获取文件对象的名称

最新推荐文章于 2024-05-22 12:14:46 发布
最新推荐文章于 2024-05-22 12:14:46 发布
阅读量5.6k 收藏 3
点赞数
文章标签: object null file c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/misterliwei/article/details/4467417
版权

获取文件对象的名称

 

一.取文件对象名称

我们可以使用函数ObQueryNameString 来查询获取文件对象(FILE_OBJECT )的名称。由于文件对象有专门的名称查询函数IopQueryName ,所以ObQueryNameString 在内部会直接调用这个函数来查询文件对象名。

 

我们还有另外一种方法比较“直接”地获得文件对象名称。我们知道:文件对象名包括驱动器名和文件路径名。

FILE_OBJECT 结构中有一个成员FileName ,它只包括文件路径名(注意:不包括驱动器名)。

FILE_OBJECT 结构中另外有一个成员DeviceObject ,它是指向DEVICE_OBJECT 的设备对象。该设备就是包含该文件的驱动器设备对象。我们可以调用ObQueryNameString 查询获取此设备对象的名称。但是设备名称的格式是这样的://Device//HarddiskvolumeX X 为数字),并不是常见的C/D/E... 驱动器名格式。这是因为我们说的驱动器名其实是上面这些设备对象的符号链接(Symbolic link) 名,我们可以通过IoVolumeDeviceToDosName (在XP/2003 等下使用,在NT/2000 下使用RtlVolumeDeviceToDosName )来将设备名称转成驱动器名。

 

但是若直接使用ObQueryNameString 查询文件对象的话,返回的名称就是设备名称和文路径名,如:/Device/HarddiskVolume1/WINDOWS/system32/smss.exe

 

此时我们是没有设备对象,所以就没有办法调用IoVolumeDeviceToDosName 来转化了,此时该怎么办?有一个比较笨的方法,就是调用ZwOpenSymbolcLink 对象对所有A~Z 字母进行打开链接对象,并调用ZwQuerySymbilicLink 来获得对应的设备对象名,并将这个设备名与上面的ObQueyNameString 返回的设备名进行比较,以此来确定驱动器名。见下面的代码片段:

 

    

RtlInitUnicodeString(&SymbolicLink, L"//??//C:");

LinkTarget.MaximumLength = 200;

LinkTarget.Buffer = ExAllocatePoolWithTag(NonPagedPool, 200, 'test');

for (c = 'A'; c <='Z'; c++)

{

     SymbolicLink.Buffer[4] = c;

     InitializeObjectAttributes(&oa, &SymbolicLink, OBJ_KERNEL_HANDLE, 0, NULL);

     Status = ZwOpenSymbolicLinkObject(&LinkHandle, GENERIC_READ, &oa);

     if (Status != STATUS_SUCCESS)

          continue;    

     Status = ZwQuerySymbolicLinkObject(LinkHandle, &LinkTarget, NULL);

     //LinkTarget 返回的就是设备名称

     ZwClose(LinkHandle);

     if (Status == STATUS_SUCCESS)

     {

          RetLength = LinkTarget.Length;

          if (RtlCompareMemory(LinkTarget.Buffer, ObjectNameInfo->Name.Buffer, RetLength) == RetLength)

          break; //ObjectNameInfo ObQueryName 返回的文件对象名

     }

}

 

ExFreePoolWithTag(LinkTarget.Buffer, 'test');

 

 

二.引申:获取进程的主程序名

首先说一下每个进程的映像名称,这不是进程对象名。在_EPROCESS 结构中有一个ImageFileName 得成员(在XPSP3 下偏移为174H, 它是一个16 个字节的数组,它就是进程的映像名称,当有名称超过15 位是就截取前15 个字节,最后一个字节为NULL

 

当需要知道进程的主程序名时,我们通过下面的关系获得该进程对应的文件对象 : EPROCESS-> SectionObject ->Segment->controlArea->FilePointer ,只有一点要注意: SectionObject Segment 结构为 _SEGMENT ,而不是 _SEGMENT_OBJECT ,这个常常搞错。

 

例如:下例就是返回进程对象对应的文件对象的过程:

VOID NTAPI GetFilePointer(PULONG ProcessObject, PULONG *FileObject)

{

     ULONG Section, Segment ,ControlArea;

     *FileObject = NULL;

     if (ProcessObject)

         Section = *(PULONG)((PCHAR)ProcessObject + 0x138);

     else

         return; 

    

     if (Section)

         Segment = *(PULONG)((PCHAR)Section + 0x14);

     else

         return;

    

     if (Segment)

         ControlArea = *(PULONG)((PCHAR)Segment + 0x0);

     else

         return;

    

     if (ControlArea)

         *FileObject = *(PULONG *)((PCHAR)ControlArea + 0x24);

}

 

misterliwei
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
ObQueryNameString一设计缺陷简述
chabaoNO1的专栏
07-18 2192
ObQueryNameString这个函数早就臭名远播啦,某文就说"这个函数的使用,在有些环境下会有问题。它的上层函数是 ZwQueryObject()。在某些情况下会导致系统挂起,或者直接 BSOD。它是从 对象管理器中的 ObpRootDirectoryObject开始遍历,通过 OBJECT_HEADER_TO_NAME_INFO 获得对象名称。今天问了下 PolyMeta好象是在处理 PIPE 时会挂启,这个问题出现在 2000 系统。在 XP 上好象补丁了。"而百度一下也多是问关于调用失败的问题,
Java获取文件夹下所有文件名称的方法示例
08-30
Java获取文件夹下所有文件名称的方法示例 Java 获取文件夹下的所有文件名称是 Java 编程中的一项基本操作。下面通过一个示例程序,讲解如何使用 Java 获取文件夹下的所有文件名称。 Java 文件和目录操作 Java 中...
FILE_OBJECT获取完整NT路径和DOS路径
zhuhuibeishadiao
11-29 4369
原作者:Tesla.Angela 链接:http://www.m5home.com/bbs/thread-8896-1-1.html 众所周知在FILE_OBJECT.FileName的路径是不带盘符的,于是网上各种QUICK AND DIRTY的代码就干脆直接从FileName里取得“无头路径”。 这种恶心的做法自然是要不得的,现在分享一下从这个结构体里取完整路径的方法。区区40行代码(还
Python -文件文件对象
waywardG的博客
03-13 615
目录 1 文件 2 文件对象 1 文件 ''' 文件存储 文件主名.扩展名 ''' Python中常有的数据文件类型有文本文件、二进制文件和CSV文件 文本文件是ASCII编码,汉子存储的是机内码 二进制是基于值变长编码的文件,不可以直接用文本编译器看 逗号分隔值(csv)文件,最好用文本编译器看 2 文件对象 字符串中的反斜杠是转义字符因此可以用两种特殊的方式表示字符串的路径 在字符串前面加r 路径字符串中的层级关系用双反斜杠表示 os.getcwd: 以字符串的形式返回当前的.
如何把所有文件名提取出来?这三个方法帮你一键搞定,再也不用一个一个去复制
最新发布
keji_fenxiang的博客
05-22 1158
其中,把所有文件名提取出来是一项非常关键的操作,它能帮助我们更好地了解文件结构,优化文件搜索,以及提高文件管理的效率。因此,我们应该从现在开始,重视文件管理工作,不断提升自己的文件管理能力,为未来的工作和生活奠定坚实的基础。需要注意的是,提取文件名只是文件管理的一个环节,要想实现文件的高效管理,还需要结合其他方法和工具。同时,我们还应定期清理和整理文件,删除不需要的冗余文件,确保文件空间的充足和整洁。它可以帮助我们全面了解文件结构,优化文件搜索,提高文件管理的效率,实现文件的批量处理和自动化管理。
34、进程对象及其他方法
zpp15603669517的博客
06-15 83
进程对象及其他方法 介绍 一台计算机上运行很多进程, 那么计算机是如何区分并管理这些进程服务端的呢 计算机会给每一个运行的进程分配一个PID号 如何查看 windows电脑 进入cmd输入tasklist即可查看 tasklist | findstr PID 查看你具体的进程 mac 进入终端之后输入ps aux ps aux | grep PID 查看具体的进程 from multiprocessing import Process, current_process import
ObQueryNameString源码解读
misterliwei的专栏
08-20 5638
ObQueryNameString源码解读ObQueryNameString返回指定内核对象名称。该函数只返回命名对象名称和拥有查询函数的对象名称,其他所有的对象都返回空结构。下一步是函数的步骤:第一步.先检查内核对象是否有专门的名称查询函数QueryNameProcedure函数,有则调用此函数并返回。WIXP中只有KEY和FILE对象         有专门的名称查询函数。第二步.检查是
jQuery获取上传文件名称的正则表达式
10-24
在Web开发中,经常会涉及到文件上传。文件上传时通常都要验证文件的有效性,这个通常就要用正则表达式来判断。
原生JS上传文件获取文件二进制数据及文件大小和文件名称
07-07
文件对象有一个`name`属性,可以用来获取文件名称: ```javascript const fileName = file.name; console.log(`选定的文件名为:${fileName}`); ``` **获取文件大小:** 文件对象的`size`属性表示文件的大小,...
C#读取文件夹下所有文件名称,大小及其它属性
03-17
实现思路:实例化DirectoryInfo对象获取指定目录下的所有子目录及文件类型,/判断是否是文件夹,使用获取文件名称实例化DirectoryInfo对象,为ListView控件添加文件夹信息,以列表形式显示文件夹的名称文件...
易语言文件系统对象类模块
08-16
4. **取驱动名**:获取文件或目录所在驱动器的名称,例如"C:"。这对于定位文件的位置至关重要。 5. **取父文件夹名**:获取当前文件或目录的上级目录路径。这对于遍历文件系统层次结构非常有用。 6. **取文件名**...
Ring3 调用 NtQueryObject 获得文件句柄对应的对象名时调用线程死锁的原因
商少
10-03 2114
之前遗留的一个问题http://blog.csdn.net/qq_18218335/article/details/76400680         之前实现Ring3 查找文件占用的时候发现对部分句柄进行NtQueryObject 操作的时候会造成调用者线程挂起,从Ring3 解决问题的方法就是生成一个单独的工作线程,代替我们执行NtQueryObject 函数,如果工作线程挂起,则调用Kill
ObQueryNameString routine
死胖子的博客
02-13 1011
ObQueryNameString routine ObQueryNameString 例程返回一个调用者指定的对象的名字(如果有)。 Syntax   NTSTATUS ObQueryNameString( _In_ PVOID Object, _Out_opt_ POBJECT_NAME_INFORMATION ObjectN
第二十四课_遍历windows对象目录
05-18 1732
#include "ntddk.h" #define MAX_TABLE 37 #define MAX_OBJECT_COUNT 0x10000 typedef ULONG DEVICE_MAP; typedef ULONG EX_PUSH_LOCK; typedef struct _OBJECT_DIRECTORY_ENTRY{
完全反截屏
热门推荐
flyingleo1981的专栏
07-26 1万+
把一些高手的语录总结一下:   控制所有截屏软件肯定是不可能的。但可以用相当小的代价来禁止尽可能多的截屏。 分析截屏软件的行为,可得出截屏基本有两种方式。 1. 通过剪贴板 2. 直接截取屏幕中的某一部分保存成图像文件 针对以上两种可做如下的防护: 1. 监控剪贴板变化 (SetClipboardViewer) ,发现剪贴板发生变化后,看剪贴板中是否有图片,如果有,清空它。 2
WhoUseMe 驱动实现
商少
07-30 605
前面写过一个应用层的查找谁占用了我们的文件的程序WhoUseMe http://blog.csdn.net/qq_18218335/article/details/62884657 从文中截图可以看出来,普通的应用层程序虽然可以达到枚举句柄的目的,但是对于一部分具有特殊权限的文件及端口句柄来说,调用NtQueryObject函数可能导致线程挂起,对此我们的解决办法是让一个单独的线程执行N
Filemon中获取文件全路径方法
Tommy(凌飞)的专栏
01-09 2076
     FileMon中获取文件全路径的方法中最为关键的技术是通过自己下发IRP给下层驱动。下发请求的cmd为FileNameInformation或其他,具体请看代码。而在filespy中的获取的全路径的方法是通过ObQueryNameString()函数得到的。ObQueryNameString这个函数只能在打开IRP(IRP_MJ_CREATE)和清除(IRP_MJ_CLEANUP)或者关
一个简单的文件系统过滤驱动框架
Henzox的专栏
07-23 9208
一个简单的文件系统过滤驱动,抛去了大部分细节,留下了一个简单的框架,其实文件系统过滤驱动蛮简单的,很多接口可以不用实现,只要知道大致流程,其它都将会很清晰。
Windows文件过滤驱动开发
死胖子的博客
02-22 5408
原文地址:http://blog.sina.com.cn/s/blog_7785041f0101jekb.html Windows文件过滤驱动开发   由于项目需要,这十天做了个Windows文件过滤驱动, 感觉windows下的驱动也不是那么的神秘, Mirosoft可以说是把API做到了极致(尽管有时真的是没必要), 他们喜欢把API包装了又包装, 不
MultipartFile对象如何获取文件名称
12-14
MultipartFile对象可以通过调用getOriginalFilename()方法来获取文件名称。例如: ```java MultipartFile file = ... // 获取MultipartFile对象 String fileName = file.getOriginalFilename(); // 获取文件名称 ```...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值