内核删除,拷贝文件

最新推荐文章于 2023-07-14 17:50:59 发布
最新推荐文章于 2023-07-14 17:50:59 发布
阅读量292 收藏
点赞数
文章标签: 信息安全 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49762339/article/details/129127617
版权 
//最简单的删除操作,局限性:如果被占用则无法删除,file_path要加上头:\\??\\C
NTSTATUS KenelDeleteFile(PCHAR file_path) {
	UNICODE_STRING filepath = { 0 };
	NTSTATUS status = STATUS_SUCCESS;
	OBJECT_ATTRIBUTES obja = { 0 };
	RtlInitUnicodeString(&filepath, file_path);
	InitializeObjectAttributes(&obja, &filepath, OBJ_CASE_INSENSITIVE, NULL, NULL);
	status = ZwDeleteFile(&obja);
	if (!NT_SUCCESS(status)) {
		DbgPrint("[info] Delete file Fail~");
		return STATUS_UNSUCCESSFUL;
	}
	DbgPrint("[info] Delete file Success~");

	return STATUS_SUCCESS;
}

//。。。。。。。
//调用:
	KenelDeleteFile(L"\\??\\C:\\123.exe");

内核拷贝(直接拷贝不适用于大文件)

//内核拷贝
NTSTATUS KernelCopyFile(PWCHAR de_file_path, PWCHAR sour_file_path) {
	//Zw-----》检查参数 检查发起操作的模式-----》Nt函数
	NTSTATUS status = STATUS_SUCCESS;
	HANDLE hsourfile = NULL;

	UNICODE_STRING sourfilepath = { 0 };
	
	OBJECT_ATTRIBUTES sourobja = { 0 };

	IO_STATUS_BLOCK souriosb = { 0 };

	RtlInitUnicodeString(&sourfilepath, sour_file_path);
	InitializeObjectAttributes(&sourobja, &sourfilepath, OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE, NULL, NULL);
	status = ZwOpenFile(&hsourfile, GENERIC_ALL, &sourobja, &souriosb, FILE_SHARE_READ | FILE_SHARE_WRITE, FILE_SYNCHRONOUS_IO_NONALERT);
	if (!NT_SUCCESS(status)) {
		DbgPrint("[info] Open Source file Fail~");
		return STATUS_UNSUCCESSFUL;
	}

	FILE_STANDARD_INFORMATION fbi = { 0 };
	status = ZwQueryInformationFile(hsourfile, &souriosb, &fbi, sizeof(FILE_STANDARD_INFORMATION), FileStandardInformation);
	if (!NT_SUCCESS(status)) {
		DbgPrint("[info] QueryInformation Source file Fail~");
		ZwClose(&hsourfile);
		return STATUS_UNSUCCESSFUL;
	}

	PVOID filebuffer = NULL;
	filebuffer = ExAllocatePool(NonPagedPool, fbi.EndOfFile.QuadPart);
	if (!filebuffer) {
		DbgPrint("[info] Allocate Buffer Fail~");
		ZwClose(&hsourfile);
		return STATUS_UNSUCCESSFUL;
	}

	RtlZeroMemory(filebuffer, fbi.EndOfFile.QuadPart);

	LARGE_INTEGER readoffset = { 0 };
	readoffset.QuadPart = 0;
	status = ZwReadFile(hsourfile, NULL, NULL, NULL, &souriosb,filebuffer,fbi.EndOfFile.QuadPart,&readoffset,NULL);
	if (!filebuffer) {
		DbgPrint("[info] read FileFailed:%x\n", status);
		ZwClose(hsourfile);
		ExFreePool(filebuffer);
		return STATUS_UNSUCCESSFUL;
	}
	DbgPrint("[info] ----IoInfo---%d\n", souriosb.Information);
	ZwClose(hsourfile);


	//
	// 创建新文件
	//
	HANDLE hdefile = NULL;
	UNICODE_STRING defilepath;
	OBJECT_ATTRIBUTES deobja = {0};
	IO_STATUS_BLOCK deiosb = { 0 };

	RtlInitUnicodeString(&defilepath, de_file_path);
	InitializeObjectAttributes(&deobja, &defilepath, OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE, NULL, NULL);
	status = ZwCreateFile(&hdefile,GENERIC_ALL,&deobja,&deiosb,NULL,FILE_ATTRIBUTE_NORMAL,FILE_SHARE_WRITE,FILE_SUPERSEDE, FILE_SYNCHRONOUS_IO_NONALERT,NULL,0);
	if (!NT_SUCCESS(status)) {
		DbgPrint("Create File Failed:%x\n");
		ExFreePool(filebuffer);
		ZwClose(hdefile);
		return STATUS_UNSUCCESSFUL;
	}
	LARGE_INTEGER writeoffset = { 0 };
	status = ZwWriteFile(hdefile, NULL, NULL, NULL, &deiosb, filebuffer, fbi.EndOfFile.QuadPart, &writeoffset, NULL);
	if (!NT_SUCCESS(status)) {
		DbgPrint("Write File Failed:%x\n");
		ExFreePool(filebuffer);
		ZwClose(hdefile);
		return STATUS_UNSUCCESSFUL;
	}
	DbgPrint("------Write:------%d\n",deiosb.Information);
	ExFreePool(filebuffer);
	ZwClose(hdefile);
	return STATUS_SUCCESS;
}

分段拷贝

//内核拷贝
NTSTATUS KernelCopyFile(PWCHAR de_file_path, PWCHAR sour_file_path) {
	//Zw-----》检查参数 检查发起操作的模式-----》Nt函数
	NTSTATUS status = STATUS_SUCCESS;
	HANDLE hsourfile = NULL;
	UNICODE_STRING sourfilepath = { 0 };
	OBJECT_ATTRIBUTES sourobja = { 0 };
	IO_STATUS_BLOCK souriosb = { 0 };


	//打开源文件
	RtlInitUnicodeString(&sourfilepath, sour_file_path);
	InitializeObjectAttributes(&sourobja, &sourfilepath, OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE, NULL, NULL);
	status = ZwOpenFile(&hsourfile, GENERIC_ALL, &sourobja, &souriosb, FILE_SHARE_READ | FILE_SHARE_WRITE, FILE_SYNCHRONOUS_IO_NONALERT);
	if (!NT_SUCCESS(status)) {
		DbgPrint("[info] Open Source file Fail~");
		return STATUS_UNSUCCESSFUL;
	}

	//获取源文件信息
	FILE_STANDARD_INFORMATION fbi = { 0 };
	status = ZwQueryInformationFile(hsourfile, &souriosb, &fbi, sizeof(FILE_STANDARD_INFORMATION), FileStandardInformation);
	if (!NT_SUCCESS(status)) {
		DbgPrint("[info] QueryInformation Source file Fail~");
		ZwClose(&hsourfile);
		return STATUS_UNSUCCESSFUL;
	}




	//
	// 创建新文件
	//
	HANDLE hdefile = NULL;
	UNICODE_STRING defilepath;
	OBJECT_ATTRIBUTES deobja = {0};
	IO_STATUS_BLOCK deiosb = { 0 };

	RtlInitUnicodeString(&defilepath, de_file_path);
	InitializeObjectAttributes(&deobja, &defilepath, OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE, NULL, NULL);
	status = ZwCreateFile(&hdefile,GENERIC_ALL,&deobja,&deiosb,NULL,FILE_ATTRIBUTE_NORMAL,FILE_SHARE_WRITE,FILE_SUPERSEDE, FILE_SYNCHRONOUS_IO_NONALERT,NULL,0);
	if (!NT_SUCCESS(status)) {
		DbgPrint("Create File Failed:%x\n");
		ExFreePool(filebuffer);
		ZwClose(hdefile);
		return STATUS_UNSUCCESSFUL;
	}

	//创建缓冲区
	PVOID filebuffer = NULL;
	filebuffer = ExAllocatePool(NonPagedPool, BUFFERSIZE);
	if (!filebuffer) {
		DbgPrint("[info] Allocate Buffer Fail~");
		ZwClose(&hsourfile);
		return STATUS_UNSUCCESSFUL;
	}

	//分段拷贝文件
	LARGE_INTEGER readoffset = { 0 };
	LARGE_INTEGER writeoffset = { 0 };
	readoffset.QuadPart = 0;//读偏移
	writeoffset.QuadPart = 0;

	while (readoffset.QuadPart < fbi.EndOfFile.QuadPart)
	{
		RtlZeroMemory(filebuffer, BUFFERSIZE);
		LONGLONG buffsize = readoffset.QuadPart + BUFFERSIZE < fbi.EndOfFile.QuadPart ? BUFFERSIZE : (fbi.EndOfFile.QuadPart - readoffset.QuadPart);
		status = ZwReadFile(hsourfile, NULL, NULL, NULL, &souriosb, filebuffer, buffsize, &readoffset, NULL);
		if (!filebuffer) {
			DbgPrint("[info] read FileFailed:%x\n", status);
			ZwClose(hsourfile);
			ExFreePool(filebuffer);
			return STATUS_UNSUCCESSFUL;
		}
		status = ZwWriteFile(hdefile, NULL, NULL, NULL, &deiosb, filebuffer, buffsize, &writeoffset, NULL);
		if (!NT_SUCCESS(status)) {
			DbgPrint("Write File Failed:%x\n");
			ExFreePool(filebuffer);
			ZwClose(hdefile);
			return STATUS_UNSUCCESSFUL;
		}
		readoffset.QuadPart += buffsize;
		writeoffset.QuadPart += buffsize;

	}


	ZwClose(hsourfile);
	ZwClose(hdefile);
	DbgPrint("------Copy Over------%d\n");
	ExFreePool(filebuffer);

	return STATUS_SUCCESS;
}
k_i_k_i
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Linux如何在内核删除文件,Linux内核态下的文件操作
weixin_29333353的博客
04-29 1488
在VFS的支持下,用户态进程读写任何类型的文件系统都可以使用read和write着两个系统调用,但是在linux内核中没有这样的系统调用我们如何操作文件呢?我们知道read和write在进入内核态之后,实际执行的是sys_read和sys_write,但是查看内核源代码,发现这些操作文件的函数都没有导出(使用EXPORT_SYMBOL导出),也就是说在内核模块中是不能使用的,那如何是好?通过查看s...
linux内核系统调用创建和删除文件
weixin_44698673的博客
07-11 2206
linux内核提供的创建和删除函数的系统调用
将新的驱动源文件添加进android内核进行编译
aiqieer2126的博客
02-18 194
1,同目录下的makefile,如 ## Makefile for industrial I/O Magnetometer sensors#obj-$(CONFIG_SENSORS_AK8975) += ak8975.oobj-$(CONFIG_SENSORS_HMC5843) += hmc5843.o 2,同目录下的kconfig #...
用户和内核的数据拷贝
m0_49415349的博客
04-18 225
字符设备驱动
KERNEL_DIR、系统平台、交叉编译器的指定,以及内核模块驱动文件的签名
周翔的专栏
06-01 3891
在为android编译ko包并使用insmod加载过程中遇到两个问题,记录如下。【问题一:KERNEL_DIR、系统平台、交叉编译器的指定】android编译ko包实际与linux编译ko没有区别,首先编写.c .h文件等,之后编写makefile文件,makefile中KERNEL_DIR为kernel编译后产生的临时文件夹的目录,有些系统工程会重定向生成的内核临时文件目录,所以不能简单的吧KE...
Linux下使用内核源码单独编译某一模块
bingyu的博客
07-15 9076
Linux下使用内核源码单独编译某一模块 初衷:由于ubuntu1604安装版本没有 IGMP Snooping的模块,所以研究了一下此功能。 首先下载需要的内核源码,参看上一篇文章(https://blog.csdn.net/bingyu9875/article/details/95946968) 本文章只介绍如何编译某个内核的模块: 1. 查看config配置项 进入需要编译的目录,我的目录是...
Fastcopy(最快的文件拷贝复制工具) 3.25(x32).rar
04-08
用户可以轻松设置源文件和目标路径,选择不同的拷贝模式(如仅文件、仅目录或整个目录结构),以及自定义操作选项,如删除文件、比较文件大小等。此外,Fastcopy还支持多任务同时进行,用户可以同时启动多个拷贝...
PCHunter支持内核驱动模块的内存拷贝
04-28
内核驱动模块查看,支持内核驱动模块的内存拷贝  3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Nsiproxy、Tdx、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,并能检测和恢复ssdt hook和inline hook  4....
linux内核编译,基于ubuntu系统
06-20
在编译内核之前,我们需要净化内核,以删除之前的编译中间文件。我们可以使用以下命令来净化内核: ```bash sudo make mrproper ``` 九、编译配置文件 在编译内核之前,我们需要编译配置文件。我们可以使用以下...
Linux二级文件系统模拟
08-20
开发者可能通过实现`java.nio.file.FileSystem`接口来构建一个符合Unix风格的文件系统模型,支持常见的文件操作,如创建、删除、读写等。 综上所述,这个项目涉及到Linux操作系统中的高级文件系统概念,尤其是...
Linux内核内核编译.pdf
09-06
请把需要升级的内核拷贝到/usr/src/下,然后解压下载的源程序文件删除符号链接,查看当前/usr/src/的内容,删除符号链接,解压下载的源程序文件,生成configure文件,编译内核,安装内核模块,最后安装新的内核。...
内核开发需要用到的高频复制指令
最新发布
keke_Memory的博客
07-14 247
以上工具和命令可用于在内核开发过程中实现本地到远程服务器的文件或目录复制。根据您的具体需求和环境,请选择适合的工具和命令进行远程复制操作。是一个强大的文件同步和复制工具,可通过SSH协议实现远程文件复制。它可以高效地同步本地和远程文件,并仅复制已更改的部分。这些命令是内核开发过程中常用的文件复制命令,可以根据具体的需求和场景选择使用。它可以在本地计算机和远程服务器之间复制文件和目录。命令用于在本地和远程系统之间同步和复制文件。命令,通过将文件传输管道重定向到远程服务器上的命令来实现远程复制。
内核 复制文件
qq_41071646的博客
01-12 731
在上一篇的时候我学会了  读取文件 还有查询文件大小 写入文件等  然后想写一些代码 比如文件复制的 什么 的  然后 我昨天 决心学 X64的驱动了 然后昨天也把win7 X64的双机调试  搞定了   然后开始了 写win7 X64驱动的第一天 其实 x64 和x86都是差不多的  只不过  x64有些数据结构 重写了  如果 还用 x86 的 可能就凉了      然后 先看  个 ...
内核文件操作
热门推荐
奔跑的蜗牛
05-30 2万+
有时候需要在Linux kernel--大多是在需要调试的驱动程序--中读写文件数据。在kernel中操作文件没有标准库可用,需要利用kernel的一些函数,这些函数主 要有: filp_open() filp_close(), vfs_read() vfs_write(),set_fs(),get_fs()等,这些函数在linux/fs.h和asm/uaccess.h头文件中声明。下面介绍主 要
内核文件操作
chm880910的专栏
04-19 1239
一 内核文件操作1.filp_open()打开文件struct file * filp_open(const char * name, int open_mode, int mode) 参数说明: name:要打开或创建的文件名(包含路径) open_mode:文件打开方式,O_CREAT,O_RDWR,ORDONLY等。 mode:创建文件时使用,设置文件权限,其他情况可设为02.读写文件ker...
linux学习之路 删除内核中的文件
swf0414的博客
10-07 1128
不知道为啥,一段时间linux系统一直提醒boot内存不足,200M只剩下3M,刚开始没在意,但是时间长了弄得有点不爽开始对这个东西进行清理,于是有点傻的做了一下的操作: 也不知道是不是正确,正在学习,算是记录自己成长路上的点点滴滴吧,如果有大神看见还请指点一下,谢谢 第一步: 原本里面有个 linux-image-4.8.0-36-generic 版本的镜像文件,我
Windows删除文件的实现分析
温研的专栏 (探索OS内核的奥秘)
08-06 6724
Windows删除文件的实现方式本质上有以下两种:1. 使用FILE_DELETE_ON_CLOSE   ZwCreateFile和IoCreateFile的CreateOptions 参数可以通过使用FILE_DELETE_ON_CLOSE标志来实现删除文件的功能。顾名思义,使用此标志打开的文件在关闭时会删除文件。   如要在文件过滤驱动中判断是否设置了FILE_DELETE_ON_CLOS
linux内核 删除文件_Linux内核与根文件系统的关系详解
weixin_39744894的博客
01-30 411
Linux内核与根文件系统的关系 开篇题外话:对于Linux初学者来说,这是一个很纠结的问题,但这也是一个很关键的问题!一语破天机: “尽管内核是 Linux 的核心,但文件却是用户与操作系统交互所采用的主要工具。这对 Linux 来说尤其如此,这是因为在 UNIX 传统中,它使用文件 I/O 机制管理硬件设备和数据文件。”一.什么是文件系统文件系统指文件存在的物理空间,linux系统中每个分区都...
强制删除文件(1)——直接发IRP到文件系统
北极星2003的专栏
06-11 6263
学习资料:http://www.antiprotect.com/forum_posts.asp?TID=95上面这个连接中的DEMO是比较完整软件,这里我把其中发IRP强制删除文件的部分抽出来了,学习了下,顺便加点注释。这个程序比较简单,主要练习了两个点:(1)模拟发送IRP(2)使用内核事件对象同步IRP的执行强制删除文件的思路很简单,把SECTION_OBJECT_POINTERS结构
如何进行linux内核裁剪
06-13
4. 安装内核:可以使用make install命令安装内核,或者手动将bzImage文件拷贝到/boot目录下,并修改grub配置文件。 5. 测试内核:重启电脑,选择新安装的内核启动,验证系统是否正常运行。 需要注意的是,裁剪内核...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值