ring0层下实现的文件强制删除

最新推荐文章于 2022-01-31 11:00:55 发布
最新推荐文章于 2022-01-31 11:00:55 发布
阅读量1.3k 收藏
点赞数
分类专栏: Windows 驱动开发
原文链接:https://www.write-bug.com/article/2438.html
版权

文件强删

在日常生活使用电脑的过程中,遇到删不掉的文件的时候,我们总会通过一些软件提供的强制删除文件功能来删除顽固的文件。文件强删技术对于杀软来说是清楚病毒木马的武器,在扫描器检测出恶意文件的时候,就需要强删功能来清除恶意文件。而对于病毒木马来说,反过来可以用强删技术来强制删除系统保护文件或是受杀软保护的文件。

本文将会介绍文件强删技术,即使文件正在运行,也能强制删除本地文件。

实现过程

当文件是PE文件而且已经被加载到内存中的时候,正常情况下是无法通过资源管理器explorer.exe来删除本地文件的,因为在删除运行中的文件或者被加载的DLL文件的时候,系统会调用MmFlushImageSection内核函数来检测文件是否处于运行状态,若是,则拒绝删除操作。其中,系统中的MmFlushImageSection内核函数,主要是通过检查文件对象中的PSECTION_OBJECT_POINTERS结构数据来判断该文件是否处于运行状态、是否可以删除。

同时,在发送IRP删除文件的时候,系统同样会判断文件的属性是否是只读,若是只读属性则会拒绝删除操作。

所以,根据上述的删除原理,文件强制删除的具体实现流程如下所示。

首先,发送IRP打开删除文件,并获取文件对象。

然后,发送IRP设置文件属性,属性类型为FileBasicInformation,将文件属性重新设置为FILE_ATTRIBUTE_NORMAL,防止原来的文件属性为只读属性。并保存文件对象中的PSECTION_OBJECT_POINTERS结构的值,保存完成后,再对该结构进行清空处理。

接着,发送IRP设置文件属性,属性类型为FileDispositionInformation,实现删除文件操作。这样,即使是运行中的文件也能被强制删除。

最后,还原文件对象中的PSECTION_OBJECT_POINTERS结构,并调用ObDereferenceObject函数释放文件对象,完成清理工作。

那么,实现文件强制删除的实现代码如下所示。

    // 强制删除文件
    NTSTATUS ForceDeleteFile(UNICODE_STRING ustrFileName)
    {
        NTSTATUS status = STATUS_SUCCESS;
        PFILE_OBJECT pFileObject = NULL;
        IO_STATUS_BLOCK iosb = { 0 };
        FILE_BASIC_INFORMATION fileBaseInfo = { 0 };
        FILE_DISPOSITION_INFORMATION fileDispositionInfo = { 0 };
        PVOID pImageSectionObject = NULL;
        PVOID pDataSectionObject = NULL;
        PVOID pSharedCacheMap = NULL;
        // 发送IRP打开文件
        status = IrpCreateFile(&pFileObject, GENERIC_READ | GENERIC_WRITE, &ustrFileName,
            &iosb, NULL, FILE_ATTRIBUTE_NORMAL, FILE_SHARE_READ | FILE_SHARE_WRITE | FILE_SHARE_DELETE,
            FILE_OPEN, FILE_SYNCHRONOUS_IO_NONALERT, NULL, 0);
        if (!NT_SUCCESS(status))
        {
            DbgPrint("IrpCreateFile Error[0x%X]\n", status);
            return FALSE;
        }
        // 发送IRP设置文件属性, 去掉只读属性, 修改为 FILE_ATTRIBUTE_NORMAL
        RtlZeroMemory(&fileBaseInfo, sizeof(fileBaseInfo));
        fileBaseInfo.FileAttributes = FILE_ATTRIBUTE_NORMAL;
        status = IrpSetInformationFile(pFileObject, &iosb, &fileBaseInfo, sizeof(fileBaseInfo), FileBasicInformation);
        if (!NT_SUCCESS(status))
        {
            DbgPrint("IrpSetInformationFile[SetInformation] Error[0x%X]\n", status);
            return status;
        }
        // 清空PSECTION_OBJECT_POINTERS结构
        if (pFileObject->SectionObjectPointer)
        {
            // 保存旧值
            pImageSectionObject = pFileObject->SectionObjectPointer->ImageSectionObject;
            pDataSectionObject = pFileObject->SectionObjectPointer->DataSectionObject;
            pSharedCacheMap = pFileObject->SectionObjectPointer->SharedCacheMap;
            // 置为空
            pFileObject->SectionObjectPointer->ImageSectionObject = NULL;
            pFileObject->SectionObjectPointer->DataSectionObject = NULL;
            pFileObject->SectionObjectPointer->SharedCacheMap = NULL;
        }
        // 发送IRP设置文件属性, 设置删除文件操作
        RtlZeroMemory(&fileDispositionInfo, sizeof(fileDispositionInfo));
        fileDispositionInfo.DeleteFile = TRUE;
        status = IrpSetInformationFile(pFileObject, &iosb, &fileDispositionInfo, sizeof(fileDispositionInfo), FileDispositionInformation);
        if (!NT_SUCCESS(status))
        {
            DbgPrint("IrpSetInformationFile[DeleteFile] Error[0x%X]\n", status);
            return status;
        }
        //还原旧值  
        if (pFileObject->SectionObjectPointer)
        {
            pFileObject->SectionObjectPointer->ImageSectionObject = pImageSectionObject;
            pFileObject->SectionObjectPointer->DataSectionObject = pDataSectionObject;
            pFileObject->SectionObjectPointer->SharedCacheMap = pSharedCacheMap;
        }
        // 关闭文件对象
        ObDereferenceObject(pFileObject);
        return status;
    }

测试

在64位Windows 10操作系统上,运行C:\520.exe程序后,直接加载并运行上述驱动程序,强制删除正在运行的520.exe文件。520.exe本地文件成功被删除,如图:
在这里插入图片描述

小结

本文介绍的文件强删技术的实现原理是,通过发送IRP打开文件,获取文件对象;发送IRP设置文件属性,去掉只读属性;清空文件对象中的PSECTION_OBJECT_POINTERS结构,使运行中的程序文件能够被删除;最后发送IRP删除文件并释放文件对象。

本文介绍的文件强删技术可以删除正在运行的exe文件,但是不适用于前面介绍的发送IRP打开文件不关闭的文件保护方法。要想强制删除发送IRP打开文件不关闭的文件保护,需要关闭打开的文件对象。可以利用XCB解锁技术,通过硬编码定位出文件对象中SCB(Stream Control Block)、FCB(File Control Blokc)、CCB(Context Control Block)结构的CleanupCount变量,并将CleanupCount都置为1,再调用ObDereferenceObject函数关闭文件对象并释放资源。XCB解锁技术不仅可以解锁发送IRP打开文件的保护方式,同样适用于硬链接文件保护。

(-: LYSM :-)
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
文件过滤驱动学习笔记(三)
lziog的专栏
09-19 1484
typedef struct _SECTION_OBJECT_POINTERS {  PVOID DataSectionObject;  PVOID SharedCacheMap;  PVOID ImageSectionObject; } SECTION_OBJECT_POINTERS,*PSECTION_OBJECT_POINTERS; DataSectionObject:   
文件
逆向学习
09-22 1025
文章目录前言内核层一个文件的思路一,需要打开这个文件。二,被其它程序独占的话如何解决?三,如果该文件正在运行的话如何解决?四,构建IRP删除文件。局限性扩展——其他方法局限性扩展——其他方法 前言 本人是驱动新手,因为秋招的一些方面的原因,我最近才进行驱动方面的学习。学了一段时间后了解了一个内核文件的方法。 内核层一个文件的思路 当病毒或者木马等进行了SSDT HOOK了一些API之后...
RING0.zip_ring0_强制删除_文件_驱动删除_驱动
07-14
文件RING0代码,驱动强制删除文件
c++注入思路inlink hook,ring3和ring 0
qq_35490522的博客
08-27 1636
注入DLL的思路步骤: 1. 在目标进程中申请一块内存空间(使用VirtualAllocEx函数) 存放DLL的路径,方便后续执行LoadLibraryA 2. 将DLL路线写入到目标进程(使用WriteProcessMemory函数) 3. 获取LoadLibraryA函数地址(使用GetProcAddress),将其做为线程的回调函数 4. 在目标进程 创建线程并执行(使用CreateRemoteThread) std::string temp = W2Astring(strDllPath); in
【梅哥的Ring0湿润插入教程】重磅第三课:Ring0下的PE Loader及重加载内核秒杀一切内核级钩子(上篇)...
aejtu5698的博客
06-04 1364
【梅哥的Ring0湿润插入教程】Email:mlkui@163.com 转载请注明出处,谢绝喷子记者等,如引起各类不适请自觉滚J8蛋!第三课:Ring0下PE Loader及重加载内核绕过一切内核级钩子(上篇) 随着驱动保护技术的逐步成熟,诸如网络游戏公司等越来越多的商业软件公司开始使用Ring0级保护技术保护自己的产品,以起到反用户级调试、反RootKit、反各类钩子、反各...
PE加载器的实现
08-13 1357
来源:http://blog.vckbase.com/windowssky  对于加壳软件的开发者,掌握PE Loader的实现是最基本的技术;因为壳运行结束后,你要仿照PE加载器去Load映象体,我曾看过UPX的开源代码,全手工打造PE,实现的也是极其复杂,是学习加壳,脱壳和开发加壳软件的上乘资料.  在ReatOs和Nt4.0上找到了其实现,前者实现的比较清晰,不过还是看看Nt4.0的实现吧/
精选_ring0层下实现文件强制删除_源码打包
03-12
"Ring0层下实现文件强制删除"是一个涉及操作系统底层编程的技术话题,它涉及到Windows内核编程、I/O管理器(I/O Manager)以及文件系统驱动程序(File System Driver)。 首先,理解Ring0层的含义至关重要。在x86...
精选_Ring0内核层下实现删除文件或空目录_源码打包
03-10
Ring0下执行的代码可以直接访问硬件,不受任何用户空间程序的限制,这使得它能够执行如删除文件或空目录这样的系统操作。在这个“精选_Ring0内核层下实现删除文件或空目录_源码打包”中,我们将深入探讨如何在内核...
精选_Ring0内核层下实现文件搜索遍历_源码打包
03-10
8. **源码打包**:在"精选_Ring0内核层下实现文件搜索遍历_源码打包"这个主题中,提供的kernel-file-manager-6可能包含了这样的实现。通过分析源码,开发者可以学习到实际的实现细节,例如如何构建系统调用、如何...
Ring0删除文件.rar
10-26
Ring0删除文件.rarRing0删除文件.rarRing0删除文件.rarRing0删除文件.rarRing0删除文件.rarRing0删除文件.rarRing0删除文件.rarRing0删除文件.rar
Wise Force Deleter强制删除工具
李李是小白的博客
10-04 6271
强制删除工具 在使用电脑的过程中,你是否遇到过这样的情况,想删除一个文件,但是系统却弹出无法删除文件,遇到这种情况,我们通常就很烦恼。现在我们应该就不用烦了,因为Wise Force Deleter会帮我们解决这个问题。 Wise Force Deleter,文件解锁和强制删除工具,解决 Windows 系统“无法删除文件:拒绝访问”的问题,彻底删除无法删除文件。 下载地址 1.官方下载:https://www.wisecleaner.com.cn/wise-force-deleter.html 2.百度
地址转译的相关问题(三)
商少
03-24 839
内存区对象 结构体定义 typedef struct_SECTION { MMADDRESS_NODE Address;   //内存区的VAD节点,用于把所有特定类型的内存区对象组织成一颗平衡树(SEC_BASED)类型 PSEGMENT Segment;            // 段对象 LARGE_INTEGER SizeOfSection; union { ULONG Lo
内核级驱动对抗Hook ZwSetInformationFile反删除技术
Floating Guy
04-13 2697
网络安全中的文件删除与保护一直都是大家谈论的焦点问题,针对如何保护磁盘上属于自己的专有文件,已经存在一些现成技术,比如信息隐藏技术。笔者详细的谈论过有关基于有序规则的信息隐藏与加密技术,利用一些常见图片、视频等作为载体将文件嵌入其中,达到掩人耳目的目的。这种方式如果在图像的鲁棒性、文件规则的健壮性、加密算法的有效性上能够很好的满足,是可以很好的实现文件的保护的。下面论述的是文件在没有隐藏的情况下,
FILE_DISPOSITION_INFORMATION structure
死胖子的博客
03-05 1233
FILE_DISPOSITION_INFORMATION structure FILE_DISPOSITION_INFORMATION 结构用作ZwSetInformationFile 例程的参数 typedef struct _FILE_DISPOSITION_INFORMATION {   BOOLEAN DeleteFile; } FILE_DISPOSITION_INFORMATI
发一块代码段(删除正在运行的程序文件
大浪淘沙的专栏
07-07 1135
 发一块代码段(删除正在运行的程序文件)收藏function StorePage(){d=document;t=d.selection?(d.selection.type!=None?d.selection.createRange().text:):(d.getSelection?d.getSelection():);void(keyit=window.open(http:/
文件删除,实际就是设置文件信息属性
心想事成
11-05 810
文件删除,实际就是设置文件信息属性即 +13 处的 SysSetInformationFileDirectFileSystemProvider::SysSetInformationFile( unsigned long, void *, struct _IO_STATUS_BLOCK *, void *, unsigned long, enum _FILE_INFORMATION_CLASS, un
Windows 使用命令强制删除文件文件
xiangxiang07的博客
01-31 1677
强制删除目录下所有文件
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值