IoCreateFile也可以用ZwCreateFile,及二者区别

最新推荐文章于 2023-06-15 09:09:52 发布
最新推荐文章于 2023-06-15 09:09:52 发布
阅读量1.5k 收藏
点赞数
分类专栏: 编程语言(c/cpp/apue/sql/Enternet) 文章标签: access file hook buffer object string
在内核中我们进行文件操作,可以使用 IoCreateFile 也可以用 ZwCreateFile。  但究竟这两者有什么差别呢?下面是这两个函数的格式如下:
NTSTATUS
IoCreateFile(
OUT PHANDLE  FileHandle ,
IN ACCESS_MASK  DesiredAccess ,
IN POBJECT_ATTRIBUTES  ObjectAttributes ,
OUT PIO_STATUS_BLOCK  IoStatusBlock ,
IN PLARGE_INTEGER  AllocationSize  OPTIONAL,
IN ULONG  FileAttributes ,
IN ULONG  ShareAccess ,
IN ULONG  Disposition ,
IN ULONG  CreateOptions ,
IN PVOID  EaBuffer  OPTIONAL,
IN ULONG  EaLength ,
IN CREATE_FILE_TYPE  CreateFileType ,
IN PVOID  ExtraCreateParameters  OPTIONAL,
IN ULONG  Options
) ;NTSTATUS 
 ZwCreateFile(  
       OUT PHANDLE   FileHandle ,
    IN ACCESS_MASK  DesiredAccess ,  
       IN POBJECT_ATTRIBUTES  ObjectAttributes ,  
       OUT PIO_STATUS_BLOCK  IoStatusBlock ,  
        IN PLARGE_INTEGER  AllocationSize   OPTIONAL,
       IN ULONG   FileAttributes ,
    IN ULONG   ShareAccess ,  
       IN ULONG   CreateDisposition ,  
        IN ULONG   CreateOptions ,  
        IN PVOID   EaBuffer   OPTIONAL,  
       IN ULONG   EaLength   );


 这两个函数都必须运行在PASSIVE_LEVEL级别上。
1)在 ZwCreateFile 内部调用了 IoCreateFile
     用ZwCreateFile会导致PREVIOUS MODE成为KERNEL MODE, 从而破坏NT本身的安全检查机制. 而IoCreateFile 不会。 假设你处在用户进程的上下文环境中,如果不指定 Options 为 IO_NO_PARAMETER_CHECKING,IoCreateFile调用会失败,原因是IoCreateFile检查参数,如果发现他在用户模式上下文中,但是创建是内核模式的调用,所以会导致失败。
2)hook  ZwCreateFile  比较容易,只要hook ssdt就能简单实现。 IoCreateFile是由 NTOSKRNL.EXE导出的函数。 hook IoCreateFile 要复杂一些


当然,你可以在内核中调用ZwCreateFile失败时,可以调用IoCreateFile。下面是这样一个例子。

ReadFileIntoBuffer proc uses ebx esi edi sourceString:dword

local @Handle : dword
local @IoStatusBlock:IO_STATUS_BLOCK
local @ByteOffset:LARGE_INTEGER
local @DestinationString:UNICODE_STRING
local @ObjectAttributes:OBJECT_ATTRIBUTES
local @FileInformation:FILE_STANDARD_INFORMATION

                xor     eax, eax
                xor     esi, esi
                lea     edi, @FileInformation
                mov   ecx,6
                rep stosd                  
                
                xor     eax, eax
                mov     dword ptr @ByteOffset, esi
                lea     edi, [@ByteOffset+4]
                stosd                   ; 初始化ByteOffset
                call    KeGetCurrentIrql
                test    al, al
                jbe     short CanCreate
                xor     eax, eax
                jmp     Quit


CanCreate:                             
             
                push    sourceString
                lea     eax, @DestinationString
                push    eax            
                call    RtlInitUnicodeString ; 将参数传入的宽字符串转换成UNICODE_STRING
                push    esi             ; EaLength
                push    esi             ; EaBuffer
                push    60h             ; CreateOptions
                xor     ebx, ebx
                inc     ebx
                push    ebx             ; CreateDisposition
                push    ebx             ; ShareAccess
                lea     eax, @DestinationString
                mov     @ObjectAttributes.ObjectName, eax
                mov     edi, 80h
                push    edi             ; FileAttributes
                push    esi             ; AllocationSize
                lea     eax, @IoStatusBlock
                push    eax             ; IoStatusBlock
                lea     eax, @ObjectAttributes
                push    eax             ; ObjectAttributes
                push    100001h         ; DesiredAccess
                lea     eax, @Handle
                push    eax             ; FileHandle
                mov     @ObjectAttributes._Length, 18h
                mov     @ObjectAttributes.RootDirectory, esi
                mov     @ObjectAttributes.Attributes, 240h
                mov     @ObjectAttributes.SecurityDescriptor, esi
                mov     @ObjectAttributes.SecurityQualityOfService, esi
                call    ZwCreateFile 
                test    eax, eax
                jge     short ZwCreateOk

                push    100h            ; Options
                push    esi             ; ExtraCreateParameters
                push    esi             ; CreateFileType
                push    esi             ; EaLength
                push    esi             ; EaBuffer
                push    esi             ; CreateOptions
                push    ebx             ; Disposition
                push    ebx             ; ShareAccess
                push    edi             ; FileAttributes
                push    esi             ; AllocationSize
                lea     eax, @IoStatusBlock
                push    eax             ; IoStatusBlock
                lea     eax, @ObjectAttributes
                push    eax             ; ObjectAttributes
                push    edi             ; DesiredAccess
                lea     eax, @Handle
                push    eax             ; FileHandle
                call    IoCreateFile 
                test    eax, eax
                jl      short CreateFailed

ZwCreateOk:                             
                push    5               ; FileInformationClass
                push    18h             ; FileInformationLength
                lea     eax, @FileInformation
                push    eax             ; FileInformation
                lea     eax, @IoStatusBlock
                push    eax             ; IoStatusBlock
                push    @Handle         ; FileHandle
                call    ZwQueryInformationFile 
                test    eax, eax
                jl      short QueryFailed
                
                lea     eax,[@FileInformation + 8]
                cmp     [eax], esi ; 判断文件长度EndOfFile是否为0
                jz      short QueryFailed
                push    206B6444h       ; Tag
                push    [eax]           ; NumberOfBytes
                push    esi             ; PoolType
                call    ExAllocatePoolWithTag
                mov     edi, eax
                cmp     edi, esi
                jz      short QueryFailed
                push    esi             ; Key
                lea     eax, @ByteOffset
                push    eax             ; ByteOffset
                lea     eax,[@FileInformation + 8]      
                push    [eax]           ; Length
                lea     eax, @IoStatusBlock
                push    edi             ; Buffer
                push    eax             ; IoStatusBlock
                push    esi             ; ApcContext
                push    esi             ; ApcRoutine
                push    esi             ; Event
                push    @Handle         ; FileHandle
                call    ZwReadFile 
                push    @Handle         ; Handle
                mov     ebx, eax
                call    ZwClose        
                cmp     ebx, esi
                jge     short ReadOK
                push    edi             
                call    ExFreePool
                jmp     short CreateFailed
; ---------------------------------------------------------------------------

ReadOK:                             
                mov     eax, edi
                jmp     short Quit
; ---------------------------------------------------------------------------

QueryFailed:                           
                push    @Handle    ; Handle
                call    ZwClose

CreateFailed:                             
                                        
                xor     eax, eax

Quit   :                         
            
                ret
ReadFileIntoBuffer endp
_暮落_
关注
专栏目录
[转贴]利用伪造内核文件来绕过IceSword的检测
享受开发,颠倒银河
09-16 2136
[转贴]利用伪造内核文件来绕过IceSword的检测 作者:倪茂志邮件:backspray008@gmail.com完成于:2005.12.20文章分为八个部分:  一、为什么需要伪造内核  二、伪造内核文件  三、隐藏进程  四、隐藏内核模块  五、隐藏服务  六、隐藏注册表  七、隐藏文件
NPCAP和WPCAP
最新发布
l00102795的博客
10-14 876
NPCAP是专为Windows开发的一款网络抓包SDK,该SDK提供了被应用程序调用的库文件和系统驱动程序。通过Npcap,我们可以得到原始网络数据,即未经过TCP/IP协议栈的数据,也就是网卡收到的数据,同时呢,我们也可以通过NPCAP设置接收过滤器,这样收到的数据就是我们感兴趣的数据,比如某个端口的数据。而且,Npcap还提供发送原始网络数据的功能。
IoCreateFile vs IoCreateFile
weixin_33907511的博客
06-29 399
感觉IoCreateFile应该算是系统调用,它会调用ObCreateObject函数。 IoCreateFileIoCreateDevice都会调用ObCreateObject函数。 在中IoCreateFile中, Status = ObCreateObject(FileHandle, DesiredAc...
ZwCreateFile的尝试
harveyzyh的专栏
12-18 677
Windows内核驱动中操作文件
ALCAT的专栏
11-08 5854
一. 在驱动中使用文件 在Windows执行体中,通过文件对象来代表文件,该文件对象是一种由对象管理器管理的执行体对象。例如:目录也是由文件对象代表的。 内核组件通过对象名来引用文件,即在文件的全路径前面加\DosDevices。(在Windows 2000及后续操作系统中,\??等同于\DosDevices)。例如,文件C:\WINDOWS\example.txt的对象名为\DosDevic
vc调试
踏雪无痕
05-02 2999
现在的项目中遇到个大问题,就是有很多BUG,可我找不到原因.当然原因之一是那几十也可能几百万的代码里,居然没有一点说明文档.除了代码,我没任何可以参考的东西.原因之二,就是最近太累,读代码时,大脑根本不听使唤,太累.呵呵,从中我也明白一个道理.大脑是有情绪的,并不是你想做的东西,它就会听你的话去做.也许我还不知道,大脑里有理性的一部分,即知道我们该做什么,但大脑也有感性的一部分,即让它感到累或感到
强删文件--->构建IRP---->独占--->正在运行 以及磁盘读写(思路)
zhuhuibeishadiao
04-03 2908
个人比较崇拜360 一个小小的按钮下面蕴含着很多的原理 要有多么强大才能1天搞定偏移 -------致敬360 致敬MJ-001 无奈本人学业不精 只能说说“独占”和“正在运行” 打开文件 一般使用ZwCreateFile NtCreateFile 但这些函数还不够底层 使用IoCreateFile会好一些 被其它程序独占 枚举句柄表 ZwQuerySystemInformation -
用io读取一个文件.
RenJanely的专栏
02-26 6403
InputStream是所有输入流的基类,FileInputStream是它的一个实现类,允许程序读取机器上面的文件 FileInputstream,FileOutputstream分别是由抽象类Inputstream和Outputstream继承来的,他们的源和目的地是以字节流的方式读取文件,键盘,鼠标,或者显示器.。  而byteArrayInputStream,byteArrayOutp
使用DUMP 文件调试分析内核驱动
似水流年 -- 韩欣的博客
11-17 4588
<br />最近数据分离驱动总是偶然的出现蓝屏问题,很难确定原因, 只能通过Dump 文件分析了 <br /> <br /> <br />Dump 文件分析很大程度上就是分析蓝屏产生的原因。这种系统级的错误算是Windows提示错误中比较严重的一种(更严重的还有启动黑屏等硬件或软件兼容性错误等等)。说它是比较严重,是因为毕竟Windows还提供了dump文件给用户分析,至少能比较容易的找到错误的原因。一般蓝屏要么是内核程序中的异常或违规,要么是数据结构的损坏,也有boot或shutdown的时候内核出错。有
windows内核情景分析 --- 文件系统
maomao171314的专栏
04-04 3629
文件系统 一台机器上可以安装很多物理介质来存放资料(如磁盘、光盘、软盘、U盘等)。各种物理介质千差万别,都配备有各自的驱动程序,为了统一地访问这些物理介质,windows设计了文件系统机制。应用程序要访问存储在那些物理介质上的资料时,无需直接访问,只需借助文件系统即可对其有效访问。各种物理介质的存储方式千差万别,文件系统则按照‘文件’的概念,把要存储的资料以文件为单位进行存放,然后,读取的时候也
围观文件穿越操作
Returns' Station
06-06 1243
大概这么几个思路   1.      打开文件用IoCreateFile,其他比较好发irp的(比如删除操作)走FSD irp 删除文件部分处理了删除正在运行的exe镜像部分,做法是方法是IAT Hook MmFlushImageSection 但是这样对于独占文件依旧不能处理,只好等到关机回调的时候ZwClose一下在检验 对于鬼影这种hook住微端口驱动的Star
JavaSE基础(116) File如何删除文件和文件夹方法
郑清
09-06 1万+
boolean delete() 删除此抽象路径名表示的文件或目录。 删除文件:存在文件则直接删除返回true,如果不存在返回false 删除目录: ①:为空:直接删除 ②:不为空:删不掉 (需要先删除文件夹里面所有文件,再删除文件夹) ③:不存在直接返回false注意:delete方法 ==》直接从磁盘中删除,不能像回收站一样可以恢复!!...
WDK 常用的几个函数
weixin_34273046的博客
01-06 264
首先是几个内存分配的函数 Ex_系列函数 功能简述 ExAllocatePool 内存分配 ExFreePool 释放内存 ExAcquireFastMutex 获取一个互斥体 ExRekeaseFastMutex 释放一个互斥体 ExRasiseStatus 抛出一个异常 下面是一组文件操作的函数 ...
Win64 驱动内核编程-5.内核里操作文件
天使也掉毛
03-04 2399
内核里操作文件     RING0 操作文件和 RING3 操作文件在流程上没什么大的区别,也是“获得文件句柄->读/写/删/改->关闭文件句柄”的模式。当然了,只能用内核 API,不能用 WIN32API。在讲解具体的代码之前,先讲解一下文件系统的流程,让大家对整个文件系统有个大概的了解。     假设我们要读写一个文件,无论在 RING3 调用 ReadFile,还是在 RING0 调用 
驱动开发:内核解锁与强删文件
热门推荐
CSDN
06-15 1万+
在某些时候我们的系统中会出现一些无法被正常删除的文件,如果想要强制删除则需要在驱动层面对其进行解锁后才可删掉,而所谓的解锁其实就是释放掉文件描述符(句柄表)占用,文件解锁的核心原理是通过调用`ObSetHandleAttributes`函数将特定句柄设置为可关闭状态,然后在调用`ZwClose`将其文件关闭,强制删除则是通过`ObReferenceObjectByHandle`在对象上提供相应的权限后直接调用`ZwDeleteFile`将其删除,虽此类代码较为普遍,但作为揭秘ARK工具来说也必须要将其分析并
求助:关于IoCreateFileSpecifyDeviceObjectHint返回结果是STATUS_INVALID_DEVICE_OBJECT_PARAMETER的问题
myworldbig的专栏
07-25 2722
想在sfcreate中用IoCreateFileSpecifyDeviceObjectHint打开一个文件来判断文件是否存在,如果打开同盘的文件可以实现(返回STATUS_OBJECT_NAME_NOT_FOUND
USB开发—自上而下(二)
九头虫的博客
07-09 647
上一节已经说明了如何通过InterfaceGUID监测USB设备的状态,本节我们讨论的主题是如何通过设备名称获取通讯上下文的句柄。 应用程序获取设备句柄的一般步骤如下: #define LIBUSB_DEVICE_NAME "\\\\.\\libusb0-" bool CDemoMainFrame::OnBtnOpenDevice( void* param ) { _snpri
Windows设备驱动开发详解
- 各种开头函数(如 ZwCreateFile, IoBuildDeviceIoControlRequest 等)有其特定用途,需理解其功能和使用场景。 - 示例程序有助于理解和实践驱动开发中的概念。 - 补充说明可能涵盖驱动程序调试和错误处理。 4....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值