ring0层下实现的文件强制删除

最新推荐文章于 2022-01-31 11:00:55 发布
最新推荐文章于 2022-01-31 11:00:55 发布
阅读量1.3k 收藏
点赞数
分类专栏: Windows 驱动开发
原文链接:https://www.write-bug.com/article/2438.html
版权

文件强删

在日常生活使用电脑的过程中,遇到删不掉的文件的时候,我们总会通过一些软件提供的强制删除文件功能来删除顽固的文件。文件强删技术对于杀软来说是清楚病毒木马的武器,在扫描器检测出恶意文件的时候,就需要强删功能来清除恶意文件。而对于病毒木马来说,反过来可以用强删技术来强制删除系统保护文件或是受杀软保护的文件。

本文将会介绍文件强删技术,即使文件正在运行,也能强制删除本地文件。

实现过程

当文件是PE文件而且已经被加载到内存中的时候,正常情况下是无法通过资源管理器explorer.exe来删除本地文件的,因为在删除运行中的文件或者被加载的DLL文件的时候,系统会调用MmFlushImageSection内核函数来检测文件是否处于运行状态,若是,则拒绝删除操作。其中,系统中的MmFlushImageSection内核函数,主要是通过检查文件对象中的PSECTION_OBJECT_POINTERS结构数据来判断该文件是否处于运行状态、是否可以删除。

同时,在发送IRP删除文件的时候,系统同样会判断文件的属性是否是只读,若是只读属性则会拒绝删除操作。

所以,根据上述的删除原理,文件强制删除的具体实现流程如下所示。

首先,发送IRP打开删除文件,并获取文件对象。

然后,发送IRP设置文件属性,属性类型为FileBasicInformation,将文件属性重新设置为FILE_ATTRIBUTE_NORMAL,防止原来的文件属性为只读属性。并保存文件对象中的PSECTION_OBJECT_POINTERS结构的值,保存完成后,再对该结构进行清空处理。

接着,发送IRP设置文件属性,属性类型为FileDispositionInformation,实现删除文件操作。这样,即使是运行中的文件也能被强制删除。

最后,还原文件对象中的PSECTION_OBJECT_POINTERS结构,并调用ObDereferenceObject函数释放文件对象,完成清理工作。

那么,实现文件强制删除的实现代码如下所示。

    // 强制删除文件
    NTSTATUS ForceDeleteFile(UNICODE_STRING ustrFileName)
    {
        NTSTATUS status = STATUS_SUCCESS;
        PFILE_OBJECT pFileObject = NULL;
        IO_STATUS_BLOCK iosb = { 0 };
        FILE_BASIC_INFORMATION fileBaseInfo = { 0 };
        FILE_DISPOSITION_INFORMATION fileDispositionInfo = { 0 };
        PVOID pImageSectionObject = NULL;
        PVOID pDataSectionObject = NULL;
        PVOID pSharedCacheMap = NULL;
        // 发送IRP打开文件
        status = IrpCreateFile(&pFileObject, GENERIC_READ | GENERIC_WRITE, &ustrFileName,
            &iosb, NULL, FILE_ATTRIBUTE_NORMAL, FILE_SHARE_READ | FILE_SHARE_WRITE | FILE_SHARE_DELETE,
            FILE_OPEN, FILE_SYNCHRONOUS_IO_NONALERT, NULL, 0);
        if (!NT_SUCCESS(status))
        {
            DbgPrint("IrpCreateFile Error[0x%X]\n", status);
            return FALSE;
        }
        // 发送IRP设置文件属性, 去掉只读属性, 修改为 FILE_ATTRIBUTE_NORMAL
        RtlZeroMemory(&fileBaseInfo, sizeof(fileBaseInfo));
        fileBaseInfo.FileAttributes = FILE_ATTRIBUTE_NORMAL;
        status = IrpSetInformationFile(pFileObject, &iosb, &fileBaseInfo, sizeof(fileBaseInfo), FileBasicInformation);
        if (!NT_SUCCESS(status))
        {
            DbgPrint("IrpSetInformationFile[SetInformation] Error[0x%X]\n", status);
            return status;
        }
        // 清空PSECTION_OBJECT_POINTERS结构
        if (pFileObject->SectionObjectPointer)
        {
            // 保存旧值
            pImageSectionObject = pFileObject->SectionObjectPointer->ImageSectionObject;
            pDataSectionObject = pFileObject->SectionObjectPointer->DataSectionObject;
            pSharedCacheMap = pFileObject->SectionObjectPointer->SharedCacheMap;
            // 置为空
            pFileObject->SectionObjectPointer->ImageSectionObject = NULL;
            pFileObject->SectionObjectPointer->DataSectionObject = NULL;
            pFileObject->SectionObjectPointer->SharedCacheMap = NULL;
        }
        // 发送IRP设置文件属性, 设置删除文件操作
        RtlZeroMemory(&fileDispositionInfo, sizeof(fileDispositionInfo));
        fileDispositionInfo.DeleteFile = TRUE;
        status = IrpSetInformationFile(pFileObject, &iosb, &fileDispositionInfo, sizeof(fileDispositionInfo), FileDispositionInformation);
        if (!NT_SUCCESS(status))
        {
            DbgPrint("IrpSetInformationFile[DeleteFile] Error[0x%X]\n", status);
            return status;
        }
        //还原旧值  
        if (pFileObject->SectionObjectPointer)
        {
            pFileObject->SectionObjectPointer->ImageSectionObject = pImageSectionObject;
            pFileObject->SectionObjectPointer->DataSectionObject = pDataSectionObject;
            pFileObject->SectionObjectPointer->SharedCacheMap = pSharedCacheMap;
        }
        // 关闭文件对象
        ObDereferenceObject(pFileObject);
        return status;
    }

测试

在64位Windows 10操作系统上,运行C:\520.exe程序后,直接加载并运行上述驱动程序,强制删除正在运行的520.exe文件。520.exe本地文件成功被删除,如图:
在这里插入图片描述

小结

本文介绍的文件强删技术的实现原理是,通过发送IRP打开文件,获取文件对象;发送IRP设置文件属性,去掉只读属性;清空文件对象中的PSECTION_OBJECT_POINTERS结构,使运行中的程序文件能够被删除;最后发送IRP删除文件并释放文件对象。

本文介绍的文件强删技术可以删除正在运行的exe文件,但是不适用于前面介绍的发送IRP打开文件不关闭的文件保护方法。要想强制删除发送IRP打开文件不关闭的文件保护,需要关闭打开的文件对象。可以利用XCB解锁技术,通过硬编码定位出文件对象中SCB(Stream Control Block)、FCB(File Control Blokc)、CCB(Context Control Block)结构的CleanupCount变量,并将CleanupCount都置为1,再调用ObDereferenceObject函数关闭文件对象并释放资源。XCB解锁技术不仅可以解锁发送IRP打开文件的保护方式,同样适用于硬链接文件保护。

window平台下驱动程序安装/软件分发inf文件学习
追寻自己
03-04 2427
INF文件是通过win平台的驱动安装(软件分发)的系统入口调用,解析文件进行驱动(软件)安装与发布 文件具体格式: [section] (节名) entry=value[,value] (项) 说明:  INF文件是一个文本文件,由许多按层次结构排列的节组成,他们以方括号中的节名称开始,如[Version]、[Manufacturer]等,后面是所含有的各个项,如
PCAPNG下一代转储文件格式 PCAP-DumpFileFormat
ggm0928的专栏
11-23 3011
pcapng与pcap抓包格式比较图本备忘录的状态 本文档是Internet草案,完全符合RFC 2026第10节的所有规定。 Internet-Drafts是Internet工程任务组(IETF)及其工作组的工作文档。请注意,其他组也可能将工作文档分发为Internet-Drafts。 互联网草案是有效期最长为六个月的草案文件,可能随时被其他文件更新,替换或废弃。使用互联网草稿作为参考资料...
RING0.zip_ring0_强制删除_文件_驱动删除_驱动
07-14
文件RING0代码,驱动强制删除文件
[转]ring3下干净的删除文件
weixin_34199335的博客
12-01 171
在某公司实习完,再次回到寝室。还是在学校好。实习期间的给我的任务就是为项目添加一个删除的模块。背景是硬盘上存储空间不够时,需要掉老的文件,如果这时后,老的文件被打开了,没有关掉,就无法删除。所以叫我写一个这样的功能。所谓干净,指的是释放掉这个被占用的句柄。删除的方法很多,用驱动直接发磁盘IRP。等等查阅相关资料后。整理思路如下,如果有同学以后要写这样的功能,可以参考,1....
Ring0删除文件.rar
10-26
Ring0删除文件.rarRing0删除文件.rarRing0删除文件.rarRing0删除文件.rarRing0删除文件.rarRing0删除文件.rarRing0删除文件.rarRing0删除文件.rar
[烈推荐]ring0文件解锁&强制删除工具
chenhui530的专栏
02-04 5342
在发表文章之前得感谢一个人.一个非常不错,功力深厚的程序员,在进程方面有很深的研究.他就是--"炉子".帮我解决了一些问题 .说明:此工具在前天完成,昨天做了初步测试.支持2K/XP/2003/VISTA.比较稳定.但是提醒大家的是在使用前最好先保存你手上的工作,因为内核的东西一不小心就可能蓝屏,我也没办法保证100%没问题,不过大家放心使用,到目前为止只发现一个人使用存在问题.功能:此工
精选_ring0层下实现文件强制删除_源码打包
03-12
"Ring0层下实现文件强制删除"是一个涉及操作系统底层编程的技术话题,它涉及到Windows内核编程、I/O管理器(I/O Manager)以及文件系统驱动程序(File System Driver)。 首先,理解Ring0层的含义至关重要。在x86...
RING0驱动实现文件强制删除技术解析
资源摘要信息:"RING0.zip是一个包含了RING0代码的压缩包,主要功能是实现驱动层面的强制删除文件。在Windows系统中,RING0通常指的是最接近硬件的系统执行级别,也称为内核模式。在这种模式下运行的代码拥有对系统...
文件--->构建IRP---->独占--->正在运行 以及磁盘读写(思路)
zhuhuibeishadiao
04-03 2923
个人比较崇拜360 一个小小的按钮下面蕴含着很多的原理 要有多么大才能1天搞定偏移 -------致敬360 致敬MJ-001 无奈本人学业不精 只能说说“独占”和“正在运行” 打开文件 一般使用ZwCreateFile NtCreateFile 但这些函数还不够底层 使用IoCreateFile会好一些 被其它程序独占 枚举句柄表 ZwQuerySystemInformation -
强制删除文件脚本,适用于不可删除文件
07-22
强制删除文件脚本,适用于不可删除文件,适用于windows系统。 强制删除文件脚本,适用于不可删除文件,适用于windows系统。 强制删除文件脚本,适用于不可删除文件,适用于windows系统。 强制删除文件脚本,适用于不可删除文件,适用于windows系统。 强制删除文件脚本,适用于不可删除文件,适用于windows系统。
文件
逆向学习
09-22 1220
文章目录前言内核层一个文件的思路一,需要打开这个文件。二,被其它程序独占的话如何解决?三,如果该文件正在运行的话如何解决?四,构建IRP删除文件。局限性扩展——其他方法局限性扩展——其他方法 前言 本人是驱动新手,因为秋招的一些方面的原因,我最近才进行驱动方面的学习。学了一段时间后了解了一个内核文件的方法。 内核层一个文件的思路 当病毒或者木马等进行了SSDT HOOK了一些API之后...
强制删除文件——直接发IRP到文件系统
勿在浮沙筑高台
03-16 1288
     学习资料:http://www.antiprotect.com/forum_posts.asp?TID=95     上面这个连接中的DEMO是比较完整软件,这里我把其中发IRP强制删除文件的部分抽出来了,学习了下,顺便加点注释。这个程序比较简单,主要练习了两个点:(1)模拟发送IRP(2)使用内核事件对象同步IRP的执行     强制删除文件的思路很简单,把SECTION_OB
通过 irp 请求包删除文件
pureman_mega的博客
03-30 431
测试环境:win7 32 测试功能:通过构造irp 请求包,直接发给DeviceObject 调用对应DriverObject中的MajorFunction 来删除文件 参考:强制删除文件(1)——直接发IRP到文件系统_zz_strive_2012的专栏-CSDN博客 来源:从文件 MD5:dace344b6a923a756143a76c9cd12ebc 中扣出来的。 NTSTATUS DeleteCompletionRoutine(PDEVICE_OBJECT DeviceObject, P.
文件删除原理
mon_star的博客
07-14 837
i_link == i_count == 0
Windows 使用命令强制删除文件文件
xiangxiang07的博客
01-31 1710
强制删除目录下所有文件
发一块代码段(删除正在运行的程序文件
大浪淘沙的专栏
07-07 1168
 发一块代码段(删除正在运行的程序文件)收藏function StorePage(){d=document;t=d.selection?(d.selection.type!=None?d.selection.createRange().text:):(d.getSelection?d.getSelection():);void(keyit=window.open(http:/
地址转译的相关问题(三)
商少
03-24 874
内存区对象 结构体定义 typedef struct_SECTION { MMADDRESS_NODE Address;   //内存区的VAD节点,用于把所有特定类型的内存区对象组织成一颗平衡树(SEC_BASED)类型 PSEGMENT Segment;            // 段对象 LARGE_INTEGER SizeOfSection; union { ULONG Lo
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值