_24907431的博客
04-23 523
泛型,即“参数化类型”。一提到参数,最熟悉的就是定义方法时有形参,然后调用此方法时传递实参。那么参数化类型怎么理解呢?顾名思义,就是将类型由原来的具体的类型参数化,类似于方法中的变量参数,此时类型也定义成参数形式(可以称之为类型形参),然后在使用/调用时传入具体的类型(类型实参)。泛型的本质是为了参数化类型(在不创建新的类型的情况下,通过泛型指定的不同类型来控制形参具体限制的类型)。
spring的bean创建流程源码解析
最新发布
亚瑟的守护的专栏
04-24 562
三级缓存是为了解决循环依赖,也是为了存储单例对象Spring提供了三级缓存存储 完整Bean实例 和 半成品Bean实例 ,用于解决循环引用问题//1、最终存储单例Bean成品的容器,即实例化和初始化都完成的Bean,称之为"一级缓存"//2、早期Bean单例池,缓存半成品对象,且当前对象已经被其他对象引用了,称之为"二级缓存"//3、单例Bean的工厂池,缓存半成品对象,对象未被引用,使用时在通过工厂创建Bean,称之为"三级缓存"三级缓存怎么解决循环依赖问题?
windows操作系统cli界面对文件读写操作
06-07
Windows 操作系统的命令行界面(也称为CLI界面)下,可以使用一些命令行工具进行文件读写操作。以下是一些常用的命令行工具及其用法: 1. type命令:用于将文件的内容输出到屏幕上。例如,要查看文件test.txt...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值