强制删除文件(1)——直接发IRP到文件系统

最新推荐文章于 2024-02-05 21:10:28 发布
最新推荐文章于 2024-02-05 21:10:28 发布
阅读量978 收藏
点赞数
文章标签: null object file delete pointers attributes

上面这个连接中的DEMO是比较完整软件,这里我把其中发IRP强制删除文件的部分抽出来了,
学习了下,顺便加点注释。这个程序比较简单,主要练习了两个点:
(1)模拟发送IRP
(2)使用内核事件对象同步IRP的执行

强制删除文件的思路很简单,把SECTION_OBJECT_POINTERS结构的DataSectionObject和ImageSectionObject两个域清空即可删除正在运行的文件。如果不清空就不能删除运行中的文件。正在运行的文件的这两个域值不为0而文件系统正在根据这两个域决定该文件是否可以删除。如果文件系统检测这两个值为0,就理解为文件没有被使用,可以删除。接下去,就是直接发IRP。

测试时,在C盘目录下放一个test.exe并执行,然后加载驱动即可。
强制删除文件功能在ForceDeleteFile中实现,DriverEntry中只需要简单调用即可。具体实现如下
NTSTATUS DriverEntry(
 IN OUT PDRIVER_OBJECT DriverObject,
 IN PUNICODE_STRING RegistryPath
 )
{
 // 其他初始化代码
 // ……

 DbgPrint ( "Delete File %s", ForceDeleteFile(L"//DosDevices//C://test.exe") ? "Success!" : "Failed!" ) ;
 return STATUS_SUCCESS;
}

NTSTATUS FD_SetFileCompletion(
  IN PDEVICE_OBJECT DeviceObject,
  IN PIRP Irp,
  IN PVOID Context
  )
{
 Irp->UserIosb->Status = Irp->IoStatus.Status;
 Irp->UserIosb->Information = Irp->IoStatus.Information;

 KeSetEvent ( Irp->UserEvent, IO_NO_INCREMENT, FALSE ) ;

 IoFreeIrp(Irp);
 return STATUS_MORE_PROCESSING_REQUIRED;
}

HANDLE FD_OpenFile ( WCHAR szFileName[] )
{
 NTSTATUS ntStatus ;
 UNICODE_STRING FileName ;
 OBJECT_ATTRIBUTES objectAttributes;
 HANDLE hFile ;
 IO_STATUS_BLOCK ioStatus ;

 // 确保IRQL在PASSIVE_LEVEL上
 if (KeGetCurrentIrql() > PASSIVE_LEVEL)
  return NULL;

 // 初始化文件名
 RtlInitUnicodeString ( &FileName, szFileName ) ;
 DbgPrint ( "%ws", FileName.Buffer ) ;

 //初始化对象属性
 InitializeObjectAttributes ( &objectAttributes, &FileName,OBJ_KERNEL_HANDLE|OBJ_CASE_INSENSITIVE, NULL, NULL ) ;

 // 打开文件
 ntStatus = IoCreateFile ( &hFile, FILE_READ_ATTRIBUTES, &objectAttributes, &ioStatus, /
  0,FILE_ATTRIBUTE_NORMAL,FILE_SHARE_DELETE,FILE_OPEN,0,NULL,0,CreateFileTypeNone,NULL,IO_NO_PARAMETER_CHECKING);
 if ( !NT_SUCCESS(ntStatus) )
  return NULL ;

 return hFile ;
}

BOOLEAN FD_StripFileAttributes ( HANDLE FileHandle )
{
 NTSTATUS ntStatus = STATUS_SUCCESS;
 PFILE_OBJECT fileObject;
 PDEVICE_OBJECT DeviceObject;
 PIRP Irp;
 KEVENT SycEvent;
 FILE_BASIC_INFORMATION FileInformation;
 IO_STATUS_BLOCK ioStatus;
 PIO_STACK_LOCATION irpSp;

 // 获取文件对象
 ntStatus = ObReferenceObjectByHandle ( FileHandle, DELETE,
  *IoFileObjectType, KernelMode, (PVOID*)&fileObject, NULL) ;
 if ( !NT_SUCCESS(ntStatus) )
 {
  DbgPrint ( "ObReferenceObjectByHandle error!" ) ;
  return FALSE;
 }

 // 获取与指定文件对象相关联的设备对象
 DeviceObject = IoGetRelatedDeviceObject ( fileObject ) ;

 // 创建IRP
 Irp = IoAllocateIrp ( DeviceObject->StackSize, TRUE ) ;
 if ( Irp == NULL ) 
 {
  ObDereferenceObject(fileObject);

  DbgPrint ( "FD_StripFileAttributes IoAllocateIrp error" ) ;
  return FALSE;
 }

 // 初始化同步事件对象
 KeInitializeEvent ( &SycEvent, SynchronizationEvent, FALSE ) ;

 memset ( &FileInformation, 0, 0x28 ) ;
 FileInformation.FileAttributes = FILE_ATTRIBUTE_NORMAL;

 // 初始化IRP
 Irp->AssociatedIrp.SystemBuffer = &FileInformation;
 Irp->UserEvent = &SycEvent;
 Irp->UserIosb = &ioStatus;
 Irp->Tail.Overlay.OriginalFileObject = fileObject;
 Irp->Tail.Overlay.Thread = (PETHREAD)KeGetCurrentThread();
 Irp->RequestorMode = KernelMode;

 // 设置IRP堆栈信息
 irpSp = IoGetNextIrpStackLocation(Irp);
 irpSp->MajorFunction = IRP_MJ_SET_INFORMATION;
 irpSp->DeviceObject = DeviceObject;
 irpSp->FileObject = fileObject;
 irpSp->Parameters.SetFile.Length = sizeof(FILE_BASIC_INFORMATION) ;
 irpSp->Parameters.SetFile.FileInformationClass = FileBasicInformation;
 irpSp->Parameters.SetFile.FileObject = fileObject ;

 // 设置完成例程
 IoSetCompletionRoutine ( Irp, FD_SetFileCompletion ,NULL, TRUE, TRUE, TRUE ) ;

 // 派发IRP
 IoCallDriver(DeviceObject, Irp);

 // 等待IRP的完成
 KeWaitForSingleObject ( &SycEvent, Executive, KernelMode, TRUE, NULL ) ;

 // 递减引用计数
 ObDereferenceObject(fileObject);

 return TRUE ;
}

BOOLEAN FD_DeleteFile ( HANDLE FileHandle )
{
 NTSTATUS ntStatus = STATUS_SUCCESS;
 PFILE_OBJECT fileObject;
 PDEVICE_OBJECT DeviceObject;
 PIRP Irp;
 KEVENT SycEvent ;
 FILE_DISPOSITION_INFORMATION FileInformation;
 IO_STATUS_BLOCK ioStatus;
 PIO_STACK_LOCATION irpSp;
 PSECTION_OBJECT_POINTERS pSectionObjectPointer;  

 // 获取文件对象
 ntStatus = ObReferenceObjectByHandle ( FileHandle, DELETE,
  *IoFileObjectType, KernelMode, (PVOID*)&fileObject, NULL) ;
 if ( !NT_SUCCESS(ntStatus) )
 {
  DbgPrint ( "ObReferenceObjectByHandle error!" ) ;
  return FALSE;
 }

 // 获取与指定文件对象相关联的设备对象
 DeviceObject = IoGetRelatedDeviceObject ( fileObject ) ;

 // 创建IRP
 Irp = IoAllocateIrp ( DeviceObject->StackSize, TRUE ) ;
 if (Irp == NULL)
 {
  ObDereferenceObject ( fileObject ) ;
  DbgPrint ( "FD_DeleteFile IoAllocateIrp error" ) ;
  return FALSE;
 }

 // 初始化同步事件对象
 KeInitializeEvent ( &SycEvent, SynchronizationEvent, FALSE ) ;

 FileInformation.DeleteFile = TRUE;

 // 初始化IRP
 Irp->AssociatedIrp.SystemBuffer = &FileInformation;
 Irp->UserEvent = &SycEvent;
 Irp->UserIosb = &ioStatus;
 Irp->Tail.Overlay.OriginalFileObject = fileObject;
 Irp->Tail.Overlay.Thread = (PETHREAD)KeGetCurrentThread();
 Irp->RequestorMode = KernelMode;

 // 设置IRP堆栈
 irpSp = IoGetNextIrpStackLocation(Irp);
 irpSp->MajorFunction = IRP_MJ_SET_INFORMATION;
 irpSp->DeviceObject = DeviceObject;
 irpSp->FileObject = fileObject;
 irpSp->Parameters.SetFile.Length = sizeof(FILE_DISPOSITION_INFORMATION);
 irpSp->Parameters.SetFile.FileInformationClass = FileDispositionInformation;
 irpSp->Parameters.SetFile.FileObject = fileObject;

 // 设置完成例程
 IoSetCompletionRoutine ( Irp, FD_SetFileCompletion, NULL, TRUE, TRUE, TRUE ) ;

 // 如果没有这3行,就无法删除正在运行的文件
 pSectionObjectPointer = fileObject->SectionObjectPointer;
 pSectionObjectPointer->ImageSectionObject = 0;
 pSectionObjectPointer->DataSectionObject = 0;

 // 派发IRP
 IoCallDriver ( DeviceObject, Irp ) ;

 // 等待IRP完成
 KeWaitForSingleObject ( &SycEvent, Executive, KernelMode, TRUE, NULL);

 // 递减引用计数
 ObDereferenceObject ( fileObject ) ;

 return TRUE ;
}

BOOLEAN ForceDeleteFile ( WCHAR szFileName[] )
{
 HANDLE hFile = NULL ;
 BOOLEAN status = FALSE ;

 __try {
  // 打开文件
  if ( ( hFile = FD_OpenFile( szFileName ) ) == NULL )
  {
  DbgPrint ( "FD_OpenFile error!" ) ;
  return FALSE ;
  }

  // //去掉只读属性,才能删除只读文件
  if ( FD_StripFileAttributes(hFile) == FALSE )
  {
  ZwClose ( hFile ) ;
  DbgPrint ( "FD_StripFileAttributes error!" ) ;
  return FALSE ;
  }

  // 删除文件
  status = FD_DeleteFile(hFile) ;
  ZwClose ( hFile ) ;

  return status ;

 } __except ( 1 ) {
  DbgPrint ( "execption!" ) ;
 }

 return FALSE ;
}

mrchenking
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
强删文件--->构建IRP---->独占--->正在运行 以及磁盘读写(思路)
zhuhuibeishadiao
04-03 2860
个人比较崇拜360 一个小小的按钮下面蕴含着很多的原理 要有多么强大才能1天搞定偏移 -------致敬360 致敬MJ-001 无奈本人学业不精 只能说说“独占”和“正在运行” 打开文件 一般使用ZwCreateFile NtCreateFile 但这些函数还不够底层 使用IoCreateFile会好一些 被其它程序独占 枚举句柄表 ZwQuerySystemInformation -
强制删除文件——直接IRP文件系统
勿在浮沙筑高台
03-16 1261
     学习资料:http://www.antiprotect.com/forum_posts.asp?TID=95     上面这个连接中的DEMO是比较完整软件,这里我把其中IRP强制删除文件的部分抽出来了,学习了下,顺便加点注释。这个程序比较简单,主要练习了两个点:(1)模拟IRP(2)使用内核事件对象同步IRP的执行     强制删除文件的思路很简单,把SECTION_OB
RING0.zip_ring0_强制删除_文件强删_驱动删除_驱动强删
07-14
强删文件RING0代码,驱动强制删除文件
IFS文件过滤驱动程序开IRP文件操作接口的终极实现代码.zip
01-28
它的主要任务是拦截文件系统操作,如读写、创建、删除等,从而实现数据保护、日志记录、权限控制等功能。 2. **IRP的理解与操作**: IRP是内核模式I/O操作的核心,包含了请求类型(如IRP_MJ_READ、IRP_MJ_WRITE)、...
windows内核 自创建IRP访问文件加非递归遍历文件
09-01
在Windows操作系统中,内核是系统的核心部分,负责管理和调度系统资源,包括处理硬件中断、管理内存、调度进程以及提供设备驱动程序接口等。IRP(I/O Request Packet,I/O请求包)是Windows内核模式下进行I/O操作的...
自己开的加密文件系统(驱动程序源码)
11-20
在IT领域,文件加解密系统是至关重要的技术,它涉及到数据安全、隐私保护以及信息传输的保密性。本文将详细解析一个自开文件加解密系统,特别是基于驱动程序实现的源代码。 首先,我们要理解“驱动程序”在操作...
论文研究-基于Windows2000的过滤器驱动程序实现的硬盘文件加密系统.pdf
07-22
在信息时代,由于Internet和其他信息传播媒体的存在,计算机数据安全问题日益突出。控制数据的安全包括两方面:一方面如何控制数据的非自主流向,即如何控制数据不被心怀叵测者用不正当手段获得;...
文件系统驱动大部分源码
10-26
文件系统驱动是操作系统的核心组成部分,它负责管理和控制磁盘上的数据读写操作,以及文件的创建、删除、打开、关闭等操作。对于Windows XP、Server 2000和2003这样的操作系统文件系统驱动(FSD)是Windows内核...
强制删除一个文件的驱动程序
12-12
可以强制删除一个正在运行的文件的驱动程序,已经调试通过。适合初学者
运行状态强制删除文件自身【模块 例子】
12-20
自身运行的状态下,强制删除正在运行的自身文件!!自身运行的状态下,强制删除正在运行的自身文件!!
强制删除文件
01-11
把要删除文件或者目录拖放到这个bat文件的图标上就可以删除了!
Unlocker(强制删除文件 顽固文件删除工具 解锁)V1.9.2x64位
01-06
 Unlocker是一款非常强力的强制删除文件的工具软件,当你重命名或删除一个文件/文件夹时,Windows 弹出对话框提示你“无法删除 xxx:它正在被其它用户/程序使用!”,怎么办? 使用Unlocker ,你就可以轻松、方便、有效地解决这个虽小但很烦人的问题! 同类的工具中,综合易用性、功能强度,此款是目前较好的!
force_delete:强制删除文件; 没有警告:找不到文件或权限被拒绝。-matlab开
05-30
场景图: 您已经两次打开同一个文件,首先是为了写入,然后是为了读取,您现在有一个文件的两个文件标识符。 但是您“放错了”您正在使用的文件标识符之一。 您对剩余的文件标识符使用 fclose ,但想知道为什么在尝试删除文件时会收到“找不到文件或权限被拒绝”警告。 是的,您可以使用 fclose('all') ,但随后您也将关闭您打开的所有其他文件。 只需使用: force_delete(filename) 它将找到与您的文件关联的所有文件标识符,将它们全部关闭,然后删除您的文件。 如果要删除文件在 MATLAB 之外的程序中打开,则将不起作用
Windows强制删除文件的方法
热门推荐
zjp的博客
04-28 3万+
强制删除文件的方法 亲测使用过,可以删除删除文件时,遇到下面这种情况,我们无法删除的时候,可能是因为文件夹中某个文件被打开了,或者该文件文件夹被其他程序占用,亦或者该文件文件夹感染了病毒,病毒程序正在运行,无法删除。这个时候采取强制删除的方式解决: [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-C9dMeXTS-1630311480235)(C:\Users\sduzj\AppData\Roaming\Typora\typora-user-images\image-2
如何强制删除电脑文件(亲试有效)
mxyjsu2021的博客
09-12 400
因为我一般遇到的都是说该文件已被其他应用或者程序打开,需要关闭才能删除的情况,试了很多方法,目前就只有这一种方法有效!!!!
用的到的linux-删除文件-Day3
最新发布
qq_29061315的博客
02-05 1327
这可能是农历新年最新一次更新了~提前祝大家新年快乐,删除霉运~
无视任何限制和权限 强制删除文件夹/文件
m0_55169129的博客
07-30 6598
必备电脑知识

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值