Windows驱动--创建日志文件

已于 2023-10-10 17:54:59 修改
阅读量318 收藏
点赞数
文章标签: windows 驱动开发
于 2023-10-10 17:53:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TakakiTohno/article/details/133750788
版权

提示:原创不易,未经允许,不可擅自转载

创建驱动日志

前言

有时候当我们不想用windbg、dbgview等工具查看驱动信息,又想知道一些关键的数据时,我们就可以新建一个log日志用来查看当前驱动的运行状况了。

一、创建日志文件

驱动中创建文件一般会用到NtCreateFile、ZwCreateFile、IoCreateFile这几个函数。这里用ZwCreateFile来举例。

ZwCreateFile函数原型如下:

NTSYSAPI NTSTATUS ZwCreateFile(
  [out]          PHANDLE            FileHandle,
  [in]           ACCESS_MASK        DesiredAccess,
  [in]           POBJECT_ATTRIBUTES ObjectAttributes,
  [out]          PIO_STATUS_BLOCK   IoStatusBlock,
  [in, optional] PLARGE_INTEGER     AllocationSize,
  [in]           ULONG              FileAttributes,
  [in]           ULONG              ShareAccess,
  [in]           ULONG              CreateDisposition,
  [in]           ULONG              CreateOptions,
  [in, optional] PVOID              EaBuffer,
  [in]           ULONG              EaLength
);

代码如下(示例):

RtlInitUnicodeString(&FileName, L"\\??\\C:\\test.log");
InitializeObjectAttributes(&ObjectAttributes, &FileName, OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE, NULL, NULL);

Status = ZwCreateFile(
    &FileHandle, 
    GENERIC_WRITE | GENERIC_READ, 
    &ObjectAttributes, 
    &IoStatusBlock, 
    NULL, 
    FILE_ATTRIBUTE_NORMAL, 
    FILE_SHARE_READ, 
    FILE_OPEN_IF, 
    FILE_NON_DIRECTORY_FILE | FILE_RANDOM_ACCESS | FILE_SYNCHRONOUS_IO_ALERT,
    NULL,
    0);
if (!NT_SUCCESS(Status)) {
    // Handle error.  
    KdPrint(("Test: Failed to ZwCreateFile file.\n"));
    goto done;
}

需要注意的是,这里的文件名要以符号链接名(“\??\C:\test.log”)的形式,即在C盘目录下创建名为test.log的日志文件。还需要将该文件置为内核模式,即设置OBJ_KERNEL_HANDLE。参数CreateOptions也会影响到文件创建成功与否。

二、写入日志文件

驱动中创建文件一般会用到NtWriteFile、ZwWriteFile、IoWriteFile这几个函数。这里用ZwWriteFile来举例。

ZwWriteFile函数原型如下:

NTSYSAPI NTSTATUS ZwWriteFile(
  [in]           HANDLE           FileHandle,
  [in, optional] HANDLE           Event,
  [in, optional] PIO_APC_ROUTINE  ApcRoutine,
  [in, optional] PVOID            ApcContext,
  [out]          PIO_STATUS_BLOCK IoStatusBlock,
  [in]           PVOID            Buffer,
  [in]           ULONG            Length,
  [in, optional] PLARGE_INTEGER   ByteOffset,
  [in, optional] PULONG           Key
);

代码如下(示例):

Status = ZwWriteFile(
    FileHandle, 
    NULL, 
    NULL, 
    NULL, 
    &IoStatusBlock,
    WriteBuffer,
    BufferLen,
    &Offset,
    NULL);
if (!NT_SUCCESS(Status)) {
    // Handle error.
    KdPrint(("Test: Failed to ZwWriteFile file.\n"));  
    goto done;
}

WriteBuffer字符串数据,要写入test.log中的文本信息;BufferLen字符串数据大小;Offset偏移量,即是写入文本中的位置。

三、读取日志文件

驱动中创建文件一般会用到NtReadFile、ZwReadFile、IoReadFile这几个函数。这里用ZwReadFile来举例。

ZwReadFile函数原型如下:

NTSYSAPI NTSTATUS ZwReadFile(
  [in]           HANDLE           FileHandle,
  [in, optional] HANDLE           Event,
  [in, optional] PIO_APC_ROUTINE  ApcRoutine,
  [in, optional] PVOID            ApcContext,
  [out]          PIO_STATUS_BLOCK IoStatusBlock,
  [out]          PVOID            Buffer,
  [in]           ULONG            Length,
  [in, optional] PLARGE_INTEGER   ByteOffset,
  [in, optional] PULONG           Key
);

代码如下(示例):

Status = ZwReadFile(
    FileHandle,
    NULL,
    NULL,
    NULL,
    &IoStatusBlock,
    ReadBuffer,
    BufferLen,
    NULL,
    NULL
);
if (!NT_SUCCESS(Status)) {
    // Handle error.
    KdPrint(("Test: Failed to ZwReadFile file.\n"));
    goto done;
}
KdPrint(("Test: read buffer: %s.\n", ReadBuffer));

ReadBuffer字符串数据,从test.log中读取的文本信息会被保存到该变量中;BufferLen指定读取字符串数据的大小;ByteOffset为null,表示从内容首行开始读取。

全部代码

代码如下(示例):

    NTSTATUS Status;
    HANDLE FileHandle = NULL;
    IO_STATUS_BLOCK IoStatusBlock;
    OBJECT_ATTRIBUTES ObjectAttributes;
    UNICODE_STRING FileName;
    LARGE_INTEGER Offset;
    CHAR WriteBuffer[1024];
    CHAR ReadBuffer[1024];
    ULONG BufferLen;

    RtlInitUnicodeString(&FileName, L"\\??\\C:\\test2.log");
    InitializeObjectAttributes(&ObjectAttributes, &FileName, OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE, NULL, NULL);

    Status = ZwCreateFile(
        &FileHandle, 
        GENERIC_WRITE | GENERIC_READ, 
        &ObjectAttributes, 
        &IoStatusBlock, 
        NULL, 
        FILE_ATTRIBUTE_NORMAL, 
        FILE_SHARE_READ, 
        FILE_OPEN_IF, 
        FILE_NON_DIRECTORY_FILE | FILE_RANDOM_ACCESS | FILE_SYNCHRONOUS_IO_ALERT,
        NULL,
        0);
    if (!NT_SUCCESS(Status)) {
        // Handle error.  
        KdPrint(("Test: Failed to ZwCreateFile file.\n"));
        goto done;
    }
    
    Offset.HighPart = -1;
    Offset.LowPart = FILE_WRITE_TO_END_OF_FILE;// | FILE_USE_FILE_POINTER_POSITION;

    BufferLen = sizeof("Hello World!");
    RtlCopyMemoryNonTemporal(WriteBuffer, "Hello World!\r\n", BufferLen);
    Status = ZwWriteFile(
        FileHandle, 
        NULL, 
        NULL, 
        NULL, 
        &IoStatusBlock,
        WriteBuffer,
        BufferLen,
        &Offset,
        NULL);
    if (!NT_SUCCESS(Status)) {
        // Handle error.
        KdPrint(("Test: Failed to ZwWriteFile file.\n"));  
        goto done;
    }

    Status = ZwReadFile(
        FileHandle,
        NULL,
        NULL,
        NULL,
        &IoStatusBlock,
        ReadBuffer,
        BufferLen,
        NULL,
        NULL
    );
    if (!NT_SUCCESS(Status)) {
        // Handle error.
        KdPrint(("Test: Failed to ZwReadFile file.\n"));
        goto done;
    }
    KdPrint(("Test: read buffer: %s.\n", ReadBuffer));

    ZwClose(FileHandle);

done:
    if (NT_SUCCESS(Status)) {
        KdPrint(("Test: File created successfully.\n"));
    }
    else {
        KdPrint(("Test: Failed to create file. Status = 0x%08X\n", Status));
    }
    return Status;

总结

以上只是对Zw库的对文件操作的API的简单使用,实际驱动开发会更为复杂,应根据实际项目需要选择合适的API。

参考

【1】ZwCreateFile 函数 (wdm.h)
【2】ZwWriteFile 函数 (wdm.h)
【3】ZwReadFile 函数 (wdm.h)

Carlos Ut
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windows驱动开发TraceView之日志打印
技术联盟
05-29 2286
Windows驱动开发技术详解》一书中,介绍了一种“Windows驱动程序日志打印和查看的方法”,具体就是:在需要打印日志的地方,调用“KdPrint”函数,该函数类似标准C的printf(print file)函数。然后用“DebugView.exe”软件查看日志。 一、引入 事实上,微软也提供了一个日志打印和日志查看机制,它可以查看指定的驱动文件日志,并根据“Level...
Window10驱动简单示例(一)--文件打开读取
jimk1983的专栏
10-24 1013
驱动,进行一次简单的读文件的操作。 #include #define TestFileNamePath L"\\??\\c:\\1111\\111.txt.csx" NTSTATUS FileTest_Read(HANDLE hFile) { NTSTATUS status = STATUS_SUCCESS; LARGE_INTEGER
内核模式下的文件操作_zwcreatefile_zwopenfile_zwreadfile_zwwritefile
05-05 2254
1.文件创建文件创建或者打开都是通过内核函数ZwCreateFile实现的。和Windows API类似,这个内核函数返回一个文件句柄,文件的所有操作都是依靠这个句柄进行操作的。在文件操作完毕后,要关闭这个文件句柄。 NTSTATUS     ZwCreateFile(     OUT PHANDLE  FileHandle,     IN ACCESS_MASK  DesiredAc...
Windows驱动 - 文件操作
qq726232111的博客
12-17 424
0x00 文件操作函数 ZwDeleteFile ZwOpenFile ZwClose ZwQueryInformationFile ZwReadFile ZwWriteFile ZwCreateFile 调用Zw函数会进行参数检查,检查完成后在调用nt函数 0x01 代码 #include <Ntifs.h> #include <wdm.h> //文件删除 NTSTATUS FileDelete(PWSTR wFilePath) { ...
irp
raiky的专栏
07-19 822
<br />驱动程序中IRP处理机制类似Windows应用程序中的"消息处理"机制。在Windows内核中,有个复杂的数据结构IRP,这是与输入输出相关的数据结构。上层应用程序与底层驱动程序通信时,应用程序会发出I/O请求,操作系统将I/O请求转化成相应的IRP数据,不同类型的IRP会根据类型传递到不同的派遣函数内。<br />IRP有两个基本的属性,MajorFunction和MinorFunction,分别记录IRP的主类型和子类型。操作系统根据MajorFunction将IRP"派遣"到不同的派遣函数
驱动开发ZwCreateFile函数
Lydia的博客
06-13 8723
函数原型: NTSTATUS ZwCreateFile( _Out_ PHANDLE FileHandle, _In_ ACCESS_MASK DesiredAccess, _In_ POBJECT_ATTRIBUTES ObjectAttributes, _Out_ PIO_STATUS_BLOCK IoStatusBlock, _In_
ZwCreateFile
死胖子的博客
02-04 8669
ZwCreateFile routine ZwCreateFile 创建一个新的文件或者打开一个已经存在的文件。 Syntax C++ NTSTATUS ZwCreateFile( _Out_ PHANDLE FileHandle, _In_ ACCESS_MASK DesiredAccess, _In_ POBJE
驱动开发ZwWriteFile函数
Lydia的博客
06-13 3760
函数原型: 参数: 返回值:
深入理解 ZwCreateFile
HXC_HUANG的博客
04-11 1487
前言:任何编码的东西必须充分的了解规则!我试探性的搜索了下关于这个native api的相关的问题,很郁闷的发现,这些问题90%都是没有真正理解了这个函数导致的!有的人连函数干嘛的都不知道就着急的驱动,真是不可一世!所谓兼收并蓄为的是厚积薄发,其间如履薄冰。说的很贴切!对此我一直支持achills师傅的思想!搞明白了最基本的和必须的东西,一切后续的东西迎刃而解!这个文章我没有过多的什么东西,因为
ZwReadFile routine
死胖子的博客
02-04 3708
ZwReadFile routine ZwReadFile 从一个打开的文件中读取内容 Syntax   NTSTATUS ZwReadFile( _In_ HANDLE FileHandle, _In_opt_ HANDLE Event, _In_opt_ PIO_APC_ROUTINE ApcRoutine, _In_o
windows内核驱动文件
10-11
windows内核驱动条件下文件创建、读、等功能实现源码。适用于驱动调试和运行观察的日志打印输出,比Windbg和reaceview更方便。
windows驱动日志,有Zw和Flt,记录操作某一文件夹的进程名
12-16
windows驱动日志,可以获取进程的全路径(包含进程全名),有Zw系列函数的实现也有Flt系列函数的实现,用minifilter实现的
Windows 资源文件压缩工具 Alternate EXE Packer 2.430.zip
04-23
Alternate EXE Packer 是一个易于使用的程序,旨在压缩 EXE 和 DLL 文件,以减少硬盘驱动器上的空间并使相关文件在运行时自动解压缩。已经压缩的文件也可以使用该程序解压缩。存在 12 个不同的文件压缩级别。该程序...
Win8.1ToUSB:创建可启动的 Windows 8.1 USB 驱动器,可以在 4GB 驱动器上创建 64 位。-开源
07-01
* 使用任何版本的 Windows 创建可启动闪存驱动器。 使用方法: 方法 1:只需在您的 PC 上安装 ISO 文件,插入您的闪存驱动器并单击开始。 方法 2:浏览并选择您的 Windows ISO 文件,插入您的闪存驱动器并单击开始...
Posh-Sysmon:用于创建和管理Sysinternals Sysmon配置文件的PowerShell模块
05-02
用于创建和管理Sysinternals Sysmon v2.0配置文件的PowerShell 3.0或更高版本的模块。 系统监视器( )是Windows系统服务和设备驱动程序,它是Microsoft SysInternal工具的一部分。 它由Mark Russinovich和Thomas ...
windows驱动文件不成功
Jaylon的专栏
11-24 1716
做的虚拟显示器有个功能是设置显示器的Edid,Edid的数据是由应用程序传进来的,为防止每次开机、重启都要进行Edid的设置。 为了记住上一次设置的Edid,我需要在驱动里面操作文件,然而在操作文件的时候会出现一些问题。 读文件如下: BOOL CvMonitor::SyncEdidFromFile() { if (PASSIVE_LEVEL < KeGetCurrentIrql(
驱动程序中文件,定时器,IO_WORKITEM 的使用
weixin_33940102的博客
04-09 391
内容要点展示: 内核中文件的使用 内核定时器的使用 IO_WORKITEM 的使用 文章概要 最近一个项目呢,是做一个基于 TDI 的防火墙, 而在该防火墙的实现过程中呢,有对文件的处理, 因为这个防火墙中涉及到日志文件,黑名单文件,白名单文件的处理, 所以整个的 TDI 防火墙中对于文件处理这一块, 就涉及到文件创建,打开,读取,入等等文件操作。 而在内核...
Windows驱动开发日志打印
Sagittarius_Warrior的博客
04-21 9723
在WDF框架中,有一个“trace.h”头文件,在驱动的入口函数中,会用到 // // Initialize WDF WPP tracing. // WPP_INIT_TRACING( DriverObject, RegistryPath ); // // TraceEvents function is mapped to DoTraceMess
8.1 Windows驱动开发:内核文件系列函数
最新发布
CSDN
11-19 7390
在应用层下的文件操作只需要调用微软应用层下的`API`函数及`C库`标准函数即可,而如果在内核中读文件则应用层的API显然是无法被使用的,内核层需要使用内核专有API,某些应用层下的API只需要增加Zw开头即可在内核中使用,例如本章要讲解的文件与目录操作相关函数,多数ARK反内核工具都具有对文件的管理功能,实现对文件或目录的基本操作功能也是非常有必要的。
windows驱动封装lib
04-01
Windows驱动封装lib是一种可重用的软件库,用于简化Windows驱动程序的开发和维护。它提供了一组API和工具,可以让开发人员更轻松地编驱动程序,并且可以提高驱动程序的可靠性和性能。 Windows驱动封装lib的主要功能包括: 1. 提供驱动程序API:可以通过调用API来读设备、处理中断、访问内存等操作。 2. 管理设备对象:可以创建、打开和关闭设备对象,并管理设备对象的状态和属性。 3. 管理内存:可以分配和释放内存,并提供内存管理工具,如内存池和内存映射文件。 4. 管理I/O请求:可以接受和处理I/O请求,并提供异步I/O支持。 5. 提供调试和故障排除支持:可以记录调试信息、生成日志文件和处理异常情况。 总之,Windows驱动封装lib可以大大简化Windows驱动程序的开发过程,提高开发效率,并且可以使驱动程序更加稳定和可靠。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值