查询或设置文件的属性

最新推荐文章于 2022-06-21 11:08:31 发布
最新推荐文章于 2022-06-21 11:08:31 发布
阅读量777 收藏
点赞数
分类专栏: windows驱动 文章标签: file null string basic object c

获取或修改文件的属性:ZwSetInformationFile、ZwQueryInformationFile 两个函数的参数大体上相同,
当FileInformationClass设置参数为FileStandardInformation时,输入和输出的数据是FILE_STANDARD_INFORMATION 结构体,描述文件的基本信息。当FileInformationClass是FileBasicInformation时,输入和输出的数据是FILE_BASIC_INFORMATION结构体,描述文件的时间信息。
当FileInformationClass是FileNameInformation时,输入和输出的数据是FILE_NAME_INFORMATION结构体,描述文件名信息。

#include "ntddk.h"
#include "wdm.h"
NTSTATUS DriverEntry(IN PDRIVER_OBJECT theDriverObject,IN PUNICODE_STRING theRegistryPath)
{
 NTSTATUS status=STATUS_SUCCESS;  
 OBJECT_ATTRIBUTES objectAttributes;
 IO_STATUS_BLOCK iostatus;
 NTSTATUS ntStatus;
 FILE_STANDARD_INFORMATION fsi;
 FILE_POSITION_INFORMATION fpi;
 HANDLE hfile;
 UNICODE_STRING logFileUnicodeString;
 //初始化UNICODE_STRING字符串
 RtlInitUnicodeString(&logFileUnicodeString,L"\\??\\C:\\1.log");//1.log是全名
 //或者写成"\\Device\\HarddiskVolume1\\1.LOG"
 //初始化objectAttributes
 InitializeObjectAttributes(&objectAttributes,&logFileUnicodeString,OBJ_CASE_INSENSITIVE,NULL,NULL);
 //打开文件
 ntStatus=ZwCreateFile(&hfile,GENERIC_READ,&objectAttributes,&iostatus,NULL,FILE_ATTRIBUTE_NORMAL,0,FILE_OPEN,FILE_SYNCHRONOUS_IO_NONALERT,NULL,0);
 if(NT_SUCCESS(ntStatus))
 {
  KdPrint(("Open file successfully!\n"));
 }else
 {
  KdPrint(("Open file unsuccessfully!\n"));
 }
 //读取文件长度
 ntStatus=ZwQueryInformationFile(hfile,&iostatus,&fsi,sizeof(FILE_STANDARD_INFORMATION),FileStandardInformation);
 if(NT_SUCCESS(ntStatus))
 {
  KdPrint(("file length:%u\n",fsi.EndOfFile.QuadPart));
 }
 //修改当前文件指针
 fpi.CurrentByteOffset.QuadPart=100i64;
 ntStatus=ZwSetInformationFile(hfile,&iostatus,&fpi,sizeof(FILE_POSITION_INFORMATION),FilePositionInformation);
 if(NT_SUCCESS(ntStatus))
 {
  KdPrint(("Update the file pointer successfully.\n"));
 }
 //关闭文件句柄
 ZwClose(hfile);
 return status;
}
 
cosmiccode
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
(转)深入理解文件操作函数native api之ZwQueryInformationFile 获取File ID
gylll的专栏
03-03 3540
http://hi.baidu.com/liushijianlu/blog/item/b104c810a08f8b28dc5401fb.html>深入理解文件操作函数native api之ZwQueryInformationFile看这个函数的名字和参数就能够知道他是干嘛用的了,但是他的作用远不止这些,这需要一些技巧和深入的理解才能有了新的思路。现在仅仅是明白了函数
FILE_BASIC_INFORMATION 的理解
lhj6105的专栏
01-05 2361
<br />1.       文件的创建<br />对文件的创建或者打开都是通过内核函数ZwCreateFile实现的。和Windows API类似,这个内核函数返回一个文件句柄,文件的所有操作都是依靠这个句柄进行操作的。在文件操作完毕后,要关闭这个文件句柄。<br />NTSTATUS  <br />   ZwCreateFile(<br />     OUT PHANDLE   FileHandle,<br />     IN ACCESS_MASK   DesiredAccess,<br /
在过滤驱动程序创建IRP查询文件信息
峥嵘岁月
02-04 5720
在开发Windows下文件系统过滤驱动程序时,我们经常需要先查询一下文件属性信息,为了实现这个小目标,可以调用Windows Native API函数ZwQueryInformationFile并提供希望查询文件信息类的名字及结构即可。不过如果我们在驱动程序当中自己处理信息查询请求,可以避免IRP重入的问题。1.自己创建文件信息查询IRPNTSTATUSQueryFileInforma
简单的恶意样本行文分析-入门篇
weixin_48421613的博客
06-21 1133
开篇引题,此篇文章为入门入门文章,里面的内容为后续软件安全分析铺垫,有点东西,但是不多,所以大家觉得有用就看一眼,觉得无用就不看哈,别喷;此类应用场景呢,其实就是恶意样本行为分析、在遇到后门、应急响应后将恶意样本拷贝走之后去做一个初步的排查,能发现样本做了些什么,他有哪些功能等等...
内核下的文件操作
qq_41490873的博客
07-22 440
内核下对文件创建和打开都是通过ZwCreateFile,这个内核函数返回一个文件句柄,文件的所有操作都是依靠这个句柄进行操作的。在文件操作完毕后,需要关闭这个句柄。 NTSYSAPI NTSTATUS ZwCreateFile( PHANDLE FileHandle, ACCESS_MASK DesiredAccess, POBJECT_ATTRIBUTES ObjectAttributes, PIO_STATUS_BLOCK IoStatusBloc
Arcgis engine 二次开发 空间与属性查询
11-16
5. 实现属性查询功能,创建QueryFilter,设置SQL表达式。 6. 将过滤器应用于地图层,刷新视图以显示查询结果。 7. 处理查询结果,例如在DataGridView中显示。 8. 添加事件监听,响应用户的交互操作。 在提供的"EX4...
vc++获得文件属性
05-18
在VC++编程环境中,获取文件属性是一项常见的任务,这对于文件管理、系统操作或者软件开发都至关重要。文件属性包含了关于文件的各种信息,如创建日期、修改日期、大小、隐藏状态、只读状态等。本实例提供了获取文件...
修改文件 属性.rar
11-21
3. 存档:这是默认的文件属性,表示文件可以被备份或归档。修改文件后,系统通常会自动清除存档标志。 4. 系统:用于标记系统文件,这些文件是操作系统运行所必需的,不应被普通用户直接修改。 批处理文件(.bat)...
Python3 获取文件属性的方式(时间、大小等)
09-17
### Python3 获取文件属性的方式(时间、大小等) 在Python编程语言中,处理文件属性是一项基本而重要的功能。本文档将详细介绍如何利用Python3来获取文件的多种属性,特别是文件的时间戳与大小等信息。 #### 引言 ...
易语言源码易语言取文件详细属性源码.rar
03-30
在深入探讨这个源码之前,我们先了解一下易语言的基本概念和如何获取文件属性。 易语言的核心设计理念是“易者,天下之大也”,它采用中文作为编程语言,使得编程过程更加直观。易语言的语法结构简洁明了,如“获取...
[内核编程]内核态下的基本文件操作
輚至消亡
07-12 853
下面提供文件的复制, 删除以及重命名操作: 先说一下内核态下文件复制的主要步骤: 1. ZwCreateFile打开原文件 2. ZwQueryInformationFile的StandardFileInformation类功能查询文件大小 3. ExAllocatePool分配堆空间 4. ZwReadFile读取原文件内容到堆 5. ZwCreateFile创建新文件 6. ZwWriteFile写入新文件 PS: 别忘记释放堆和关闭文件句柄 接着说一下文件删除的主要步骤: .
获取Powershell命令行参数
被遗弃的庸才博客
08-12 2324
这个是偶然发现的,通过测试可以在r0中拿到在powershell输入的命令行参数。 原理是hook NtAlpcSendWaitReceivePort函数,通过解析该函数的第三个参数发现类型为0x01d8时候在偏移0xd0的位置就是powershell参数的位置 下面是代码 #include <Ntifs.h> #include <ntimage.h> #include <ntstrsafe.h> typedef struct _LDR_DATA_TABLE_
Windows驱动开发(4) - 内核模式下的文件操作
Vinx Blog
04-16 1577
Windows驱动开发(4) - 内核模式下的文件操作1、文件的创建NTSTATUS ZwCreateFile( _Out_ PHANDLE FileHandle, _In_ ACCESS_MASK DesiredAccess, _In_ POBJECT_ATTRIBUTES ObjectAttributes, _Out_
THREADINFOCLASS结构体与FILE_INFORMATION_CLASS结构体
摔不死的笨鸟的博客
10-10 1938
THREADINFOCLASS是一个枚举结构,其值旨在作为ZwQueryInformationThread和ZwSetInformationThread函数的输入。 查询设置不同类型的信息选择不同的值。 自从Windows NT 3.51的设备驱动程序工具包(DDK)起,THREADINFOCLASS枚举的C语言定义已在NTDDK.H标头中公开可用。 它支持ZwSetInformationThr...
通过名字获得ssdt函数的序号
被遗弃的庸才博客
10-28 702
假设现在我们已经能够获得ssdt表的位置,能够实现对ssdt函数地址替换,那么现在又一个问题就是找到想要hook的ssdt函数。 由于不同版本的操作系统下对应的函数调用号是不同的,所以这里可以通过ntdll得到当前系统下函数的调用号 具体的代码如下所示 ULONG GetIndexByName(UCHAR *sdName) { NTSTATUS Status; HANDLE Fi...
ZwQueryVolumeInformationFileFileFsAttributeInformation
yangsongqbs的专栏
04-18 1706
这次在编写一个windows下的虚拟磁盘时,发现了一个很郁闷的问题, 在查询指定的文件句柄所在的文件系统的信息时考试报缓存区不正确 函数原型是 NTSTATUS   ZwQueryVolumeInformationFile(     IN HANDLE  FileHandle,                                       //指定的文件句柄     OU
U 盘文件监控
stecdeng的专栏
05-23 2184
很简单的一个小玩意 就是监控U盘插上后记录创建 改名字 删除操作。 不过我这个是MINIFILTER架构;并且没有通知用户层 直接在C盘目录下创建文件记录操作的。 后来改了改;用于记录某些EXE安装过程中;出现了哪些SYS文件;方便分析同我的《关于隐藏文件夹附代码》一样否是从MINIFILTER的PASSTHROUGH框架改出的在PASSTHROUGH框架上逐步添加的一些代码 1.监控U
GIS开发:VB实现图层管理和属性查询
"GIS程序/VB/属性查询和编辑,主要涉及GIS图层管理和属性查询,使用VB编程语言实现,内容包括MapObjects的使用、数据连接对象、查询数据和编辑图层的方法。" GIS(Geographic Information System)是用于处理地理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值