内核文件管理-IRP(三)文件读写

最新推荐文章于 2024-06-09 12:33:49 发布
最新推荐文章于 2024-06-09 12:33:49 发布
阅读量861 收藏 2
点赞数 1
分类专栏: 内核文件管理 文章标签: 内核 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_48995611/article/details/112437093
版权

本文讲怎样通过向 FSD 发送 IRP_MJ_READ 消息 / IRP_MJ_WRITE 消息的 IRP 来 / 文件内容。
上一篇:内核文件管理-IRP(二)文件属性查询和设置

IrpReadFile函数参数

该函数是在 IrpCreateFile函数 打开文件的基础上操作的,用于读取文件。

NTSTATUS IrpReadFile(
	IN	PFILE_OBJECT pFileObject,						// 文件句柄
	OUT PIO_STATUS_BLOCK IoStatusBlock,					// 用于返回最终完成的状态和其他请求操作的信息
	OUT PVOID Buffer,									// 输出缓冲区
	IN	ULONG BufferLength,								// 缓冲区长度
	IN	PLARGE_INTEGER ByteOffset OPTIONAL);			// 读取偏移位置

IrpReadFile实现

变量定义略,具体参见源代码
IrpReadFile 实现与 IrpQueryInformationFile 函数类似,仅 IRPI/O堆栈 设置不同,以及在判断参数完成以后,需要根据 ByteOffset 参数调整读取的偏移,在内存读写上使用了MDL(MDL需要在完成实例CompleteRoutine中释放)。

调整文件偏移位置

	 if (NULL == ByteOffset)
	{
		if (0 == (FO_SYNCHRONOUS_IO & pFileObject->Flags))
		{
			return STATUS_INVALID_PARAMETER;
		}
		ByteOffset = &pFileObject->CurrentByteOffset;
	}

IRP设置

	RtlZeroMemory(Buffer, BufferLength);
	pIRP->MdlAddress = MmCreateMdl(NULL, Buffer, BufferLength);	// 通过MDL修改内存
	if (NULL == pIRP->MdlAddress)
	{
		IoFreeIrp(pIRP);
		return STATUS_INSUFFICIENT_RESOURCES;
	}
	MmBuildMdlForNonPagedPool(pIRP->MdlAddress);
	pIRP->UserEvent = &kEvent;
	pIRP->UserIosb = IoStatusBlock;
	pIRP->Flags = IRP_READ_OPERATION;
	pIRP->RequestorMode = KernelMode;
	pIRP->Tail.Overlay.Thread = PsGetCurrentThread();
	pIRP->Tail.Overlay.OriginalFileObject = pFileObject;

获取下一个IRP的IO_STACK_LOCATION并设置

IRP_MJ_READ消息,Read的参数等基本信息设置。

	pIoStackLocation = IoGetNextIrpStackLocation(pIRP);
	pIoStackLocation->MajorFunction = IRP_MJ_READ;
	pIoStackLocation->MinorFunction = IRP_MN_NORMAL;
	pIoStackLocation->DeviceObject = pDevObj;
	pIoStackLocation->FileObject = pFileObject;
	pIoStackLocation->Parameters.Read.Length = BufferLength;
	pIoStackLocation->Parameters.Read.ByteOffset = *ByteOffset;

CompleteRoutine中添加的内容:

在释放IRP前释放MDL:

	if (pIRP->MdlAddress)
	{
		IoFreeMdl(pIRP->MdlAddress);
		pIRP->MdlAddress = NULL;
	}

IrpWriteFile函数参数

该函数也是在 IrpCreateFile函数 打开文件的基础上操作的,用于写入文件,参数及实现都与 IrpReadFile 相似。

NTSTATUS IrpWriteFile(
	IN	PFILE_OBJECT pFileObject,						// 文件句柄
	OUT PIO_STATUS_BLOCK IoStatusBlock,					// 用于返回最终完成的状态和其他请求操作的信息
	IN	PVOID Buffer,									// 输入缓冲区
	IN	ULONG BufferLength,								// 缓冲区长度
	IN	PLARGE_INTEGER ByteOffset OPTIONAL);			// 写入偏移位置

IrpWriteFile设置

变量定义略,具体参见源代码

IRP设置

	pIRP->MdlAddress = MmCreateMdl(NULL, Buffer, BufferLength);
	if (NULL == pIRP->MdlAddress)
	{
		IoFreeIrp(pIRP);
		return STATUS_INSUFFICIENT_RESOURCES;
	}
	MmBuildMdlForNonPagedPool(pIRP->MdlAddress);
	pIRP->UserEvent = &kEvent;
	pIRP->UserIosb = IoStatusBlock;
	pIRP->Flags = IRP_WRITE_OPERATION;
	pIRP->RequestorMode = KernelMode;
	pIRP->Tail.Overlay.Thread = PsGetCurrentThread();
	pIRP->Tail.Overlay.OriginalFileObject = pFileObject;

获取下一个IRP的IO_STACK_LOCATION并设置

IRP_MJ_WRITE消息,Write的参数等基本信息设置。

	pIoStackLocation = IoGetNextIrpStackLocation(pIRP);
	pIoStackLocation->MajorFunction = IRP_MJ_WRITE;
	pIoStackLocation->MinorFunction = IRP_MN_NORMAL;
	pIoStackLocation->DeviceObject = pDevObj;
	pIoStackLocation->FileObject = pFileObject;
	pIoStackLocation->Parameters.Write.Length = BufferLength;
	pIoStackLocation->Parameters.Write.ByteOffset = *ByteOffset;

例子

以下代码将 “Hello!” 字符串写入文件 C:\Hello\test.txt 中:

		NTSTATUS status = STATUS_SUCCESS;
		UNICODE_STRING ustrOpenFile;
		RtlInitUnicodeString(&ustrOpenFile, L"C:\\Hello\\test.txt");
		PFILE_OBJECT hFile = NULL;
		IO_STATUS_BLOCK iosb = { 0 };

		status = IrpCreateFile(&hFile, GENERIC_WRITE, &ustrOpenFile,
			&iosb, NULL, FILE_ATTRIBUTE_NORMAL, FILE_SHARE_READ | FILE_SHARE_WRITE,
			FILE_OPEN, FILE_NO_INTERMEDIATE_BUFFERING | FILE_NON_DIRECTORY_FILE | FILE_SYNCHRONOUS_IO_NONALERT, NULL, 0);
		if (!NT_SUCCESS(status))
		{
			DbgPrint("[ERROR]   IrpCreateFile: 打开文件\n");
			return;
		}
		DbgPrint("[SUCCESS] IrpCreateFile: 打开文件\n");

		RtlZeroMemory(&iosb, sizeof(iosb));
		LARGE_INTEGER liWriteOffset = { 0 };
		UCHAR szWriteData[256] = "Hello!";
		ULONG ulWriteDataLength = 1 + strlen(szWriteData);
		status = IrpWriteFile(hFile, &iosb, szWriteData, ulWriteDataLength, &liWriteOffset);	// 写入
		ulWriteDataLength = iosb.Information;	// 实际写入字节数
		if (!NT_SUCCESS(status))
		{
			ObDereferenceObject(hFile);
			DbgPrint("[ERROR]   IrpWriteFile: 写入文件\n");
			return;
		}
		ObDereferenceObject(hFile);
		DbgPrint("[SUCCESS] IrpWriteFile: 大小 %dB\n", ulWriteDataLength);

以下代码将读取文件 C:\Hello\test.txt 的内容(这里读缓冲大小为256B):

	NTSTATUS status = STATUS_SUCCESS;
		UNICODE_STRING ustrOpenFile;
		RtlInitUnicodeString(&ustrOpenFile, L"C:\\Hello\\test.txt");
		PFILE_OBJECT hFile = NULL;
		IO_STATUS_BLOCK iosb = { 0 };
		UCHAR szReadData[256] = { 0 };
		ULONG ulReadDataSize = 256;

		status = IrpCreateFile(&hFile, GENERIC_READ, &ustrOpenFile,
			&iosb, NULL, FILE_ATTRIBUTE_NORMAL, FILE_SHARE_READ | FILE_SHARE_WRITE,
			FILE_OPEN, FILE_NO_INTERMEDIATE_BUFFERING | FILE_NON_DIRECTORY_FILE | FILE_SYNCHRONOUS_IO_NONALERT, NULL, 0);
		if (!NT_SUCCESS(status))
		{
			DbgPrint("[ERROR]   IrpCreateFile: 打开文件\n");
			return;
		}
		DbgPrint("[SUCCESS] IrpCreateFile: 打开文件\n");

		RtlZeroMemory(&iosb, sizeof(iosb));
		LARGE_INTEGER liReadOffset = { 0 };
		status = IrpReadFile(hFile, &iosb, szReadData, ulReadDataSize, &liReadOffset);	// 读取
		ulReadDataSize = iosb.Information;	// 实际读取字节数
		if (!NT_SUCCESS(status))
		{
			ObDereferenceObject(hFile);
			DbgPrint("[ERROR]   IrpReadFile: 读取文件\n");
			return;
		}
		ObDereferenceObject(hFile);
		DbgPrint("[SUCCESS] IrpReadFile: 大小 %dB [%s]\n", ulReadDataSize, szReadData);

下一篇:内核文件管理-IRP(四)文件遍历

江小辉9914
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
如何在Minifilter驱动的IRP中获取操作文件路径?
zj510的专栏
12-20 4669
如何在IRP中获取操作的文件路径?文件路径普通办法如何获取FileMapping操作在IRP_MJ_WRITE等IRP中的文件路径呢?IRP_MJ_CREATE获取文件路径并保存IRP_MJ_WRITE中获取路径 文件路径 在minifilter中,主要处理的是各种IRP,做DLP也好,做加解密也好。文件路径总是绕不开的。比如在IRP_MJ_WRITE中,绝大多数情况都得知道当前这次操作的文件路径...
强删文件--->构建IRP---->独占--->正在运行 以及磁盘读写(思路)
zhuhuibeishadiao
04-03 2882
个人比较崇拜360 一个小小的按钮下面蕴含着很多的原理 要有多么强大才能1天搞定偏移 -------致敬360 致敬MJ-001 无奈本人学业不精 只能说说“独占”和“正在运行” 打开文件 一般使用ZwCreateFile NtCreateFile 但这些函数还不够底层 使用IoCreateFile会好一些 被其它程序独占 枚举句柄表 ZwQuerySystemInformation -
驱动学习---IRP_MJ_READ与IRP_MJ_WRITE
最新发布
weixin_41693985的博客
06-09 165
【代码】驱动学习---IRP_MJ_READ与IRP_MJ_WRITE。
使用IRP进行文件操作
03-26 2673
一定要先感谢为技术的进步而付出辛勤汗水的人,感谢他们对技术的共享.一个通用IRP访问文件的十六进制编辑器(开源代码)     --   被诅咒的神(邪恶八进制信息安全团队)Windows平台内核文件访问                               --   baiyuanfan (baiyuanfan@163.com)特别感谢被诅咒的神,他写的里面包含了非常多
15.driverbase-IRP、IO_STACK_LOCATION、文件种读写方式(buffer/driect/other)、DeviceIoControl
hgy413的专栏
02-16 2452
IRP简介 文件读写种方式简介及windbg调试 DeviceIoControl与驱动交互
内核文件管理-IRP(四)文件遍历
m0_48995611的博客
01-10 693
本文讲通过向FSD发送IRP_MJ_DIRECTORY_CONTROL消息的IRP,来获取一个目录下的文件信息。 上一篇:内核文件管理-IRP()文件读写 IrpQueryDirectoryFile函数参数 该函数与之前的 IrpQueryInformationFile 和 IrpSetInformationFile 类似,仅改变 IRP 和 I/O 堆栈 的设置。 NTSTATUS IrpQueryDirectoryFile( IN PFILE_OBJECT pFileObject, //
内核文件管理-IRP(一)创建或打开文件
m0_48995611的博客
01-09 966
内核下通过直接向 FSD (File System Driver) 发送 IRP (I/O Request Packet)来管理文件,可以绕过一些 API Hook。 本文讲怎样通过向 FSD 发送 IRP_MJ_CREATE 消息的 IRP 来创建或打开文件(或目录)。 头文件及其他声明或定义 #include <ntifs.h> typedef struct _AUX_ACCESS_DATA { PPRIVILEGE_SET PrivilegesUsed; GENERIC_MAPPIN
IFS文件过滤驱动程序开发之IRP文件操作接口的终极实现代码.zip
01-28
IFS(Installable File System)文件过滤驱动程序是Windows操作系统中用于拦截和处理文件系统操作的一种内核模式组件。IRP(I/O Request Packet)是Windows内核用来在驱动程序之间传递I/O请求的结构体,它包含了I/O...
驱动开发之磁盘读写文件监控.sys驱动程序.zip
01-27
1. **驱动开发基础**:开发驱动需要深入理解Windows内核模式编程,包括IRP(I/O请求包)、设备对象、驱动队列、中断服务例程(ISR)等概念。此外,开发者还需要熟悉C或C++语言,以及特定的开发工具,如Microsoft ...
开发windows驱动程序,实现监控文件读写操作.zip
12-27
总的来说,开发Windows驱动程序来监控文件读写操作涉及的知识点广泛,包括驱动编程基础、文件系统原理、IRP处理以及内核模式编程。理解并掌握这些内容,开发者可以创建出能够有效监控系统文件活动的驱动程序。
windows内核 自创建IRP访问文件加非递归遍历文件
09-01
windows内核,自构建IRP,防止rootkey 隐藏隐藏文件或拦截,加上非递归遍历文件内核栈小不递归)代码加完整例子
内核-从IRP说起
m0_74282605的博客
02-10 301
每次调用 IoCopyCurrentStackLocationToNext()函数,就将本层的IRP stack 放当下层的IRP stack顶端,当IoCompleteRequest函数被调用也就是IRP包被处理完成之后,IRP stack 会一层层堆栈向上弹出,如果遇到IO_STACK_LOCATION的CompletionRoutine非空,则调用这个函数,另外传进这个完成例程的 是IO_STACK_LOCATION的子域Context。对于不会处理的IRP包需要提供一个默认的分 发函数来处理。
IRP管理文件
weixin_42539095的博客
11-23 188
NTSTATUS IrpCreateFile( OUT PFILE_OBJECT *ppFileObject, IN ACCESS_MASK DesiredAccess, IN PUNICODE_STRING pustrFilePath, OUT PIO_STATUS_BLOCK IoStatusBlock, IN PLARGE_INTEGER AllocationSize OPTIONAL, IN ULONG FileAttributes, IN ULONG ShareAccess, IN
64位驱动开发之读写驱动程序IRP_MJ_READ和IRP_MJ_WRITE的IO
a756598009的博客
06-13 684
读写驱动程序IRP_MJ_READ和IRP_MJ_WRITE的IO请求包(IRP)
设备驱动开发之缓冲区读写操作
iteye_8029的博客
05-01 239
在驱动程序创建设备对象时,就需要为设备指定何种读写方式。 设备对象共有种读写方式,分别是缓冲区方式读写/直接方式读写/其他方式读写 其对应的Flags设置为:DO_BUFFERED_IO/DO_DIRECT_IO/0(零值)。 缓冲区读取代码示例: //创建设备 status = IoCreateDevice( pDriverObject, sizeof(DE...
less加管道tail_Linux之cat tail less常见用法
weixin_39957934的博客
12-21 195
1.cat通常查找出错误日志 cat error.log | grep 'foo' , 这时候我们还有个需求就是输出当前这个日志的前后几行:cat error.log | grep -C 10 'foo' #显示file文件里匹配foo字串那行以及上下10行cat error.log | grep -B 10 'foo' #显示foo及前10行cat error.log | grep -A 10 ...
数据的获取 (IRP) 7.2
张昆
12-10 614
IRP数据获取
驱动中IRP_MJ_READ异步
125096
08-03 2623
EXE部分 #include #include #include #include "Ioctl.h" int main (void) { char linkname[]="\\\\.\\HelloDDK"; HANDLE hDevice = CreateFileA(linkname, GENERIC_READ | GENERIC_WRITE, 0, NULL,
文件系统驱动编程基础入门
文件系统驱动是操作系统核心的一部分,它负责管理和控制磁盘上的数据存储,使得应用程序能够高效、安全地读写文件文件系统驱动的编写是一项复杂且技术性强的工作,涉及到操作系统内核、硬件接口以及文件系统协议等...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值