内核文件管理-IRP(一)创建或打开文件

最新推荐文章于 2024-07-05 15:47:08 发布
最新推荐文章于 2024-07-05 15:47:08 发布
阅读量966 收藏 6
点赞数 1
分类专栏: 内核文件管理 文章标签: 内核 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_48995611/article/details/112370560
版权

内核下通过直接向 FSD (File System Driver) 发送 IRP (I/O Request Packet)来管理文件,可以绕过一些 API Hook。
本文讲怎样通过向 FSD 发送 IRP_MJ_CREATE 消息的 IRP 来创建或打开文件(或目录)。

头文件及其他声明或定义

#include <ntifs.h>

typedef struct _AUX_ACCESS_DATA {
	PPRIVILEGE_SET PrivilegesUsed;
	GENERIC_MAPPING GenericMapping;
	ACCESS_MASK AccessesToAudit;
	ACCESS_MASK MaximumAuditMask;
	ULONG Unknown[256];
} AUX_ACCESS_DATA, * PAUX_ACCESS_DATA;

// 内核的导出函数ObCreateObject和SeCreateAccessState
NTSTATUS ObCreateObject(
	__in KPROCESSOR_MODE ProbeMode,				// 决定是否要验证参数
	__in POBJECT_TYPE ObjectType,				// 对象类型指针
	__in POBJECT_ATTRIBUTES ObjectAttributes,	// 对象的属性, 最终会转化成ObAllocateObject需要的OBJECT_CREATE_INFORMATION结构
	__in KPROCESSOR_MODE OwnershipMode,			// 指定内核对象还是用户对象, 同上
	__inout_opt PVOID ParseContext,				// 这参数没用
	__in ULONG ObjectBodySize,					// 对象体大小
	__in ULONG PagedPoolCharge,					// ...
	__in ULONG NonPagedPoolCharge,				// ...
	__out PVOID* Object							// 接收对象体的指针
);

NTSTATUS SeCreateAccessState(
	PACCESS_STATE AccessState,
	PVOID AuxData,
	ACCESS_MASK DesiredAccess,
	PGENERIC_MAPPING GenericMapping
);

IrpCrateFile函数参数

NTSTATUS IrpCreateFile(
	OUT PFILE_OBJECT* ppFileObject,					// 用于返回文件句柄的指针
	IN	ACCESS_MASK DesiredAccess,					// 指定访问权限
	IN	PUNICODE_STRING pustrFilePath,				// 文件绝对路径
	OUT PIO_STATUS_BLOCK pIoStatusBlock,			// 用于返回最终完成的状态和其他请求操作的信息
	IN	PLARGE_INTEGER AllocationSize OPTIONAL,		// 包含初始分配大小的LARGE_INTEGER指针(用于文件创建或覆盖, NULL为不分配, 可选)
	IN	ULONG FileAttributes,						// 文件属性
	IN	ULONG ShareAccess,							// 共享访问类型
	IN	ULONG CreateDisposition,					// 指定在文件存在/不存在时要执行的操作
	IN	ULONG CreateOptions,						// 指定创建或打开文件时要应用的选项
	IN	PVOID EaBuffer OPTIONAL,					// 对于设备和中间驱动程序, 此参数必须是NULL指针。
	IN	ULONG EaLength);							//

路径参数形如 “C:\Test\test.txt”, 不用添加 “\??\” 前缀。
其他参数的值请参考Microsoft官网

IrpCrateFile实现

变量定义略,具体参见源代码

1.获得文件所在驱动器的句柄

根据文件路径参数得到驱动器名称, 再调用函数 IoCreateFile 打开驱动器, 成功则会返回其句柄 hDriver。

	wcscpy(wszRootPath, L"\\??\\A:\\");
	wszRootPath[4] = pustrFilePath->Buffer[0];		// 文件绝对路径第一个字符为盘符
	RtlInitUnicodeString(&ustrRootPath, wszRootPath);
	InitializeObjectAttributes(&objectAttributes, &ustrRootPath, OBJ_KERNEL_HANDLE, NULL, NULL);
	status = IoCreateFile(&hDriver, GENERIC_READ | SYNCHRONIZE, &objectAttributes,
		pIoStatusBlock, NULL, FILE_ATTRIBUTE_NORMAL, 
		FILE_SHARE_READ | FILE_SHARE_WRITE | FILE_SHARE_DELETE,
		FILE_OPEN, FILE_SYNCHRONOUS_IO_NONALERT, NULL, 0, CreateFileTypeNone,
		NULL, IO_NO_PARAMETER_CHECKING);
	if (!NT_SUCCESS(status))
	{
		return status;
	}

2.由驱动器句柄获得其文件对象,由此再进一步得到文件系统逻辑卷对象和物理卷设备

调用 ObReferenceObjectByHandle 函数由句柄得到文件对象后,利用文件对象中的 VPB (Volume Parameter Block) 获得文件系统逻辑卷对象和物理卷设备。

	status = ObReferenceObjectByHandle(hDriver, FILE_READ_ACCESS, *IoFileObjectType, KernelMode, &pDriverFileObject, NULL);
	if (!NT_SUCCESS(status))
	{
		ZwClose(hDriver);
		return status;
	}
	pDeviceObject = pDriverFileObject->Vpb->DeviceObject;
	pRealDevice = pDriverFileObject->Vpb->RealDevice;
	ObDereferenceObject(pDriverFileObject);
	ZwClose(hDriver);

此时不再用到驱动器句柄及其文件对象,分别调用 ZwCloseObDereferenceObject 函数关闭和释放。

3.根据物理卷设备栈大小创建 IRP, 再创建事件用于等待 IRP 处理完成

分别调用 IoAllocateIrpKeInitializeEvent 创建 IRP 和事件。
注意:IRP 最终要通过 IoFreeIrp 释放。

	pIRP = IoAllocateIrp(pDeviceObject->StackSize, FALSE);
	if (NULL == pIRP)
	{
		return STATUS_UNSUCCESSFUL;
	}
	KeInitializeEvent(&kEvent, SynchronizationEvent, FALSE);

4.创建一个空文件对象并设置

调用 ObCreateObject 创建一个空文件对象 pFileObject

	InitializeObjectAttributes(&objectAttributes, NULL, OBJ_CASE_INSENSITIVE, NULL, NULL);
	status = ObCreateObject(KernelMode, *IoFileObjectType, &objectAttributes, 
		KernelMode, NULL, sizeof(FILE_OBJECT), 0, 0, >&pFileObject);
	if (!NT_SUCCESS(status))
	{
		IoFreeIrp(pIRP);
		return status;
	}

进行设置:

	RtlZeroMemory(pFileObject, sizeof(FILE_OBJECT));
	pFileObject->Type = IO_TYPE_FILE;
	pFileObject->Size = sizeof(FILE_OBJECT);
	pFileObject->DeviceObject = pRealDevice;
	pFileObject->Flags = FO_SYNCHRONOUS_IO;
	pFileObject->FileName.Buffer = (PWCHAR)ExAllocatePool(NonPagedPool, 512);
			// 这里最好动态创建,否则 ObDereferenceObject 该文件对象时会蓝屏。
	if (pFileObject->FileName.Buffer == NULL)
	{
		IoFreeIrp(pIRP);
		ObDereferenceObject(pFileObject);
		return STATUS_UNSUCCESSFUL;
	}
	pFileObject->FileName.MaximumLength = 512;
	pFileObject->FileName.Length = pustrFilePath->Length - 3 -1;
	RtlZeroMemory(pFileObject->FileName.Buffer, 512);
	RtlCopyMemory(pFileObject->FileName.Buffer, &pustrFilePath->Buffer[2], pFileObject->FileName.Length);
	KeInitializeEvent(&pFileObject->Lock, SynchronizationEvent, FALSE);
	KeInitializeEvent(&pFileObject->Event, NotificationEvent, FALSE);

5.创建权限状态来设置访问文件的权限,然后设置安全内容

调用 SeCreateAccessState 创建权限状态,设置访问文件的权限。

	RtlZeroMemory(&auxAccessData, sizeof(auxAccessData));
	status = SeCreateAccessState(&accessData, &auxAccessData, DesiredAccess, IoGetFileObjectGenericMapping());
	if (!NT_SUCCESS(status))
	{
		IoFreeIrp(pIRP);
		ObDereferenceObject(pFileObject);
		return status;
	}

设置安全内容 IO_SECURITY_CONTEXT

	ioSecurityContext.SecurityQos = NULL;
	ioSecurityContext.AccessState = &accessData;
	ioSecurityContext.DesiredAccess = DesiredAccess;
	ioSecurityContext.FullCreateOptions = 0;

6.设置 IRP,获取下一个 IRP 的 IO_STACK_LOCATION 并设置

设置 IRP:

	RtlZeroMemory(pIoStatusBlock, sizeof(IO_STATUS_BLOCK));
	pIRP->MdlAddress = NULL;
	pIRP->AssociatedIrp.SystemBuffer = EaBuffer;
	pIRP->Flags = IRP_CREATE_OPERATION | IRP_SYNCHRONOUS_API;
	pIRP->RequestorMode = KernelMode;
	pIRP->UserIosb = pIoStatusBlock;
	pIRP->UserEvent = &kEvent;
	pIRP->PendingReturned = FALSE;
	pIRP->Cancel = FALSE;
	pIRP->CancelRoutine = NULL;
	pIRP->Tail.Overlay.Thread = PsGetCurrentThread();
	pIRP->Tail.Overlay.AuxiliaryBuffer = NULL;
	pIRP->Tail.Overlay.OriginalFileObject = pFileObject;

调用 IoGetNextIrpStackLocation 获取下一个 IRP 的 IO_STACK_LOCATION 并设置:

	pIoStackLocation = IoGetNextIrpStackLocation(pIRP);
	pIoStackLocation->MajorFunction = IRP_MJ_CREATE;
	pIoStackLocation->DeviceObject = pDeviceObject;
	pIoStackLocation->FileObject = pFileObject;
	pIoStackLocation->Parameters.Create.SecurityContext = &ioSecurityContext;
	pIoStackLocation->Parameters.Create.Options = (CreateDisposition << 24) | CreateOptions;
	pIoStackLocation->Parameters.Create.FileAttributes = (USHORT)FileAttributes;
	pIoStackLocation->Parameters.Create.ShareAccess = (USHORT)ShareAccess;
	pIoStackLocation->Parameters.Create.EaLength = EaLength;

7.设置完成实例

IRP 处理完成后会执行该函数,这里该函数用来通知 IRP 处理完成,同时释放资源。
调用 IoSetCompletionRoutine 设置完成实例:

	IoSetCompletionRoutine(pIRP, CompleteRoutine, NULL, TRUE, TRUE, TRUE);

CompleteRoutine 函数如下:

NTSTATUS CompleteRoutine(
	IN PDEVICE_OBJECT DeviceObject,
	IN PIRP pIRP,
	IN PVOID Context)
{
	*pIRP->UserIosb = pIRP->IoStatus;
	// 设置事件信号来通知完成
	if (pIRP->UserEvent)
	{
		KeSetEvent(pIRP->UserEvent, IO_NO_INCREMENT, FALSE);
	}
	// 释放IRP
	IoFreeIrp(pIRP);
	pIRP = NULL;

	return STATUS_MORE_PROCESSING_REQUIRED;
}

8.发送 IRP,等待处理完成后判断结果,返回文件句柄

调用 IoCallDriver 发送 IRP:

	status = IoCallDriver(pDeviceObject, pIRP);

等待 IRP 处理完成:

	if (STATUS_PENDING == status)
	{
		KeWaitForSingleObject(&kEvent, Executive, KernelMode, TRUE, NULL);
	}

判断 IRP 处理结果,返回文件对象句柄:

	status = pIoStatusBlock->Status;
	if (!NT_SUCCESS(status))
	{
		ObDereferenceObject(pFileObject);
		return status;
	}
	InterlockedIncrement(&pFileObject->DeviceObject->ReferenceCount);
	if (pFileObject->Vpb)
	{
		InterlockedIncrement(&pFileObject->Vpb->ReferenceCount);
	}
	*ppFileObject = pFileObject;	// 设置返回的文件对象句柄

	return status;					// 函数返回

例子

以下代码在 C:\ 处创建了一个文件夹 Hello (如果不存在的话):

	UNICODE_STRING ustrCreateFile;
	RtlInitUnicodeString(&ustrCreateFile, L"C:\\Hello");
	PFILE_OBJECT hFile = NULL;
	IO_STATUS_BLOCK iosb = { 0 };
	NTSTATUS status = STATUS_SUCCESS;
	status = IrpCreateFile(&hFile, SYNCHRONIZE,
		&ustrCreateFile, &iosb, NULL, FILE_ATTRIBUTE_NORMAL, FILE_SHARE_READ | FILE_SHARE_WRITE,
		FILE_OPEN_IF, FILE_DIRECTORY_FILE | FILE_SYNCHRONOUS_IO_NONALERT | FILE_OPEN_FOR_BACKUP_INTENT,
		NULL, 0);
	if (!NT_SUCCESS(status))
	{
		DbgPrint("[ERROR]   IrpCreateFile: 创建目录\n");
		return;
	}
	DbgPrint("[SUCCESS] IrpCreateFile: 创建目录\n");
	ObDereferenceObject(hFile);

以下代码在 C:\Hello\ 处创建了一个文件 test.txt (如果不存在的话,存在则单纯打开又关闭):

	UNICODE_STRING ustrCreateFile;
	RtlInitUnicodeString(&ustrCreateFile, L"C:\\Hello\\test.txt");
	PFILE_OBJECT hFile = NULL;
	IO_STATUS_BLOCK iosb = { 0 };
	NTSTATUS status = STATUS_SUCCESS;
	status = IrpCreateFile(&hFile, GENERIC_READ, &ustrCreateFile, 
		&iosb, NULL, FILE_ATTRIBUTE_NORMAL, 0,
		FILE_OPEN_IF, FILE_SYNCHRONOUS_IO_NONALERT, NULL, 0);
	if (!NT_SUCCESS(status))
	{
		DbgPrint("[ERROR]   IrpCreateFile: 创建文件\n");
		return;
	}
	DbgPrint("[SUCCESS] IrpCreateFile: 创建文件\n");
	ObDereferenceObject(hFile);

下一篇:内核文件管理-IRP(二)文件属性查询和设置

江小辉9914
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
内核-从IRP说起
m0_74282605的博客
02-10 301
每次调用 IoCopyCurrentStackLocationToNext()函数,就将本层的IRP stack 放当下层的IRP stack顶端,当IoCompleteRequest函数被调用也就是IRP包被处理完成之后,IRP stack 会一层层堆栈向上弹出,如果遇到IO_STACK_LOCATION的CompletionRoutine非空,则调用这个函数,另外传进这个完成例程的 是IO_STACK_LOCATION的子域Context。对于不会处理的IRP包需要提供一个默认的分 发函数来处理。
使用IRP进行文件操作
啤梨Lily的 world
02-04 3653
使用IRP进行文件操作 首先声明这个是菜鸟—我的学习日记,不是什么高深文章,高手们慎看.一定要先感谢为技术的进步而付出辛勤汗水的人,感谢他们对技术的共享.一个通用IRP访问文件的十六进制编辑器(开源代码)     --   被诅咒的神(邪恶八进制信息安全团队)Windows平台内核文件访问                               --   baiyuanf
Linux系统内核文件Cache管理机制
蒋贵清
08-26 648
 1 、前言 自从诞生以来,Linux 就被不断完善和普及,目前它已经成为主流通用操作系统之一,使用得非常广泛,它与 Windows、UNIX 一起占据了操作系统领域几乎所有的市场份额。特别是在高性能计算领域,Linux 已经成为一个占主导地位的操作系统,在2005年6月全球TOP500 计算机中,有 301 台部署的是 Linux 操作系统。因此,研究和使用 Linux 已经成为开发者的
【linux】内核文件创建以及写文件
最新发布
qq_45698138的博客
07-05 275
在测试创建文件时,一直创建失败,测试发现需要提升内存访问权限到 KERNEL_DS。内核使用系统调用参数肯定是内核空间,为了不让这些系统调用检查参数所以必须设置set_fs(KERNEL_DS)才能使用该系统调用。使用 kernel_write() 将内容写入文件。保存当前的内存访问权限级别到 old_fs 变量。使用 filp_open() 以写入模式创建文件。提升内存访问权限到 KERNEL_DS。最后将内存访问权限恢复到之前保存的级别。
内核文件管理
wyjvip333的专栏
05-15 155
1,文件元数据。 stat结构体: struct stat { mode_t st_mode; //文件对应的模式,文件,目录等 ino_t st_ino; //i-node节点号 dev_t st_dev; //设备号码 dev_t st_rdev; //特殊设备号码 nlink_t st_nlink; //文件的连接数 uid_t st_uid; //文件所...
内核学习笔记之IRP
nishuodeqianshou的专栏
10-17 901
文章作者:grayfox 作者主页:http://nokyo.blogbus.com 原始出处:http://www.blogbus.com/nokyo-logs/34005738.html       此前我们可能曾经多次听说过IRP这个名词,那么它究竟是什么呢?       IRP的全名是I/O Request Package,即输入输出请求包,它是Windows内核中的一种非常重要的
强删文件--->构建IRP---->独占--->正在运行 以及磁盘读写(思路)
zhuhuibeishadiao
04-03 2882
个人比较崇拜360 一个小小的按钮下面蕴含着很多的原理 要有多么强大才能1天搞定偏移 -------致敬360 致敬MJ-001 无奈本人学业不精 只能说说“独占”和“正在运行” 打开文件 一般使用ZwCreateFile NtCreateFile 但这些函数还不够底层 使用IoCreateFile会好一些 被其它程序独占 枚举句柄表 ZwQuerySystemInformation -
Windows驱动编程视频教程-内核模式下的文件操作
08-19
`ZwCreateFile`用于打开或创建文件,并返回一个文件对象,而`ZwClose`则用于关闭已打开的文件。 6. **同步机制**:由于内核模式下的文件操作可能会有多个线程同时访问,因此需要同步机制,如事件对象、信号量、互斥...
windows-file-filter-system-frame.rar_file system filter_文件过滤驱动
09-24
Windows环境下,这种技术通常通过I/O管理器来实现,允许驱动程序在文件创建、打开、读取、写入、关闭等操作时介入,从而实现诸如数据保护、权限控制、日志记录等多种功能。 文件过滤驱动的核心概念是“过滤点”...
一个文件过滤驱动的完整代码,实现了文件加解密
11-20
2. IRP(I/O Request Packets)处理:IFS驱动通过处理IRP来响应文件操作请求,如创建、打开、读取、写入、关闭等。当文件操作请求到来时,驱动可以决定是否允许该操作,或者在操作前后添加额外的行为,例如加密或...
寒江独钓--windows内核安全编程光盘源码_寒江独钓windows内核安全编程_
09-30
源码可能涵盖文件创建、打开、关闭、读写等操作,以及文件权限和安全性的管理。通过这些示例,你可以学习到如何在内核层实现对文件系统的控制,确保数据的完整性和安全性。 网络驱动则涉及到网络协议栈的实现,包括...
Linux内核驱动自动创建设备节点文件
hs6662668的专栏
01-19 1038
Linux下生成驱动设备节点文件的方法有3个:1、手动mknod;2、利用devfs;3、利用udev 在刚开始写Linux设备驱动程序的时候,很多时候都是利用mknod命令手动创建设备节点,实际上Linux内核为我们提供了一组函数,可以用来在模块加载的时候自动在/dev目录下创建相应设备节点,并在卸载模块时删除该节点。 在2.6.17以前,在/dev目录下生成设备文件很容易,
内核文件管理-IRP(四)文件遍历
m0_48995611的博客
01-10 693
本文讲通过向FSD发送IRP_MJ_DIRECTORY_CONTROL消息的IRP,来获取一个目录下的文件信息。 上一篇:内核文件管理-IRP(三)文件读写 IrpQueryDirectoryFile函数参数 该函数与之前的 IrpQueryInformationFile 和 IrpSetInformationFile 类似,仅改变 IRP 和 I/O 堆栈 的设置。 NTSTATUS IrpQueryDirectoryFile( IN PFILE_OBJECT pFileObject, //
内核开发irp详解运行机制详解[学习]
SunShine的专栏
07-19 3168
I/O Request Packet (IRP),设备栈,IO_STACK_LOCATION,IoCompletion函数
内核文件管理-IRP(三)文件读写
m0_48995611的博客
01-10 861
本文讲怎样通过向 FSD 发送 IRP_MJ_READ 消息 / IRP_MJ_WRITE 消息的 IRP 来 读/写 文件内容。 上一篇:内核文件管理-IRP(二)文件属性查询和设置 IrpReadFile函数参数 该函数是在 IrpCreateFile函数 打开文件的基础上操作的,用于读取文件。 NTSTATUS IrpReadFile( IN PFILE_OBJECT pFileObject, // 文件句柄 OUT PIO_STATUS_BLOCK IoStatusBlock,
Windows简单驱动编程(二):内核文件创建和写入
yan_star的博客
12-03 1181
驱动中对文件创建和写入,涉及对象的创建和初始化。 有个坑:原以为下面这三行代码可以方便自己调试,能够自动区分调试状态和非调试状态,结果被坑了一下,如果直接加载驱动,会蓝屏。调试模式下不蓝。。所以,如果不调试的话得注掉。 #if DBG: _asm int 3; #endif // DBG: 驱动关于文件的简单创建和写入代码如下: #include <ntddk.h&gt...
Ring0层发送IRP消息打开文件不释放对象实现文件防删
毕业作品网站
03-09 364
背景 文件保护技术不论对于病毒木马还是杀软来说,都是至关重要的。要在内核层下实现文件防删除,通常是通过HOOK内核函数来实现,通过判断是否是删除保护文件,从而拒绝操作。本文将介绍一种不需要HOOK操作即可实现的文件保护方法,通过发送IRP信息打开文件并获取文件句柄,而不关闭文件句柄,使文件句柄一直保持打开状态。在文件句柄没有被关闭释放的情况,文件不能被删除,从而实现文件防删除。 实现过程 在前面章节就已经介绍过发送IRP管理操作文件,直接发送 IRP文件进行操作,可以避免一些HOOK的干扰。 在发送 I
windows内核开发学习笔记十五:IRP结构
jyl_sh的专栏
04-15 2802
windows内核开发学习笔记十五:IRP结构 IRP(I/O Request Package)在windows内核中,有一种系统组件——IRP,即输入输出请求包。当上层应用程序需要访问底层输入输出设备时,发出I/O请求,系统会把这些请求转化为IRP数据,不同的IRP会启动I/O设备驱动中对应的派遣函数。 一、IRP类型 由于IRP是响应上层应用程序的。可想而知,IRP类型是与上层对底层设备的访问类型相对应。文件相关的I/O函数如:CreateFile/ReadFile/WriteFile/Clo.
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值