强制删除文件(1)——直接发IRP到文件系统

最新推荐文章于 2023-06-15 09:09:52 发布
VIP文章 最新推荐文章于 2023-06-15 09:09:52 发布
阅读量6.2k 收藏 10
点赞数
分类专栏: 写几个驱动练练手 文章标签: null object file delete pointers attributes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/beijixing2003/article/details/2535069
版权

学习资料:http://www.antiprotect.com/forum_posts.asp?TID=95

上面这个连接中的DEMO是比较完整软件,这里我把其中发IRP强制删除文件的部分抽出来了,
学习了下,顺便加点注释。这个程序比较简单,主要练习了两个点:
(1)模拟发送IRP
(2)使用内核事件对象同步IRP的执行

强制删除文件的思路很简单,把SECTION_OBJECT_POINTERS结构的DataSectionObject和ImageSectionObject两个域清空即可删除正在运行的文件。如果不清空就不能删除运行中的文件。正在运行的文件的这两个域值不为0而文件系统正在根据这两个域决定该文件是否可以删除。如果文件系统检测这两个值为0,就理解为文件没有被使用,可以删除。接下去,就是直接发IRP。

测试时,在C盘目录下放一个test.exe并执行,然后加载驱动即可。
强制删除文件功能在ForceDeleteFile中实现,DriverEntry中只需要简单调用即可。具体实现如下

NTSTATUS DriverEntry(
	IN OUT PDRIVER_OBJECT   DriverObject,
	IN PUNICODE_STRING      RegistryPath
	)
{
	// 其他初始化代码
	// ……

	DbgPrint ( "Delete File %s", ForceDeleteFile(L"//DosDevices//C://test.exe") ? "Success!" : "Failed!" ) ;
	return STATUS_SUCCESS;
}

NTSTATUS FD_SetFileCompletion(
					   IN PDEVICE_OBJECT DeviceObject,
					   IN PIRP Irp,
					   IN PVOID Context
					   )
{
	Irp->UserIosb->Status		= Irp->IoStatus.Status;
	Irp->UserIosb->Information	= Irp->IoStatus.Information;

	KeSetEvent ( Irp->UserEvent, IO_NO_INCREMENT, FALSE ) ;

	IoFreeIrp(Irp);
	return STATUS_MORE_PROCESSING_REQUIRED;
}

HANDLE	FD_OpenFile ( WCHAR szFileName[] )
{
	NTSTATUS			ntStatus ;
最低0.47元/天 解锁文章
beijixing2003
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
文件强删
逆向学习
09-22 1009
文章目录前言内核层强删一个文件的思路一,需要打开这个文件。二,被其它程序独占的话如何解决?三,如果该文件正在运行的话如何解决?四,构建IRP删除文件。局限性扩展——其他方法局限性扩展——其他方法 前言 本人是驱动新手,因为秋招的一些方面的原因,我最近才进行驱动方面的学习。学了一段时间后了解了一个内核强删文件的方法。 内核层强删一个文件的思路 当病毒或者木马等进行了SSDT HOOK了一些API之后...
无驱动强制删除文件易语言源码
06-05
无驱动强制删除文件易语言源码。@资源源码站。
驱动开:内核解锁与强删文件
CSDN
06-15 8811
在某些时候我们的系统中会出现一些无法被正常删除文件,如果想要强制删除则需要在驱动层面对其进行解锁后才可删掉,而所谓的解锁其实就是释放掉文件描述符(句柄表)占用,文件解锁的核心原理是通过调用`ObSetHandleAttributes`函数将特定句柄设置为可关闭状态,然后在调用`ZwClose`将其文件关闭,强制删除则是通过`ObReferenceObjectByHandle`在对象上提供相应的权限后直接调用`ZwDeleteFile`将其删除,虽此类代码较为普遍,但作为揭秘ARK工具来说也必须要将其分析并
强删文件,强杀进程,文件注册表穿越
05-16 882
本公众号分享的所有技术仅用于学习交流,请勿用于其他非法活动,如有错漏,欢迎留言交流指正 《Windows NT File System Iternals》 文件加解密必备 《Windows驱动开技术详解》张帆 电子工业出版社 很基础,仅仅适合入门 《Windows 2000设备驱动程序设计智能》 Art Baker等主 机械工业出版社 《寒江独钓:Windows内核安全编程》 邵坚磊等著 电子工业出版社 《Windows内核原理与实现》潘爱民 强删,强杀,穿越 强制删除文件 安全软件用强删..
易语言无驱动强制删除文件
07-21
易语言无驱动强制删除文件源码,无驱动强制删除文件,强制删除文件,CreateDirectoryA,MoveFileA,DeleteFileA
IFS文件过滤驱动程序开IRP文件操作接口的终极实现代码.zip
01-28
IFS文件过滤驱动程序开IRP文件操作接口的终极实现代码.zip
windows内核 自创建IRP访问文件加非递归遍历文件
09-01
windows内核,自构建IRP,防止rootkey 隐藏隐藏文件或拦截,加上非递归遍历文件(内核栈小不递归)代码加完整例子
论文研究-基于Windows2000的过滤器驱动程序实现的硬盘文件加密系统.pdf
07-22
在信息时代,由于Internet和其他信息传播媒体的存在,计算机数据安全问题日益突出。控制数据的安全包括两方面:一方面如何控制数据的非自主流向,即如何控制数据不被心怀叵测者用不正当手段获得;...
MacOSX-FileSystem-Filter:Mac OS X的文件系统过滤器
03-11
MacOSX文件系统过滤器Mac OS X的文件系统过滤器执照许可证模型是BSD开源许可证。 这是一个非病毒许可证,仅要求您使用它,即表示您承认作者,在本例中为Slava Imameev。 该项目使用distorm反汇编程序 ,该程序现已...
文件系统过滤驱动实现文件隐藏
03-18
C盘对应的设备对象是\Device\HarddiskVolume1文件系统过滤驱动,就是在文件系统驱动上生成自己的设备,然后去绑定这些设备,从而实现对送给卷设备的IRP进行过滤,进而过滤各种文件操作。比如文件隐藏。
强制删除一个文件的驱动程序
12-12
可以强制删除一个正在运行的文件的驱动程序,已经调试通过。适合初学者
通过驱动强制删除被系统占用的文件的工具
04-20
文件被系统占用的情况下,请将文件强制删除,是一个删除工具,没有源码
Kernel-Force-Delete:强制删除正在运行的.exe应用程序文件删除任何锁定的文件
05-15
内核强制删除 看看照片 QT GUI应用程序不完整 吹B群546110133
SuperFileShredder4.12单文件绿色版-国防级别的文件粉碎软件.
08-06
Super FileShredder是一款具有国防级别的安全文件粉碎删除工具。 支持拖拽操作,还提供其他删除。可以彻底删除我们电脑里面的各种类型文件强制删除后是无法 被再生恢复,退出自动清除所有临时释放文件,注册表是干净且无残留。 符合美国国防USDod5220.22-M标准。
一个老外的删除文件软件,强力的
04-17
有了这个软件,你就再也不用怕什么流氓文件了。 只要他不是病毒,你就可以随意把他删掉。原理 是解除此文件与系统的锁定
IRP操作文件
zz_strive_2012的专栏
10-25 1402
版权声明:本文为博主原创文章,未经博主允许不得转载。 [cpp] view plain copy #include       #ifndef MAX_PATH   #define MAX_PATH          260   #endif      NTSTATUS ObOpenObjectByPointer(PVOID Obje
使用IRP进行文件操作
03-26 2664
一定要先感谢为技术的进步而付出辛勤汗水的人,感谢他们对技术的共享.一个通用IRP访问文件的十六进制编辑器(开源代码)     --   被诅咒的神(邪恶八进制信息安全团队)Windows平台内核级文件访问                               --   baiyuanfan ([email protected])特别感谢被诅咒的神,他写的里面包含了非常多
强删文件--->构建IRP---->独占--->正在运行 以及磁盘读写(思路)
zhuhuibeishadiao
04-03 2851
个人比较崇拜360 一个小小的按钮下面蕴含着很多的原理 要有多么强大才能1天搞定偏移 -------致敬360 致敬MJ-001 无奈本人学业不精 只能说说“独占”和“正在运行” 打开文件 一般使用ZwCreateFile NtCreateFile 但这些函数还不够底层 使用IoCreateFile会好一些 被其它程序独占 枚举句柄表 ZwQuerySystemInformation -
irp trace 2.0
最新发布
06-27
在使用过程中,IRP Trace 2.0会将不同的驱动程序产生的请求送信息进行记录,并将这些信息分析整理成一个统一的日志文件,该日志文件可以协助开人员找到系统驱动程序中出现的问题以及在加速驱动程序开过程中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值