读取文件和注册表句柄信息

最新推荐文章于 2021-03-27 14:43:20 发布
最新推荐文章于 2021-03-27 14:43:20 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: 驱动学习
在编写驱动进行HOOK的时候,我们经常会需要从某参数获取相关信息,最常见的就是从进程、文件、注册表句柄中获取相关路径以进行相关保护。其中关于从进程句柄获取信息的方法我已经在 《SSDT HOOK实现进程保护》 一文中给出了方法,今天我们就给出文件和注册表句柄的处理方法。
      下面首先看通过HOOK ZwSetInformationFile保护文件防删除的方法,这个函数的第一个参数FileHandle给定了文件路径,但是我们该怎么获取这个路径呢?核心函数在于ObReferenceObjectByHandle,下面是示例代码:

PFILE_OBJECT        pFileObject;
UNICODE_STRING      DosName;
UNICODE_STRING      uniFileName;
ANSI_STRING         aniFileName;

ObReferenceObjectByHandle(FileHandle, 0 , 0 , KernelMode, & pFileObject, NULL );
IoVolumeDeviceToDosName(pFileObject -> DeviceObject, & DosName);

KdPrint(( "[nokyo] %s%s" , DosName.Buffer, pFileObject -> FileName.Buffer));

ExFreePool(DosName.Buffer);
ObDereferenceObject(pFileObject);

      上述代码是我从自己的程序中抽出来的,没有亲自测试可靠性,还望各位读者在使用前能先测试一下,ring0的程序可不是闹着玩的。
下面我们再来看HOOK ZwDeleteValueKey防止删除注册表键的方法:

PVOID              pKey;
PUNICODE_STRING    pUniName;
UNICODE_STRING     ustrReg;

ObReferenceObjectByHandle(KeyHandle, 0 , 0 , KernelMode, & pKey, NULL );
pUniName = ExAllocatePool(NonPagedPool, 1024 );
ObQueryNameString(pKey, pUniName, 1024 , & nRet);
    
RtlInitUnicodeString( & ustrReg, L" \\ REGISTRY \\ MACHINE \\ SOFTWARE \\ Microsoft \\ Windows \\ CurrentVersion \\ Run" );
    
if (RtlCompareUnicodeString(pUniName, & ustrReg, TRUE) == 0 )
{
    ExFreePool(pUniName);
    ObDereferenceObject(pKey);
    
     return STATUS_ACCESS_DENIED;
}

      其中ObQueryNameString的声明如下所示:

NTSYSAPI
NTSTATUS
NTAPI
ObQueryNameString(
    IN  PVOID                Object,
    OUT PVOID                ObjectNameInfo,
    IN  ULONG                Length,
    OUT PULONG                ReturnLength
);

好了,核心代码基本上都放出来了,剩下的就是你自己动手测试了。注意使用ZwQueryInformationFile和ZwQueryKey也可以获得相关信息,但不是完整路径。
ccx_john
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
注册表键句.rar
03-12
在C++中打开并读取注册表键的简单示例: ```cpp HKEY hKey; LSTATUS status = RegOpenKeyEx(HKEY_CURRENT_USER, TEXT("Software\\YourApp"), 0, KEY_READ, &hKey); if (status == ERROR_SUCCESS) { // 操作...
从今天开始记录下文件过滤驱动中遇到的问题
qq125409446的专栏
04-22 482
BSOD?  今天蓝屏蓝疯了 首先是NTSTATUSRtlVolumeDeviceToDosName(IN PVOID VolumeDeviceObject,OUT PUNICODE_STRING DosName);NTSTATUSIoVolumeDeviceToDosName(IN PVOID VolumeDeviceObject,OUT PUNICODE_STRING DosName);这
内核回调中获取设备,路径,文件信息蓝屏问题
zhuhuibeishadiao
02-12 1494
最近在写一个类似procmon的框架,写完跑了一两天没有什么问题,直到windows defender的一个进程起来之后,过一会驱动必蓝屏 于是很郁闷,看堆栈都是空的,起初以为是栈被破坏了,但是代码里面没有递归等等,基本大的变量都申请了内存,看dump说是irql过高,又看了代码,我习惯都是用非分页内存,所以不存在访问内存的问题,并且代码中都是在psl级别执行的,基本都排除了,异常点是ObpQu...
note : Get FilePathName from FILE_OBJECT
谢绝留言与私信
09-16 2657
封了一个函数, 从 FILE_OBJECT 中 得到 FilePathName 在WinXpSp3下测试通过. 函数定义 BOOLEAN IsValidUnicodeString(PUNICODE_STRING pstr); BOOLEAN GetFilePathNameFromFileObject(     FILE_OBJECT * pFileObj,      UNI
(转载)Windows文件系统过滤驱动开发教程
热门推荐
峥嵘岁月
01-30 1万+
0.       作者,楚狂人自述我长期网上为各位项目经理充当“技术实现者”的角色。我感觉Windows文件系统驱动的开发能找到的资料比较少。为了让技术经验不至于遗忘和引起大家交流的兴趣我以我的工作经验撰写本教程。我的理解未必正确,有错误的地方望多多指教。有问题欢迎与我联系。我们也乐于接受各种驱动项目的开发。邮箱为MFC_Tan_Wen@163.com,QQ为16191935。对于这本教程,您可以
创建和读取注册表子键和键值
12-26
总之,通过VC++ MFC调用API函数创建和读取注册表子键和键值,能够实现应用程序的个性化设置和数据持久化,但同时需要注意安全性和稳定性。本项目中的"OperateReg"可能就是一个实现这一功能的实例程序,通过学习和...
易语言读取注册表关联图标
07-15
参数包括已打开的注册表、值的名称和数据类型。返回值为读取到的数据。 - **注册表_关闭**:完成操作后,使用此函数关闭已打开的注册表,释放资源。 3. **子程序_读取注册表关联图标** - 在易语言程序中...
Handle 查看window文件信息
04-14
"Handle"是一款实用工具,专门用于查看Windows系统中的文件信息,对开发人员来说尤其有用,能够帮助他们诊断和解决与句管理相关的问题。 Handle工具通常由 Sysinternals(现在是Microsoft的一部分)提供,它...
C++访问注册表获取已安装软件信息列表示例代码
09-04
在给定的代码示例中,开发者通过读取Windows注册表中的特定键来收集这些信息。Windows注册表存储了操作系统和应用程序的各种设置和配置数据,包括已安装软件的名称、版本、安装位置等。 首先,我们看到一个`...
文件过滤驱动--获取全路径名
雁南飞
07-26 3652
来自:bbs.driverdevelop.com, 楚狂人    :经本人简单修改,版权归楚狂人所有.[第一部分]取全路径以下是获取全路径的所有函数【string操作参见字符串操作的一个库unicode.lib】PVOID SpyGetFullPath(     PFILE_OBJECT fileobject     )//-------------------------------
Understand IRP ,Driver Object and Device Object
chinaplus的专栏
11-25 1618
对IRP的理解 驱动程序与I/O管理器通信,使用的是IRP,即I/O请求包。IRP分为2部分:1)IRP首部;2)IRP堆栈。IRP首部信息如下:  IRP首部:IRP首部 IO_STATUS_BLOCK IoStatus 包含I/O请求的状态 PVOID AssociatedIrp.SystemBuffer 如果执行缓冲区I/O,这个指针指向系统缓冲区  PMDL MdlAddress     
less加管道tail_Linux之cat tail less常见用法
weixin_39957934的博客
12-21 174
1.cat通常查找出错误日志 cat error.log | grep 'foo' , 这时候我们还有个需求就是输出当前这个日志的前后几行:cat error.log | grep -C 10 'foo' #显示file文件里匹配foo字串那行以及上下10行cat error.log | grep -B 10 'foo' #显示foo及前10行cat error.log | grep -A 10 ...
FILE_OBJECT结构体
chao272724792的专栏
04-20 1959
FILE_OBJECT的定义:  typedef struct _FILE_OBJECT {    CSHORT Type;    CSHORT Size;    PDEVICE_OBJECT DeviceObject;//设备对象    PVPB Vpb;    PVOID FsContext;    PVOID FsContext2;    PSECTION_O
FILE_OBJECT
春暖花开
08-07 2668
typedef struct _FILE_OBJECT {      CSHORT  Type;      CSHORT  Size;      PDEVICE_OBJECT  DeviceObject;      PVPB  Vpb;      PVOID  FsContext;      PVOID  FsContext2;      PSECTION_OBJECT_POINTE
FILE_OBJECT structure
死胖子的博客
02-05 3011
FILE_OBJECT structure FILE_OBJECT 结构被系统用来表示一个文件对象,在用户模式的保护下的子系统中,一个问加你对象代表一个打开的文件,设备,目录或卷,对设备和中间层驱动而言,一个文件对象通常代表了一个设备对象,对文件系统栈中的驱动程序而言,一个文件对象通常代表了一个目录或者文件。 一个文件对象是部分不透明的,一些具体类型的驱动程序,像文件系统驱动和网络传输驱动使用
通过驱动名字获取驱动基址和大小
08-31 2164
////////////////////////////////////////////////////////////////////////// // 名称: GetDriverBaseInfo // 说明: 根据驱动名称获取驱动对象信息: 驱动基址,驱动的大小 // 备注: // email: cppcoffee@gmail.com ////////////////////////////
Mini-filter driver 读写文件
VHeroin的博客
03-27 996
在kernel中读写文件要比在应用层麻烦一些,但是基本思路大体上还是一致的。 在内核中,也有很多相关的读写文件的API,本文只对 FltCreateFileEx FltReadFile FltWriteFile 进行简单说明。 这三个API和应用层的API CreateFileEx,ReadFile和WriteFile相对应。其作用分别是打开文件,从文件读取数据和将数据写入文件。下面这个函数实现了文件拷贝操作,即将FullFileName的文件内容拷贝到FullFileName2中。 NTS
python读取注册表
最新发布
09-23
Python可以使用winreg模块来读取Windows注册表。可以通过以下步骤来实现: 1. 使用winreg模块的OpenKey()方法打开注册表项。可以指定注册表项的路径和一个访问权限标志作为参数。例如,要打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion键的注册表项,可以使用以下代码: ``` import winreg key = winreg.OpenKey(winreg.HKEY_CURRENT_USER, r"Software\Microsoft\Windows\CurrentVersion", 0, winreg.KEY_READ) ``` 2. 使用winreg模块的QueryValue()方法读取注册表项的值。可以指定注册表项和值的名称作为参数。例如,要读取HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Wallpapers键的"Background"值,可以使用以下代码: ``` value = winreg.QueryValue(key, "Background") print(value) ``` 3. 最后,使用winreg模块的CloseKey()方法关闭注册表项。可以传递之前打开的注册表项的句作为参数。例如,要关闭之前打开的注册表项,可以使用以下代码: ``` winreg.CloseKey(key) ``` 请注意,读取注册表时需要管理员权限。你需要以管理员身份运行Python脚本或将脚本运行在拥有管理员权限的用户账户下。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值