tiechui_lesson05_内核小文件拷贝

已于 2023-05-08 11:04:08 修改
阅读量544 收藏
点赞数
分类专栏: # tiechui_sensei 文章标签: java 开发语言
于 2023-05-08 10:59:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lsj1997718117/article/details/130552105
版权
本文详细介绍了在Windows内核中进行文件操作的一系列API,包括ZwOpenFile用于打开文件,ZwCreateFile用于创建文件,ZwQueryInformationFile用于查询文件属性,以及ZwReadFile和ZwWriteFile分别用于读写文件。文章还提供了代码示例,展示了如何使用这些API进行文件的打开、创建、属性查询、读取和写入,并演示了实现文件拷贝的过程。
摘要由CSDN通过智能技术生成

主要学习在内核中的文件操作,包括文件的打开,创建,读取,写入,查询文件属性等。

涉及的API和宏函数

  • ZwOpenFile
  • ZwCreateFile
  • ZwQueryInformationFile
  • ZwReadFile
  • ZwWriteFile
  • ZwClose
  • InitializeObjectAttributes

1.文件的打开

ZwOpenFile

/************************************************************************
* 函数名称:ZwOpenFile
* 功能描述:打开文件
* 参数列表:
        FileHandle:返回打开的文件句柄
        DesiredAccess:打开的权限,一般设为GENERIC_ALL
        ObjectAttributes:objectAttributes结构
        IoStatusBlock:指向一个结构体的指针。该结构体指明打开文件的状态
        ShareAccess:共享的权限。可以是FILE_SHARE_READ或者FILE_SHARE_WRITE
        OpenOptions:打开选项,一般设为FILE_SYNCHRONOUS_IO_NONALERT
* 返回 值:指明文件是否被成功打开
*************************************************************************/
NTSTATUS ZwOpenFile(
    OUT PHANDLE FileHandle,
    IN ACCESS_MASK DesiredAccess,
    IN POBJECT_ATTRIBUTES ObjectAttributes,
    OUT PIO_STATUS_BLOCK IoStatusBlock,
    IN ULONG ShareAccess,
    IN ULONG OpenOptions);

 使用示例:

OBJECT_ATTRIBUTES objectAttributes;
IO_STATUS_BLOCK iostatus;
HANDLE hfile;
UNICODE_STRING logFileUnicodeString;

//初始化UNICODE_STRING字符串
RtlInitUnicodeString(&logFileUnicodeString, L"\\??\\C:\\1.log");
//或者写成 \\Device\\HarddiskVolume1\\1.log

//初始化objectAttributes
InitializeObjectAttributes(
    &objectAttributes,
    &logFileUnicodeString,
    OBJ_CASE_INSENSITIVE,
    NULL,
    NULL);

//创建文件
NTSTATUS ntStatus = ZwOpenFile(&hfile,
                               GENERIC_ALL,
                               &objectAttributes,
                               &iostatus,
                               FILE_SHARE_READ || FILE_SHARE_WRITE,
                               FILE_SYNCHRONOUS_IO_NONALERT);
if( NT_SUCCESS(ntStatus) )
{
    KdPrint(("Create FILE successfully!\n"));
}
else
{
    KdPrint(("Create FILE unsuccessfully!\n"));
}

//文件操作
//..........

//关闭文件句柄
ZwClose(hfile);

2.文件的创建

ZwCreateFile

/************************************************************************
* 函数名称:ZwCreateFile
* 功能描述:文件的创建
* 参数列表:
        FileHandle:返回打开文件的句柄
        DesiredAccess:对打开文件操作的描述,读,写或是其他。一般指定为GENERIC_READ 或 GENERIC_WRITE
        ObjectAttributes:是OBJECT_ATTRIBUTES结构的地址,该结构包含要打开的文件名
        IoStatusBlock:指向一个IO_STATUS_BLOCK结构,该结构接收ZwCreateFile操作的结果状态
        AllocationSize:是一个指针,指向一个64位整数,该数指定文件初始分配时的大小
                    该参数仅关系到创建或重写文件操作,如果忽略它,那么文件长度从0开始
                    病随着写入而增长
        FileAttributes:0或FILE_ATTRIBUTE_NORMAL,指定新创建文件的属性
        ShareAccess:FILE_SHARE_READ或0,指定文件的共享方式。
                    如果为写数据而打开文件,可能不希望其他线程访问该文件
        CreateDisposition:FILE_OPEN或FILE_OVERWRITE_IF,表明当指定文件存在或不存在时应如何处理
        CreateOptions:FILE_SYNCHARONOUS_IO_NONALERT,指定控制打开操作和句柄使用的附加标志位
        EaBuffer:一个指针,指向可选的扩展属性区
        EaLength:扩展属性区的长度
* 返回 值:    NTSTATUS
*************************************************************************/
NTSTATUS ZwCreateFile(
    OUT PHANDLE FileHandle, 
    IN ACCESS_MASK DesiredAccess, 
    IN POBJECT_ATTRIBUTES ObjectAttributes, 
    OUT PIO_STATUS_BLOCK IoStatusBlock, 
    IN PLARGE_INTEGER AllocationSize OPTIONAL, 
    IN ULONG FileAttributes, 
    IN ULONG ShareAccess, 
    IN ULONG CreateDisposition,
    IN ULONG CreateOptions, 
    IN PVOID EaBuffer OPTIONAL,
    IN ULONG EaLength);

/*
*备注:
* 1、CreateDisposition参数。
*     如果想打开文件,CreateDisposition参数设置成FILE_OPEN. 
*     如果想创建文件,CreateDisposition参数设置成FILE_OVERWRITE_IF
*        此时,无论文件是否存在,都会创建新文件
* 2、文件名是通过第三个参数ObjectAttributes
*     这个参数是一个OBJECT_ATTRIBUTES结构体
*     通过InitializeObjectAttributes初始化
*/

InitializeObjectAttributes

这实际是一个宏,用来初始化属性变量的内容:

/************************************************************************
* 函数名称:InitializeObjectAttributes
* 功能描述:初始化OBJECT_ATTRIBUTES结构体
* 参数列表:
        InitializedAttributes:返回的OBJECT_ATTRIBUTES结构体
        ObjectName:对象名称,用UNICODE_STRING描述,这里设置的是文件名
        Attributes:一般设置为OBJ_CASE_INSENSITIVE,对大小写敏感
        RootDirectory:一般设置为NULL
        SecurityDescriptor:一般设置为NULL
* 返回 值:相等的字节数
        不一致返回零        
*************************************************************************/
VOID InitializeObjectAttributes(
    OUT POBJECT_ATTRIBUTES InitializedAttributes,
    IN PUNICODE_STRING ObjectName,
    IN ULONG Attributes,
    IN HANDLE RootDirectory,
    IN PSECURITY_DESCRIPTOR SecurityDescriptor);

/*
*备注:
* 1、文件名[必须]是符号链接或者是设备名
* 2、例如:盘符 "c:",就是一个符号链接
*        这里应该用 "\??\c:" 代替 
*        "c:\1.log" 要写成 "\??\c:\1.log"
* 3、其中 "\??\c:" 是符号链接,内核会将它转换成设备名 "\Device\HarddiskColume1"
*/

3.获取文件属性 

ZwQueryInformationFile

/************************************************************************
* 函数名称:ZwQueryInformationFile
* 功能描述:获取文件属性
* 参数列表:
        FileHandle:文件句柄
        IoStatusBlock:返回设置的状态
        FileInformation:依据FileInformationClass不同而不同。作为输出信息
        Length:FileInformation数据的长度
        FileInformationClass:描述修改属性的类型
* 返回 值:设置属性查询
*************************************************************************/
NTSTATUS ZwQueryInformationFile(
            IN HANDLE FileHandle,
            OUT PIO_STATUS_BLOCK IoStatusBlock,
            OUT PVOID FileInformation,
            IN ULONG Length,
            IN FILE_INFORMATION_CLASS FileInformationClass);

4.文件的读取

ZwReadFile

/************************************************************************
* 函数名称:ZwReadFile
* 功能描述:文件的读操作
* 参数列表:
        FileHandle:文件打开的句柄
        Event:很少用到,一般设为NULL
        ApcRoutine:很少用到,一般设为NULL
        ApcContext:很少用到,一般设为NULL
        IoStatusBlock:记录些操作的状态。其中,IoStatusBlock.Infomation记录实际写了多少字节
        Buffer:从这个缓冲区开始开始从文件里读
        Length:准备读多少字节
        Byteoffset:从文件的多少偏移地址开始读
        Key:很少用到,一般设为NULL
* 返回 值:
*************************************************************************/
NTSTATUS ZwReadFile(
    IN HANDLE FileHandle,
    IN HANDLE Event OPTIONAL,
    IN PIO_APC_ROUTINE ApcRoutine OPTIONAL,
    IN PVOID ApcContext OPTIONAL,
    OUT PIO_STATUS_BLOCK IoStatusBlock,
    IN PVOID Buffer,
    IN ULONG Length,
    IN PLARGE_INTEGER Byteoffset OPTIONAL,
    IN PULONG Key OPTIONAL);

5.文件的写入

ZwWriteFile

/************************************************************************
* 函数名称:ZwWriteFile
* 功能描述:文件的写操作
* 参数列表:
        FileHandle:文件打开的句柄
        Event:很少用到,一般设为NULL
        ApcRoutine:很少用到,一般设为NULL
        ApcContext:很少用到,一般设为NULL
        IoStatusBlock:记录些操作的状态。其中,IoStatusBlock.Infomation记录实际写了多少字节
        Buffer:从这个缓冲区开始往文件里写
        Length:准备写多少字节
        Byteoffset:从文件的多少便宜地址开始写
        Key:很少用到,一般设为NULL
* 返回 值:
*************************************************************************/
NTSTATUS ZwWriteFile(
    IN HANDLE FileHandle,
    IN HANDLE Event OPTIONAL,
    IN PIO_APC_ROUTINE ApcRoutine OPTIONAL,
    IN PVOID ApcContext OPTIONAL,
    OUT PIO_STATUS_BLOCK IoStatusBlock,
    IN PVOID Buffer,
    IN ULONG Length,
    IN PLARGE_INTEGER Byteoffset OPTIONAL,
    IN PULONG Key OPTIONAL);

综合使用:实现文件拷贝

仅支持小文件,而且没有和应用层交互

#include <ntifs.h>
#include <windef.h>	//使用DWORD等类型

#define DEVICE_NAME L"\\Device\\MyFirstDeviceFilerw"		//设备名称
#define SYM_NAME	L"\\??\\MyFirstDeviceFilerw"			//符号链接

//定义自定义控制码 (做一个减法)
#define IOCTL_MUL	CTL_CODE(FILE_DEVICE_UNKNOWN,0x855,METHOD_BUFFERED, FILE_ANY_ACCESS)

//分发函数
NTSTATUS MyCreate(PDEVICE_OBJECT pdevice, PIRP pirp)
{
	UNREFERENCED_PARAMETER(pdevice);
	NTSTATUS status = STATUS_SUCCESS;
	DbgPrint("My Device has be opened!");
	pirp->IoStatus.Status = status;
	pirp->IoStatus.Information = 0;
	IoCompleteRequest(pirp, IO_NO_INCREMENT);

	return status;
}
NTSTATUS MyClearUp(PDEVICE_OBJECT pdevice, PIRP pirp)
{
	UNREFERENCED_PARAMETER(pdevice);
	NTSTATUS status = STATUS_SUCCESS;
	DbgPrint("My Device MyClearUp!");
	pirp->IoStatus.Status = status;
	pirp->IoStatus.Information = 0;
	IoCompleteRequest(pirp, IO_NO_INCREMENT);

	return status;
}
NTSTATUS MyClose(PDEVICE_OBJECT	pdevice, PIRP pirp)
{
	UNREFERENCED_PARAMETER(pdevice);
	NTSTATUS status = STATUS_SUCCESS;
	DbgPrint("My Device MyClose!");
	pirp->IoStatus.Status = status;
	pirp->IoStatus.Information = 0;
	IoCompleteRequest(pirp, IO_NO_INCREMENT);

	return status;
}
NTSTATUS MyRead(PDEVICE_OBJECT	pdevice, PIRP pirp)
{
	UNREFERENCED_PARAMETER(pdevice);
	NTSTATUS status = STATUS_SUCCESS;
	DbgPrint("My Device MyRead!");

	//获取当前IRP堆栈信息
	PIO_STACK_LOCATION pstack = IoGetCurrentIrpStackLocation(pirp);

	//对应用户层的读请求
	ULONG readsize = pstack->Parameters.Read.Length;
	DbgPrint("用户请求读大小为%u\n", readsize);
	//对应用户层所分配的缓冲区的内存位置
	PCHAR readbuffer = pirp->AssociatedIrp.SystemBuffer;	

	// readbuffer的赋值实际上是对用户缓冲区的改变
	RtlCopyMemory(readbuffer,
		"This Message Come From Kernel.",
		strlen("This Message Come From Kernel."));

	pirp->IoStatus.Status = status;
	//对于Information的赋值是返回给用户程序实际读取的长度。
	pirp->IoStatus.Information = strlen("This Message Come From Kernel.");

	//输出下字符串的长度
	DbgPrint("Really Read Info Len is %lld\n", 
		strlen("This Message Come From Kernel."));
	IoCompleteRequest(pirp, IO_NO_INCREMENT);

	return status;
}
NTSTATUS MyWrite(PDEVICE_OBJECT	pdevice, PIRP pirp)
{
	UNREFERENCED_PARAMETER(pdevice);
	NTSTATUS status = STATUS_SUCCESS;
	DbgPrint("My Device MyWrite!");

	//获取当前IRP堆栈信息
	PIO_STACK_LOCATION pstack = IoGetCurrentIrpStackLocation(pirp);

	//对应用户层的写请求
	ULONG writesize = pstack->Parameters.Write.Length;
	DbgPrint("用户请求写大小为%u\n", writesize);
	//对应用户层所分配的缓冲区的内存位置
	PCHAR writebuffer = pirp->AssociatedIrp.SystemBuffer;

	// 写入扩展设备之前先进行清0操作
	RtlZeroMemory(pdevice->DeviceExtension, 200);
	// writebuffer的数据写入到设备扩展里边
	RtlCopyMemory(pdevice->DeviceExtension,writebuffer,writesize);

	DbgPrint("写缓冲区内存地址:%p,设备扩展内容%s\n", writebuffer,
		(PCHAR)pdevice->DeviceExtension);

	pirp->IoStatus.Status = status;
	pirp->IoStatus.Information = 13;

	IoCompleteRequest(pirp, IO_NO_INCREMENT);

	return status;
}
NTSTATUS MyControl(PDEVICE_OBJECT	pdevice, PIRP pirp)
{
	UNREFERENCED_PARAMETER(pdevice);
	NTSTATUS status = STATUS_SUCCESS;
	DbgPrint("My Device MyControl!");

	PIO_STACK_LOCATION pstack = IoGetCurrentIrpStackLocation(pirp);
	ULONG	iocode = pstack->Parameters.DeviceIoControl.IoControlCode;	// 获取控制码

	ULONG inlen = pstack->Parameters.DeviceIoControl.InputBufferLength;
	ULONG outlen = pstack->Parameters.DeviceIoControl.OutputBufferLength;
	ULONG ioinfo = 0;

	DbgPrint("InputBufferLength is %u\n", inlen);
	DbgPrint("OutputBufferLength is %u\n", outlen);

	switch (iocode)
	{
	case IOCTL_MUL:
	{
		//做一个减法

		DWORD indata = *(PDWORD)pirp->AssociatedIrp.SystemBuffer;
		DbgPrint("--Kernel Indata %d \n", indata);
		indata = indata * 5;
		*(PDWORD)pirp->AssociatedIrp.SystemBuffer = indata;
		ioinfo = 50;

		//别忘记break!
		break;
	}
	default:
		status = STATUS_UNSUCCESSFUL;
		ioinfo = 0;
		break;
	}

	pirp->IoStatus.Status = status;
	pirp->IoStatus.Information = ioinfo;
	IoCompleteRequest(pirp, IO_NO_INCREMENT);

	return status;
}


//内核文件拷贝
NTSTATUS KernelCopyFile(PWCHAR dstfile_path, PWCHAR sourcefile_path)
{
	NTSTATUS status = STATUS_SUCCESS;
	HANDLE hfile1 = NULL;
	UNICODE_STRING sourcefilepath = { 0 };
	OBJECT_ATTRIBUTES obja1 = { 0 };
	IO_STATUS_BLOCK iostack = { 0 };

	//初始化
	RtlInitUnicodeString(&sourcefilepath, sourcefile_path);
	InitializeObjectAttributes(&obja1, &sourcefilepath, 
		OBJ_CASE_INSENSITIVE |OBJ_KERNEL_HANDLE, NULL, NULL);
	
	//打开文件句柄
	status = ZwOpenFile(
		&hfile1, 
		GENERIC_ALL, 
		&obja1,
		&iostack, 
		FILE_SHARE_READ | FILE_SHARE_WRITE,
		FILE_SYNCHRONOUS_IO_NONALERT
	);

	if (!NT_SUCCESS(status))
	{
		DbgPrint("ZwOpenFile 文件打开失败 错误码 %x \n",status);
		return status; 
	}

	//查询文件大小
	FILE_STANDARD_INFORMATION fsiFileInfo = { 0 };
	status = ZwQueryInformationFile(
		hfile1, 
		&iostack,
		&fsiFileInfo,
		sizeof(FILE_STANDARD_INFORMATION),
		FileStandardInformation
	);
	if (!NT_SUCCESS(status))
	{
		DbgPrint("ZwQueryDirectoryFile 查询失败 错误码 %x \n", status);
		ZwClose(hfile1);
		return status;
	}

	//查询成功过后申请缓冲区放置查询内容
	PVOID filebuffer = NULL;
	filebuffer = ExAllocatePoolWithTag(NonPagedPool,
		fsiFileInfo.EndOfFile.QuadPart, '1212');
	if (!filebuffer)
	{
		DbgPrint("filebuffer 缓冲区申请失败 错误码 %x \n", status);
		ZwClose(hfile1);
		return status;
	}

	RtlZeroMemory(filebuffer, fsiFileInfo.EndOfFile.QuadPart);

	//读文件
	LARGE_INTEGER readoffset = { 0 };
	readoffset.QuadPart = 0;	//从0开始读
	status = ZwReadFile(
		hfile1, 
		NULL, 
		NULL,
		NULL,
		&iostack,
		filebuffer,
		(ULONG)fsiFileInfo.EndOfFile.QuadPart, 
		&readoffset,
		NULL
	);
	if (!NT_SUCCESS(status))
	{
		DbgPrint("读文件失败 错误码 %x \n", status);
		ZwClose(hfile1);
		ExFreePoolWithTag(filebuffer, '1212');
		return status;
	}

	DbgPrint("Ioinfo--- %lld", iostack.Information);

	ZwClose(hfile1);

	//创建新文件
	HANDLE hfile2 = NULL;
	UNICODE_STRING dstfilepath = { 0 };
	OBJECT_ATTRIBUTES obja2 = { 0 };
	IO_STATUS_BLOCK iostack2 = { 0 };

	RtlInitUnicodeString(&dstfilepath, dstfile_path);
	InitializeObjectAttributes(&obja2, &dstfilepath,
		OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE, NULL, NULL);	//文件操作描述
	// 参数好多!
	status = ZwCreateFile(
		&hfile2, 
		GENERIC_ALL, 
		&obja2, 
		&iostack2,
		NULL, 
		FILE_ATTRIBUTE_NORMAL, 
		FILE_SHARE_WRITE,
		FILE_SUPERSEDE,
		FILE_SYNCHRONOUS_IO_NONALERT, 
		NULL, 
		0
	);
	
	if (!NT_SUCCESS(status))
	{
		DbgPrint("创建文件失败   错误码 %x \n", status);
		ExFreePoolWithTag(filebuffer, '1212');
		return status;
	}

	// 写入文件
	LARGE_INTEGER writeoffset = { 0 };
	writeoffset.QuadPart = 0;
	status = ZwWriteFile(
		hfile2, 
		NULL, 
		NULL, 
		NULL,
		&iostack2,
		filebuffer, 
		(ULONG)fsiFileInfo.EndOfFile.QuadPart, 
		&writeoffset,
		NULL
	);

	if (!NT_SUCCESS(status))
	{
		DbgPrint("写入失败 错误码 %x \n", status);
		ExFreePoolWithTag(filebuffer, '1212');
		ZwClose(hfile2);
		return status;
	}

	DbgPrint("write length = %lld ", iostack2.Information);

	ExFreePoolWithTag(filebuffer, '1212');
	ZwClose(hfile2);

	return status;
}

//卸载函数
VOID DriverUnload(IN PDRIVER_OBJECT DriverObject)
{
	DbgPrint("basedriver 卸载驱动\n");
	if (DriverObject->DeviceObject)
	{
		IoDeleteDevice(DriverObject->DeviceObject);
	}
	UNICODE_STRING symLink = RTL_CONSTANT_STRING(SYM_NAME);
	IoDeleteSymbolicLink(&symLink);
}

//入口函数
NTSTATUS DriverEntry(
	IN PDRIVER_OBJECT DriverObject, 
	IN PUNICODE_STRING RegistryPath
)
{
	UNREFERENCED_PARAMETER(RegistryPath);
	//注册卸载函数
	DriverObject->DriverUnload = DriverUnload;

	NTSTATUS status = STATUS_SUCCESS;
	PDEVICE_OBJECT pdevice;		// 用来接收创建的设备对象
	UNICODE_STRING devicename = { 0 };
	RtlInitUnicodeString(&devicename, DEVICE_NAME);

	//创建设备对象
	status = IoCreateDevice(DriverObject, 
							200,	// 定义设备扩展的大小,用来存放写入的数据
							&devicename, 
							FILE_DEVICE_UNKNOWN, 
							0, 
							TRUE, 
							&pdevice);

	if (!NT_SUCCESS(status))
	{
		KdPrint(("IoCreateDevice 虚拟设备打开失败 状态码 (0x%08X)\n",status));
		DbgPrint("IoCreateDevice 虚拟设备打开失败 状态码 (0x%08X)\n", status);
	}

	if (pdevice->Flags)
	{
		//不要忘了设备对象的读写方式,否则会蓝屏
		pdevice->Flags |= DO_BUFFERED_IO;	// 缓冲区方式的读写
	}



	//
	//创建成功,创建符号链接
	//
	UNICODE_STRING symname = { 0 };
	RtlInitUnicodeString(&symname, SYM_NAME);
	status = IoCreateSymbolicLink(&symname, &devicename);	// 符号链接名 设备名
	if (!NT_SUCCESS(status))
	{
		KdPrint(("IoCreateSymbolicLink 符号链接创建失败 状态码 (0x%08X)", status));
		DbgPrint("IoCreateSymbolicLink 符号链接创建失败 状态码 (0x%08X)", status);
	}

	//设置分发例程
	DriverObject->MajorFunction[IRP_MJ_CREATE] = MyCreate;
	DriverObject->MajorFunction[IRP_MJ_CLEANUP] = MyClearUp;
	DriverObject->MajorFunction[IRP_MJ_CLOSE] = MyClose;
	DriverObject->MajorFunction[IRP_MJ_READ] = MyRead;
	DriverObject->MajorFunction[IRP_MJ_WRITE] = MyWrite;
	DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = MyControl;

	KernelCopyFile(L"\\??\\C:\\888.exe", L"\\??\\C:\\567.exe");

	return 0;
}

效果:

小结

这节课主要是使用内核API了做些处理,对于文件来说还是和应用层类似,注意文件句柄的创建和销毁,还有对文件操作的时的权限设置要符合需求。

另外还可以拓展,通过设定一个临时长度循环读写来拷贝大文件,还有和应用层进行应用交互文件地址等。看完系列课程有时间再做😉😉😉

糯米藕片
关注
专栏目录
Windows驱动开发文件操作
enjoy5512的博客
07-06 7016
内核文件操作 内核态字符串操作 内核态动态内存申请/释放
ZwOpenFile [WDK翻译]
死胖子的博客
02-03 1795
ZwOpenFile 提供了一个句柄,通过它可以操作一个文件的数据或者是文件状态,或是文件的属性。ZwOpenFile 提供了ZwCreateFile的一个功能子集(ZwCreateFile能做更多事).
磁盘文件操作_ZwCreateFile_ZwOpenFile_ZwReadFile_ZwWriteFile_ZwSetInformationFile_ZwQueryInformationFile
01-27 3172
#include"ntddk.h" VOID xiezai1(PDRIVER_OBJECT qudongduixiang) { KdPrint(("驱动卸载 历程\n")); return; } NTSTATUS DriverEntry(PDRIVER_OBJECT qudongduixiang, PUNICODE_STRING zhucebiao1) { HANDLE wenjianju
windows驱动学习笔记
Always look out for number one.
01-13 4352
零零散散花了一个月的时间初步学习了windows驱动编程,接着开始要制定2013年的学习计划,即将步入另外一个学习战场,于是就将最近学习记录下来,也好将来再返回学习时有点基础。 一、windows驱动安装 1、到官方下载DDK安装,ex : 3790.1830.DDK 2、目录简介        示例代码: 安装目录/src/general/event/sys       编译:buil
内核模式下的文件操作
crkres9527
09-27 423
A、文件的创建 B、文件的打开 C、获取和修改文件属性 D、写文件和读文件   一、文件的创建 InitializeObjectAttributes 初始化  POBJECT_ATTRIBUTES 结构 ZwCreateFile 二、文件的打开    ZwCreateFile,ZwOpenFile 三、获取和修改文件属性     ZwQueryInformationFile,...
Lesson05静态_OPENGL天空_3d_Lesson05_
09-30
此代码是基于opengl实现3d模型的导入同时还有天空盒和地形
USB_VC_lesson.zip_The Lesson_USB VC++_usb vc
09-14
【USB_VC_lesson.zip_The Lesson_USB VC++_usb vc】是一个关于USB设备编程的教程,其主要涉及了使用VC++(Visual C++)开发USB虚拟控制器(VC++的USB VC)的应用程序。这个压缩包可能包含源代码、文档、示例和...
NEHE_Lesson.rar_opengl lesson
09-14
OpenGL编程教程——NEHE Lesson系列 OpenGL是一种跨语言、跨平台的应用程序编程接口(API),用于渲染2D、3D矢量图形。它是图形硬件的标准化接口,允许开发者利用计算机的图形处理能力来创建复杂的视觉效果。NEHE ...
Java_Essential_lesson_12.rar_The Lesson
09-22
Internationalization The Java盲 2 platform provides internationalization features that let you separate culturally dependent data from the application (internationalization) and adapt it to as many ...
lesson12_bcb6.rar_Lesson_OpenGL BCB_bcb opengl
09-21
基础的OpenGL编程示范,适合初学者,值得一看
内核模式下的文件操作_zwcreatefile_zwopenfile_zwreadfile_zwwritefile
05-05 2349
1.文件的创建 对文件的创建或者打开都是通过内核函数ZwCreateFile实现的。和Windows API类似,这个内核函数返回一个文件句柄,文件的所有操作都是依靠这个句柄进行操作的。在文件操作完毕后,要关闭这个文件句柄。 NTSTATUS     ZwCreateFile(     OUT PHANDLE  FileHandle,     IN ACCESS_MASK  DesiredAc...
Window内核函数 - 文件的打开
最新发布
wendyWJGU的博客
05-22 514
Window内核函数 - 文件的打开
windbg 查看结构体_windbg跟踪ZwOpenFile获取打开的文件
weixin_34792402的博客
01-13 252
跟踪ZwOpenFile的笔记,确定参数的传递方式是按照从右到左的方式入栈,和c的调用方式一样。下断点ZwOpenFile断后的堆栈如下:nt!ZwOpenFilent!MmLoadSystemImage+0x266nt!IopLoadDriver+0x370nt!PipCallDriverAddDeviceQueryRoutine+0x235nt!RtlpCallQueryRegistryRo...
【Window内核驱动开发】——内存映射的基本使用
zcr214的博客
11-28 1919
【我的】Window驱动开发——内存映射的基本使用 作者:zcr214 时间:2016/5/18   内存映射文件可以用于3个不同的目的。 •系统使用内存映射文件,以便加载和执行. exe和DLL文件。这可以大大节省页文件空间和应用程序启动运行所需的时间。 •可以使用内存映射文件来访问磁盘上的数据文件。这使你可以不必对文件执行I/O操作,并且可以不必对文件内容进行缓存。 •可以使用内存
执行体的重定向
05-10 1716
题目:特洛伊执行体重定向作者:Greg Hoglund, Gary McGraw翻译:Rhett//--------------------------------------------------------------一旦入侵者拿到系统的root权限,所有监视和审核系统的效能都会大打折扣,甚至是在硬件层面的数据审核和加密校验措施也能被挫败。唯一例外的是被隔离存放的审核和校验系统所在的硬件设备
ZwCreateFile
死胖子的博客
02-04 8750
ZwCreateFile routine ZwCreateFile 创建一个新的文件或者打开一个已经存在的文件。 Syntax C++ NTSTATUS ZwCreateFile( _Out_ PHANDLE FileHandle, _In_ ACCESS_MASK DesiredAccess, _In_ POBJE
ZwReadFile routine
死胖子的博客
02-04 3757
ZwReadFile routine ZwReadFile 从一个打开的文件读取内容 Syntax   NTSTATUS ZwReadFile( _In_ HANDLE FileHandle, _In_opt_ HANDLE Event, _In_opt_ PIO_APC_ROUTINE ApcRoutine, _In_o
SSDT Hook
zhuhuibeishadiao
04-10 3262
看看大概的调用情况 左边是2000有的,右边是xp后走的 Ntdll.dll 的 API 是一个简单的包装函数。 当 Kernel32.dll 的 API 通过 Ntdll.dll 时,会完成参数的检查再调用一个断(int 2Eh 或者 SysEnter 指令),从而实现从 Ring3 进入 Ring0 层 并且将所要调用的服务号(也就是在 S
可以这样创建么,KEY `idx_lesson_id` (`lesson_id`,`section_id`) USING BTREE
05-27
是的,你可以使用类似以下 SQL 语句来创建一个 B-tree 索引: ``` CREATE INDEX idx_lesson_id ON table_name (lesson_id, section_id) USING BTREE; ``` 这个语句创建了一个名为 `idx_lesson_id` 的索引,它包含了 `lesson_id` 和 `section_id` 两个列。`USING BTREE` 表示这个索引使用 B-tree 数据结构。 这种创建多列索引的方式称为联合索引。使用联合索引的好处在于,可以在多个列上建立索引,从而提高查询效率。例如,在查询时,如果同时使用了 `lesson_id` 和 `section_id` 两个列,联合索引可以快速定位符合条件的数据行。 需要注意的是,联合索引的顺序也很重要。在创建索引时,应该考虑到查询经常使用的列放在前面,这样可以更好地利用索引。例如,如果查询经常使用 `lesson_id` 列,那么应该将 `lesson_id` 放在联合索引的前面。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值