文件删除,实际就是设置文件信息属性

最新推荐文章于 2023-10-29 14:05:15 发布
最新推荐文章于 2023-10-29 14:05:15 发布
阅读量810 收藏
点赞数
分类专栏: WCP 编程语言 操作系统相关 系统维护 文章标签: WCP API 枚举
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hadstj/article/details/53045652
版权
系统维护 同时被 3 个专栏收录
248 篇文章 0 订阅
订阅专栏
操作系统相关
179 篇文章 0 订阅
订阅专栏
WCP
86 篇文章 0 订阅
订阅专栏

文件删除,实际就是设置文件信息属性

即 +13 处的 SysSetInformationFile

DirectFileSystemProvider::SysSetInformationFile(
unsigned long,
void *,
struct _IO_STATUS_BLOCK *,
void *,
unsigned long,
enum _FILE_INFORMATION_CLASS,
unsigned long *)

把属性设置为 _FILE_INFORMATION_CLASS 中的 FileDispositionInformation,即 13,就实现了文件删除
比如:

CFile::MarkDeletePending(
Windows::Rtl::SystemImplementation::CFile *this, 
struct Windows::WCP::Rtl::_RTL_TRACING_FACILITY *a2, 
bool a3    // 输出结果
)
  v3 = this;
// this +8 即 DirectFileSystemProvider
  v4 = *((_DWORD *)v3 + 8);
  v10 = a3;
  v5 = *(_DWORD *)v4;
// this +5 尚不知
  v6 = *((_DWORD *)v3 + 5);
// +13 SysSetInformationFile
  v7 = (*(int (__thiscall **)(int, _DWORD, int, char *, char *, signed int, signed int, _DWORD))(v5 + 52))(
         v4,
         0,
         v6,
         &v12,
         (char *)&v10,
         1,
         13,  // FileDispositionInformation
         0);

目录的删除,基本相同:
在 CDirectory 中,DirectFileSystemProvider 在 +9 的位置。

CDirectory::Delete(
Windows::Rtl::SystemImplementation::CDirectory *this, 
struct Windows::WCP::Rtl::_RTL_TRACING_FACILITY *a2, 
unsigned __int32 a3, 
unsigned __int32 *a4
)
  v4 = this;
  v16 = this;
  v5 = *((_DWORD *)v4 + 9);
  v4 = *(Windows::Rtl::SystemImplementation::CDirectory **)v5;
// this +7 尚不知
  v7 = *((_DWORD *)v16 + 7);
  v8 = v6;
// +13 SysSetInformationFile
  v9 = (*((int (__thiscall **)(int, _DWORD, _DWORD, int *, char *, signed int, signed int, int *))v4 + 13))(
         v5,
         v8,
         v7,
         (int *)&v18,
         &v29,
         1,
         13,    // FileDispositionInformation
         &v30);
心想才事成
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
THREADINFOCLASS结构体与FILE_INFORMATION_CLASS结构体
摔不死的笨鸟的博客
10-10 1932
THREADINFOCLASS是一个枚举结构,其值旨在作为ZwQueryInformationThread和ZwSetInformationThread函数的输入。 查询或设置不同类型的信息选择不同的值。 自从Windows NT 3.51的设备驱动程序工具包(DDK)起,THREADINFOCLASS枚举的C语言定义已在NTDDK.H标头中公开可用。 它支持ZwSetInformationThr...
文件属性-文件删除原理
weixin_34342207的博客
07-30 84
第1章 磁盘空间不足实例1-1 no space left on device 原因 如何排查与解决 1.inode df -i ; 找出系统中目录大小大于1M 确认之后 删除大量小文件2.block df -h ; du -sh 一层一层查找 确认之后 删除文件第2章 文件属性2.1 文件类型:2.1.1 扩展名 .conf...
Word批量删除文档属性和个人信息方法图解
最新发布
wtt234的专栏
10-29 2274
右键word文件属性--详细信息,可以查看如下信息;再次查看 文件属性 已经变化。1.打开word文件---文件。2.检查文档、检查文档。
Python中通过property实现属性的修改、删除、查看
ares_beyong的博客
11-12 8204
1. property的作用 在Python中,属性可以完成赋值、取值、删除的操作。如果我们想要在完成这些操作前,进行属性的校验工作(例如:赋值前判断数据的有效性、删除前判断合法性身份),则需要在方法中完成。 那么有没有既能检查参数,又可以用类似属性这样简单的方式来访问类的变量呢? 有的,我们可以通过property,来实现既能检查属性,还能用属性的方式来访问该属性的功能。 2. property的本质——property类 property()的实例化方式:property(fget=None, fset
使用 NtDeleteFile 来删除文件
weixin_34377919的博客
11-30 746
2019独角兽企业重金招聘Python工程师标准>>> ...
文件文件夹日期属性修改
04-02
5. **检查结果**:修改完成后,检查文件属性确认日期是否已更新。 需要注意的是,随意修改文件日期属性可能会对文件系统的正常运行造成干扰,因此在操作时应谨慎,避免对重要数据造成不可逆的影响。此外,某些系统...
Java得到文件属性信息.rar
07-10
在Java编程语言中,获取文件属性信息是一项基本且重要的任务,尤其在处理文件系统操作时。这个名为"Java得到文件属性信息.rar"的压缩包很可能包含一个或多个示例代码,用于演示如何在Java中获取文件的各种属性。下面...
VB6显示目录(文件夹)的属性信息_文件_vb6_
10-03
FileSystemObject提供了一系列方法和属性,用于操作文件和目录,包括读取、创建、删除以及获取属性信息等。下面我们将详细探讨如何实现这一功能。 首先,引入FileSystemObject: ```vb Dim fso As Object Set fso ...
Delphi修改文件属性
05-08
4. **Delphi的TFile和TDirectory类**:这两个类包含了许多用于文件和目录操作的方法,如读取、写入、移动、删除文件等,以及获取和设置文件属性。在Delphi7及更高版本中,它们属于`System.IOUtils`单元。 5. **...
C#显示文件属性信息
04-25
在C#编程中,显示文件属性信息是一项基本但至关重要的任务。这涉及到对`System.IO.FileInfo`类的深入理解,该类提供了访问和操作文件属性的方法。下面将详细介绍如何利用C#来获取并显示一个文件的各种属性信息。 ...
Scavenger:minifilter驱动程序会保留所有修改和删除文件
05-21
清道夫 它将所有已修改的文件和一些要删除文件复制到C:\ Windows \ Scavenger \目录。 重要的 它最初是为了使自己熟悉微型过滤器驱动程序而开发的,不太可能比使用其他开放源代码工具(例如或具有任何明显的优势。 由于它不处理FILE_DELETE_ON_CLOSE事件,因此也很不完整。 有关更全面的代码,请参考示例。 安装与卸载 通过此链接获取已编译文件的存档文件: https://github.com/tandasat/Scavenger/releases/latest 然后: 解压缩zip文件并将适当版本的文件部署到目标系统上。 在目标系统上,以管理员权限执行install.bat。 在x64位平台上,必须启用测试签名才能安装驱动程序。 为此,请以管理员权限打开命令提示符并键入以下命令,然后重新引导系统以激活更改。 bcdedit / set {当前}
C#修改文件属性摘要信息
07-02
C#修改文件属性摘要信息 1.添加依赖库:ole32.dll 2.调用静态方法:FileSummary.SetProperty(文件全路径名,修改内, 属性类型);即可。
FILE_DISPOSITION_INFORMATION structure
死胖子的博客
03-05 1233
FILE_DISPOSITION_INFORMATION structure FILE_DISPOSITION_INFORMATION 结构用作ZwSetInformationFile 例程的参数 typedef struct _FILE_DISPOSITION_INFORMATION {   BOOLEAN DeleteFile; } FILE_DISPOSITION_INFORMATI
C语言在用户模式使用NT函数
u011311291的博客
09-04 2429
C语言要使用NT函数并不像使用库函数那么简单,下面介绍一下使用方法,以NtSetInformationFile为例:#include <windows.h> #include <stdio.h>//因为NtSetInformationFile方法要用到FILE_INFORMATION_CLASS的值,所以这里全部枚举出来 //当然你也可以直接使用1,2,3,这样值代替,只是这样定义以后在后面使用更接
DirectFileSystemProvider 虚函数表
心想事成
11-03 872
DirectFileSystemProvider 虚函数表Windows::Rtl::SystemImplementation::CRerootedUserProfileProvider::Release(void) Windows::Rtl::SystemImplementation::DirectFileSystemProvider::CreateInterface(struct _GUID c
ring0层下实现的文件强制删除
LYSM
06-23 1311
文件强删 在日常生活使用电脑的过程中,遇到删不掉的文件的时候,我们总会通过一些软件提供的强制删除文件功能来删除顽固的文件文件强删技术对于杀软来说是清楚病毒木马的武器,在扫描器检测出恶意文件的时候,就需要强删功能来清除恶意文件。而对于病毒木马来说,反过来可以用强删技术来强制删除系统保护文件或是受杀软保护的文件。 本文将会介绍文件强删技术,即使文件正在运行,也能强制删除本地文件。 实现过程 当文件是PE文件而且已经被加载到内存中的时候,正常情况下是无法通过资源管理器explorer.exe来删除本地文件的,因
通过文件句柄取得到文件名(三)
Coder in Tokyo
03-25 5264
文件句柄获得文件名方法(三), 这次是用wdk函数ZwQueryInformationFile(),和GetVolumeInformation()。通过判断取得的dwVolumeSerialNumber来确定盘符。其他的内核函数比如说ObDereferenceObject()也可以。参考了Adlys blog 的 通过文件句柄得到文件所在路径的一种新方法 —— 得到完整路径名
SYSTEM_INFORMATION_CLASS枚举类型定义
zfs2008zfs的博客
04-13 4864
SYSTEM_INFORMATION_CLASS是一个未文档化的结构体,在很多未文档化的函数中使用,比如ZwQuerySystemInformation、ZwSetSystemInformation中被调用,
使用文件读写构建公司客户信息管理系统
"该资源是一份关于用文件读写实现公司客户信息跟踪系统的课程...这个课程设计项目通过文件读写实现了客户信息跟踪系统的核心功能,对初学者理解面向对象编程、文件操作以及数据结构在实际问题中的应用具有指导意义。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值