【转帖】如何从内核模式设备驱动程序中打开一个文件以及如何读取或写入文件

最新推荐文章于 2021-08-03 14:04:42 发布
最新推荐文章于 2021-08-03 14:04:42 发布
阅读量880 收藏
点赞数
分类专栏: 驱动开发 文章标签: buffer attributes null file microsoft windows
本文介绍如何从内核模式设备驱动程序中打开磁盘文件以及如何读取或写入文件。
回到顶端

更多信息
对象名称来引用文件内核模式设备驱动程序对象名称来引用文件。 此名称是 /DosDevices 一起与该文件的完整路径。 是例如 C:/Windows/Examp...

对象名称来引用文件

内核模式设备驱动程序对象名称来引用文件。 此名称是 /DosDevices 一起与该文件的完整路径。 是例如 C:/Windows/Example.txt 文件的对象名称将是 /DosDevices/C:/Windows/Example.txt。 然后通过调用 InitializeObjectAttributes 函数到一个 OBJECT_ATTRIBUTES 结构封装对象名称。

请注意 如果早期加载设备驱动程序则 /DosDevices 命名空间可能不还存在。 因此, /DosDevices 命名空间是设备驱动程序无法访问由于公开没有驱动器号。 唯一保证可用的文件系统的部分是 /SystemRoot 命名空间。 /SystemRoot 命名空间映射到其中的操作系统的安装的文件夹。 是例如此文件夹可能是 C:/Windows 或 D:/Winnt。

下面的代码示例说明如何引用按其对象名称的文件 
UNICODE_STRING     uniName;
    OBJECT_ATTRIBUTES  objAttr;

    RtlInitUnicodeString(&uniName, L"//DosDevices//C://WINDOWS//example.txt");  // or L"//SystemRoot//example.txt"
    InitializeObjectAttributes(&objAttr, &uniName,
                               OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE,
                               NULL, NULL);
回到顶端

获得文件句柄

若要 to 文件句柄可以给 ZwCreateFile 函数传递了 OBJECT_ATTRIBUTES 结构。 DesiredAccess 参数可以设置 GENERIC _ READ GENERIC WRITE ,或 GENERIC_ALL ,根据您要执行。 如果将 CreateOptions 参数设置为 FILE_SYNCHRONOUS_IO_NONALERT FILE_SYNCHRONOUS_IO_ALERT ,文件系统跟踪的当前文件位置偏移量。 因此,您可以按顺序读取或更高版本写入该文件。 此外,可以访问该文件在随机位置。

下面的代码示例演示如何获取文件句柄 
HANDLE   handle;
    NTSTATUS ntstatus;
    IO_STATUS_BLOCK    ioStatusBlock;

    // Do not try to perform any file operations at higher IRQL levels.
    // Instead, you may use a work item or a system worker thread to perform file operations.

    if(KeGetCurrentIrql() != PASSIVE_LEVEL)
        return STATUS_INVALID_DEVICE_STATE; 

    ntstatus = ZwCreateFile(&handle,
                            GENERIC_WRITE,
                            &objAttr, &ioStatusBlock, NULL,
                            FILE_ATTRIBUTE_NORMAL,
                            0,
                            FILE_OVERWRITE_IF, 
                            FILE_SYNCHRONOUS_IO_NONALERT,
                            NULL, 0);
回到顶端

读取或写入到文件

您现在可以调用 ZwReadFile 函数或 ZwWriteFile 函数。 完成修改文件后,请使用 ZwClose 函数关闭此句柄。

下面的代码示例阐释如何编写到文件 
#define  BUFFER_SIZE 30
    CHAR     buffer[BUFFER_SIZE];
    size_t  cb;

    if(NT_SUCCESS(ntstatus)) {
        ntstatus = RtlStringCbPrintfA(buffer, sizeof(buffer), "This is %d test/r/n", 0x0);
     if(NT_SUCCESS(ntstatus)) {
           ntstatus = RtlStringCbLengthA(buffer, sizeof(buffer), &cb);
            if(NT_SUCCESS(ntstatus)) {
                ntstatus = ZwWriteFile(handle, NULL, NULL, NULL, &ioStatusBlock,
                    buffer, cb, NULL, NULL);
            }
     }
        ZwClose(handle);
    }
下面的代码示例说明如何从文件中读取 
LARGE_INTEGER      byteOffset;

    ntstatus = ZwCreateFile(&handle,
                            GENERIC_READ,
                            &objAttr, &ioStatusBlock,
                            NULL,
                            FILE_ATTRIBUTE_NORMAL,
                            0,
                            FILE_OPEN, 
                            FILE_SYNCHRONOUS_IO_NONALERT,
                            NULL, 0);
    if(NT_SUCCESS(ntstatus)) {
        byteOffset.LowPart = byteOffset.HighPart = 0;
        ntstatus = ZwReadFile(handle, NULL, NULL, NULL, &ioStatusBlock,
                              buffer, BUFFER_SIZE, &byteOffset, NULL);
        if(NT_SUCCESS(ntstatus)) {
            buffer[BUFFER_SIZE-1] = '/0';
            DbgPrint("%s/n", buffer);
        }
        ZwClose(handle);
    }
回到顶端

参考
有关如何使用在驱动程序中的文件的详细信息,请参阅 Windows Driver Development Kit 中,"使用一个驱动程序中的文件"部分。有关 Wi...

有关如何使用在驱动程序中的文件的详细信息,请参阅 Windows Driver Development Kit 中,"使用一个驱动程序中的文件"部分。

有关 Windows 驱动程序开发工具包的详细信息,请访问下面的 Microsoft Web 站点:
http://www.microsoft.com/whdc/devtools/ddk/default.mspx (http://www.microsoft.com/whdc/devtools/ddk/default.mspx)
回到顶端
floweronwarmbed
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内核安全编程(一)读写驱动程序1.2
Debug Hacker
11-16 876
内核安全编程(一)读写驱动程序1.2 1.1介绍了内核驱动读写程序驱动程序部分,接下来学习ring3是如何和ring0的这些驱动来交互的 :) 代码: #include "iostream" #include "windows.h" int main() { HANDLE hFile=CreateFileA("\\\\.\\Driver_write0",GENERIC_WRITE|GEN
如何从内核模式设备驱动程序打开文件以及如何读取写入文件
jykj_007的专栏
03-29 1335
this article from: http://support.microsoft.com/kb/891805/zh-cn 对象名称来引用文件内核模式设备驱动程序引用到一个文件及其对象的名称。此名称是与该文件的完整路径一起 /DosDevices。例如对于 C:/Windows/Example.txt 文件的对象名称是 /DosDevices/C:/Windows/Example.tx
如何从内核模式设备驱动程序打开一个文件以及如何读取写入文件
socoola的专栏
12-22 469
 http://support.microsoft.com/kb/891805/zh-cn
windows driver - DeviceIoControl 用法
dragon_cdut的博客
08-03 2126
原文地址:https://www.cnblogs.com/lsh123/p/7354573.html 之前写过一篇关于通过DeviceIoControl函数来使应用程序与驱动程序通信的博客,这次再通过这个完整的代码来简要疏通总结一下。   这种通信方式,就是驱动程序和应用程序自定义一种IO控制码,然后调用DeviceIoControl函数,IO管理器会产生一个MajorFunction 为IRP_MJ_DEVICE_CONTROL(DeviceIoControl函数会产生此IRP),MinorFunc.
内核下的文件操作
qq_41490873的博客
07-22 438
内核下对文件创建和打开都是通过ZwCreateFile,这个内核函数返回一个文件句柄,文件的所有操作都是依靠这个句柄进行操作的。在文件操作完毕后,需要关闭这个句柄。 NTSYSAPI NTSTATUS ZwCreateFile( PHANDLE FileHandle, ACCESS_MASK DesiredAccess, POBJECT_ATTRIBUTES ObjectAttributes, PIO_STATUS_BLOCK IoStatusBloc
如何在不同的浏览器打开控制台调试JS(转帖加自己的截图)
03-29
标题的“如何在不同的浏览器打开控制台调试JS”是一个关于网页开发JavaScript调试的关键话题。在现代Web开发,浏览器的开发者工具是必不可少的工具,尤其是JavaScript控制台,它可以帮助开发者追踪错误、...
True FFS文件系统的构建指导
08-04
6. **BusyBox和小型文件系统**:“学习busybox的使用”和“制作一个简单的文件系统”可能涉及在嵌入式环境构建轻量级文件系统的实践,尽管它们不是直接关于TrueFFS,但了解 BusyBox 和基础文件系统构造对于全面...
[转帖]世界编程大赛第一名写的程序
09-27
这是一个世界编程大赛第一名写的程序,很好玩的,大家试试看。
转帖经典---JAVA设计模式
08-18
转帖经典---JAVA设计模式》这本书或资料可能涵盖了这些模式的详细解释、示例代码以及如何在实际项目应用这些模式。通过学习和理解这些设计模式,开发者能够更好地设计和重构软件,提升代码质量。
gl8雨刮维修以及调试转帖.doc
10-06
【GL8雨刮维修及调试】GL8的雨刮系统是一个关键的安全设备,尤其是在恶劣天气条件下,确保良好的视野至关重要。该系统由四个主要部分组成:雨刮电机总成、前雨刮连动杆定位调节器、雨刷联动杆总成和雨刷臂。下面将...
DOS DEVICE与盘符映射关系
03-06
在我的电脑上面,输出如下: C: \Device\HarddiskVolume1 D: \Device\HarddiskVolume2 E: \Device\HarddiskVolume3 F: \Device\HarddiskVolume4 H: \Device\CdRom0
内核模式下的文件操作_zwcreatefile_zwopenfile_zwreadfile_zwwritefile
05-05 2294
1.文件的创建 对文件的创建或者打开都是通过内核函数ZwCreateFile实现的。和Windows API类似,这个内核函数返回一个文件句柄,文件的所有操作都是依靠这个句柄进行操作的。在文件操作完毕后,要关闭这个文件句柄。 NTSTATUS     ZwCreateFile(     OUT PHANDLE  FileHandle,     IN ACCESS_MASK  DesiredAc...
设备对象(DEVICE_OBJECT)-----------------设备名称
weixin_30834019的博客
06-26 439
通常设备对象都把自己的名字放到\Device目录。在Windows 2000设备的名称有两个用途。第一个用途,设备命名后,其它内核模式部件可以通过调用IoGetDeviceObjectPointer函数找到该设备,找到设备对象后,就可以向该设备驱动程序发送IRP。 另一个用途,允许应用程序打开命名设备的句柄,这样它们就可以向驱动程序发送IRP。应用程序可以使用标准的CreateFile ...
NT路径,DOS路径和Device路径互相转换
angliu9837的博客
11-30 1734
项目遇到的比较奇葩的问题,从网上找到一份源码,https://blog.csdn.net/qq125096885/article/details/70766206 稍微整理了下,VS可以直接编译 #include "stdafx.h" #include <windows.h> #include <iostream> #define NT_S...
30、驱动程序调用驱动程序
weixin_33811539的博客
11-16 351
       有两种方法,一种是以文件句柄的形式,另外一种是通过设备指针调用其它驱动程序。 1、以文件句柄形式调用 1)应用程序 调用 驱动A 调用 驱动B 这种方法类似于在应用程序调用驱动程序。 在应用程序用CreateFile,ReadFile,CloseHandle来操作相应文件,驱动用ZwCreateFile,ZwReadFile,Irp结束操作。 要注意: ZwCrea...
IRP 同步IO、异步IO及延迟IO完成
求索
03-17 978
同步与异步 kernel32.dll CreateFileW   /* translate the flags that need no validation */   if (!(dwFlagsAndAttributes & FILE_FLAG_OVERLAPPED))  {    /* yes, nonalert is correct! apc's are not delivere
Win64 驱动内核编程-5.内核里操作文件
天使也掉毛
03-04 2367
内核里操作文件     RING0 操作文件和 RING3 操作文件在流程上没什么大的区别,也是“获得文件句柄->读/写/删/改->关闭文件句柄”的模式。当然了,只能用内核 API,不能用 WIN32API。在讲解具体的代码之前,先讲解一下文件系统的流程,让大家对整个文件系统有个大概的了解。     假设我们要读写一个文件,无论在 RING3 调用 ReadFile,还是在 RING0 调用 
转帖性能测试.pdf
12-22
并发性能测试是一个动态的过程,它通过逐步增加负载来逼近系统瓶颈,以此来识别系统在高并发情况下的性能。负载测试关注的是在不同用户负载下,如交易量、响应时间、CPU负载和内存使用等性能指标。而压力测试则是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值