ZwReadFile routine

最新推荐文章于 2024-05-22 17:15:55 发布
最新推荐文章于 2024-05-22 17:15:55 发布
阅读量3.7k 收藏
点赞数
分类专栏: WDK翻译 文章标签: wdk

ZwReadFile routine

ZwReadFile 从一个打开的文件中读取内容

Syntax

 

NTSTATUS ZwReadFile(
  _In_     HANDLE           FileHandle,
  _In_opt_ HANDLE           Event,
  _In_opt_ PIO_APC_ROUTINE  ApcRoutine,
  _In_opt_ PVOID            ApcContext,
  _Out_    PIO_STATUS_BLOCK IoStatusBlock,
  _Out_    PVOID            Buffer,
  _In_     ULONG            Length,
  _In_opt_ PLARGE_INTEGER   ByteOffset,
  _In_opt_ PULONG           Key
);


 

Parameters

FileHandle [in]

ZwCreateFile or ZwOpenFile调用成功后返回的句柄

Event [in, optional]

可选的一个事件对象的句柄,用于当读文件操作完成后设置这个句柄的信号状态设备和中间层驱动应当设置这个参数为NULL。

ApcRoutine [in, optional]

保留,设备和中间层驱动应当设置这个参数为NULL。

ApcContext [in, optional]

保留,设备和中间层驱动应当设置这个参数为NULL。

IoStatusBlock [out]

指向IO_STATUS_BLOCK 结构体的指针用于接收最终完成状态和与读请求有关的信息。 Information 成员接收从文件中读取的实际大小。

Buffer [out]

指向调用者申请的用于接收从文件中所读取数据的缓冲区。

Length [in]

以字节为单位的Buffer指向的缓冲区的大小。

ByteOffset [in, optional]

指向一个变量的指针,该指针指定文件读操作在文件中的开始位置。如果试图在文件结尾之后读取数据ZwReadFile 返回一个错误。

如果 ZwCreateFile 设置了CreateOptions 参数为FILE_SYNCHRONOUS_IO_ALERT 或是 FILE_SYNCHRONOUS_IO_NONALERT之一I/O管理器保管当前的文件位置,如果这样,ZwReadFile 的调用者可以指定当前使用的文件位置而不通过显式传入一个ByteOffset值。这个规范设置可以使用下列方法之一:

· 

1、指定一个指向LARGE_INTEGER值得指针,其HighPart 设置为-1,LowPart 设置为系统定义的值FILE_USE_FILE_POINTER_POSITION

· 

· 

2、传递一个NULL 指针给 ByteOffset参数。

· 

如果I/O管理器保管着当前文件位置,ZwReadFile 通过在完成读取操作时增加读取的字节数更新当前文件的位置。即使I/O管理器保管着当前的文件位置,调用者亦可通过调用ZwReadFile并传递一个显式的ByteOffset重设这个位置。通过这样子做自动改变当前的文件位置到ByteOffset 执行读操作,然后根据实际读取的字节数更新文件位置。这种技术授予调用着自动的seek-and-read服务。

Key [in, optional]

设备和中间层驱动应设置这个指针为NULL。

Return value

ZwReadFile 返回STATUS_SUCCESS 或是一个合适的NTSTATUS 错误码。

Remarks

ZwReadFile 的调用者必须已经设置调用ZwCreateFile 的参数DesiredAccessparameterFILE_READ_DATA 或者 GENERIC_READ如果之前的ZwCreateFile 调用设置了CreateOptions 包括FILE_NO_INTERMEDIATE_BUFFERING ZwReadFile Length ByteOffset 参数必须是sector size的整数倍。更多信息详见 ZwCreateFile

ZwReadFile 从给定的ByteOffset 参数或者是当前文件位置开始读取文件到指定的缓冲区。读操作在以下条件下将被结束:

· 

由于已经读取了Length 参数指定大小的字节数,导致目标缓冲区已经满了。因此无法在不溢出的情况下继续放入更多数据到缓冲区中。

· 

读操作已经到了文件的结尾处,因此没有更多的文件数据可以被传输的缓冲区中。

· 

如果调用者打开文件时在DesiredAccess参数中指定了SYNCHRONIZE标志 调用线程可以通过在文件句柄FileHandle上等待来同步一个读操作的完成。句柄每次在发布的I/O操作完成后变成signaled,然而调用者不可以在一个为同步文件访问(FILE_SYNCHRONOUS_IO_NONALERT or FILE_SYNCHRONOUS_IO_ALERT)而打开的句柄上等待 在这种情况下, ZwReadFile waits on behalf of the caller 并且直到读操作完成才返回。调用者只有在满足以下三种条件后才能安全地等待一个文件句柄:

· 

句柄为异步访问打开。 (指定FILE_SYNCHRONOUS_IO_XXX)

· 

句柄一次只执行一个I/O操作。

· 

ZwReadFile 返回 STATUS_PENDING.

 

在以下任意情况下,驱动文件应当在系统进程的上下文中调用 ZwReadFile 

· 

是驱动创建了传给ZwReadFile的文件句柄

· 

ZwReadFile 将通过一个驱动创建的事件通知驱动I/O的完成。

· 

ZwReadFile 将通过驱动传递给ZwReadFile的一个APC回调同事驱动I/O的完成。

· 

文件和事件句柄仅在创建它们的进程上下文中有效。因此为了避免安全漏洞驱动应当在系统进程的上下文中创建文件或者事件句柄而不是驱动所在的进程上下文中。

同样 ZwReadFile 如果通过APC来通知驱动I/O的完成,ZwReadFile 应当在系统进程的上下文中调用。这是因为APC们中是在发布I/O请求的线程上下文中被引发。如果驱动在不是系统进程的进程的上下文中调用了 ZwReadFile , APC可能被无限期延迟,或者根本不会引发这个APC调用。

对于文件操作的更多内容见: Using Files in a Driver.

ZwReadFile 调用者必须在 IRQL = PASSIVE_LEVEL 上并且 with special kernel APCs enabled.

Note  如果这个函数在用户模式下调用当使用名字"NtReadFile" 代替"ZwReadFile".

 

Requirements

Target platform

Universal

Version

Available starting with Windows 2000.

Header

Wdm.h (include Wdm.h, Ntddk.h, or Ntifs.h)

Library

NtosKrnl.lib

DLL

NtosKrnl.exe

IRQL

PASSIVE_LEVEL (see Remarks section)

DDI compliance rules

PowerIrpDDisBufAfterReqCompletedIntIoctlABufAfterReqCompletedIoctlABufAfterReqCompletedReadA,BufAfterReqCompletedWriteAHwStorPortProhibitedDDIs

See also

KeInitializeEvent

ZwCreateFile

ZwQueryInformationFile

ZwSetInformationFile

ZwWriteFile

Vinc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ZwReadFile函数读出来的是乱码的解决方案
qiu_pengfei的博客
10-17 616
本文作者:邱朋飞 在用ZwReadFile内核函数读取文件时,读取出的一直是乱码,这里记录一下我的代码中的问题。 原因:之前没有使用过ZwReadFile函数,所以用的时候是参考网上的代码写的,但是有些代码将该函数的倒数第二个参数ByteOffset设置成了NULL,该参数是要读取的偏移位置,也就是从这个位置开始读,如果设置为NULL的话,ZwReadFile可能不知道从哪个地方开始读文件中的...
ZwReadFile读TXT文件
十年磨一剑,霜刃未曾试!
10-25 4933
开发过程中的小记录 void ReadFile_Port() { HANDLE hFile=NULL; IO_STATUS_BLOCK ioStatus; NTSTATUS ntStatus; OBJECT_ATTRIBUTES object_attributes; UNICODE_STRING uFileName=RTL_CONSTANT_STRING(L"\\??\\C:\\po
Window内核函数 - 文件的打开
最新发布
wendyWJGU的博客
05-22 495
Window内核函数 - 文件的打开
磁盘文件操作_ZwCreateFile_ZwOpenFile_ZwReadFile_ZwWriteFile_ZwSetInformationFile_ZwQueryInformationFile
01-27 3167
#include"ntddk.h" VOID xiezai1(PDRIVER_OBJECT qudongduixiang) { KdPrint(("驱动卸载 历程\n")); return; } NTSTATUS DriverEntry(PDRIVER_OBJECT qudongduixiang, PUNICODE_STRING zhucebiao1) { HANDLE wenjianju
驱动中以文件句柄形式调用其他驱动程序(异步调用二)
125096
08-07 558
EXE部分 #include #include #include #include "Ioctl.h" int main (void) { char linkname[]="\\\\.\\HelloDDKB"; HANDLE hDevice = CreateFileA(linkname, GENERIC_READ | GENERIC_WRITE, 0, NULL,
内核模式下的文件操作_zwcreatefile_zwopenfile_zwreadfile_zwwritefile
05-05 2317
1.文件的创建 对文件的创建或者打开都是通过内核函数ZwCreateFile实现的。和Windows API类似,这个内核函数返回一个文件句柄,文件的所有操作都是依靠这个句柄进行操作的。在文件操作完毕后,要关闭这个文件句柄。 NTSTATUS     ZwCreateFile(     OUT PHANDLE  FileHandle,     IN ACCESS_MASK  DesiredAc...
读写文件注册表
03-04
在IT领域,尤其是在Windows应用程序开发中,理解和操作注册表是一项重要的技能。注册表是Windows操作系统用来存储系统配置信息和应用程序设置的关键数据库。本教程将通过MFC(Microsoft Foundation Classes)库来...
drive_src.zip_文件操作_Visual_C++_
08-12
在驱动程序中,我们可能会扩展这些函数,或者使用内核模式的等价函数,如`ZwCreateFile`、`ZwReadFile`、`ZwWriteFile`和`ZwClose`,这些函数在驱动程序级别工作,具有更高的权限。 驱动程序通常分为用户模式驱动和...
File-operation-in--NT-mode.rar_operation
09-19
在Windows内核中,文件操作通过一系列内核模式API实现,如 ZwCreateFile、ZwOpenFile、ZwWriteFile 和 ZwReadFile 等。这些API提供了创建、打开、读取、写入、关闭文件等基本功能。开发者需要理解每个函数的参数...
如何从内核模式设备驱动程序打开文件以及如何读取或写入文件
03-13
一旦获得了文件句柄,就可以通过`ZwReadFile`和`ZwWriteFile`函数来进行读写操作了。这两个函数允许我们指定要读写的缓冲区、文件偏移量等参数。 以下是使用`ZwWriteFile`函数写入数据到文件的示例代码: ```c ...
Windows 内核API 函数 说明大全
07-29
ZwWriteFile 和 ZwReadFile 则用于写入和读取文件内容,它们是文件操作的核心API。 此外,线程和进程管理也是内核API的重要组成部分。例如,ZwCreateThread 和 ZwTerminateThread 分别用于创建和结束线程,...
Windows驱动--创建日志文件
TakakiTohno的博客
10-10 425
Windows驱动的日志创建、写入和读取操作。
Windows内核编程基础篇之文件读/写操作
知其所以然
09-02 3049
打开文件后,最重要是的操作在是对文件的读/写。读写的方法是对称的知识参数输入与输出方向不同。读取文件内容一般用ZwReadFile,写文件一般用ZwWriteFile。        先看看 ZwReadFile 结构吧: NTSTATUS ZwReadFile( _In_ HANDLE FileHandle, _In_opt_ HANDLE
Windows驱动编程 文件读写 以及注册表操作
zacklin的专栏
04-16 6887
3.3 文件的读写操作 打开文件之后,最重要的操作是对文件的读写。读与写的方法是对称的。只是参数输入与输出的方向不同。读取文件内容一般用ZwReadFile,写文件一般使用ZwWriteFile。 C++代码 NTSTATUS ZwReadFile( IN HANDLE FileHandle, IN HANDLE Event  OPTIONAL, IN PIO_APC_ROU
[Win驱动6]Windows驱动之间的同步相互调用
輚至消亡
10-17 635
应用程序->驱动B(Read)->驱动A(Read) // 应用程序 #include <windows.h> #include <stdio.h> int main() { DWORD dRet; HANDLE hDevice = CreateFile("\\\\.\\HelloDDKB", GENERIC_READ | GENERIC_WRITE, 0, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL,
IRP 同步IO、异步IO及延迟IO完成
求索
03-17 984
同步与异步 kernel32.dll CreateFileW   /* translate the flags that need no validation */   if (!(dwFlagsAndAttributes & FILE_FLAG_OVERLAPPED))  {    /* yes, nonalert is correct! apc's are not delivere
文件操作-Malloc笔记
zhuhuibeishadiao
04-02 949
创建文件/文件夹 读/写 拷贝 移动 删除 属性访问与设置 应用层:”c:\\hi.txt” 内核:L”\\??\\c:\\hi.txt” R3: 设备名:L”\\\\.\\xxxDrv” R0 设备名:”\\device\\xxxDrv” 符号连接名:”\\dosdevices\\xxxDrv” 常用API ZwCreateFile //集创建
Windows内核如何使用 ZwReadFile
04-04
PIO_APC_ROUTINE ApcRoutine, PVOID ApcContext, PIO_STATUS_BLOCK IoStatusBlock, PVOID Buffer, ULONG Length, PLARGE_INTEGER ByteOffset, PULONG Key ); ``` 其中,各个参数的含义如下: - FileHandle...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值