内核的枚举文件

最新推荐文章于 2023-06-12 12:16:59 发布
最新推荐文章于 2023-06-12 12:16:59 发布
阅读量904 收藏
点赞数
分类专栏: windows 程序设计 驱动入门
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41071646/article/details/86384279
版权

这个还是糅合了 很多资料搞定的 

感觉内核 枚举 文件还是简单的   核心函数就一个  ZwQueryDirectoryFile 得出来  _FILE_BOTH_DIR_INFORMATION  结构体 然后枚举 就可以了   然后 可以 封装两个函数   MyFindFirstFile  MyFindNextFile 。MyFindFirstFile  可以用 IoCreateFile 来获取句柄 

然后 可以用   ZwQueryDirectoryFile 可以验证一下  是否真的可以。。

然后 用 MyFindNextFile 获得 然后就可以  枚举了   这次是用的windows 黑客编程技术详解源码 其中也有 照着看雪论坛写的代码 

发现 两者好像差不多  这大概就是传说中 的好多年的轮子吧。。。、

只不过  windows  黑客编程技术详解把两个封装的函数 给取消了  直接变成了一个函数  

其实就是  获取句柄 获取结构体 枚举就完事了

下面是代码

#include <ntddk.h>
#define  HANDLE_VALUE (HANDLE)-1
typedef struct _FILE_BOTH_DIR_INFORMATION
{
	ULONG NextEntryOffset;
	ULONG FileIndex;
	LARGE_INTEGER CreationTime;
	LARGE_INTEGER LastAccessTime;
	LARGE_INTEGER LastWriteTime;
	LARGE_INTEGER ChangeTime;
	LARGE_INTEGER EndOfFile;
	LARGE_INTEGER AllocationSize;
	ULONG FileAttributes;
	ULONG FileNameLength;
	ULONG EaSize;
	CCHAR ShortNameLength;
	WCHAR ShortName[12];
	WCHAR FileName[1];
} FILE_BOTH_DIR_INFORMATION, *PFILE_BOTH_DIR_INFORMATION;
NTKERNELAPI NTSTATUS ZwQueryDirectoryFile
(
HANDLE FileHandle,
HANDLE Event,
PIO_APC_ROUTINE ApcRoutine,
PVOID ApcContext,
PIO_STATUS_BLOCK IoStatusBlock,
PVOID FileInformation,
ULONG Length,
FILE_INFORMATION_CLASS FileInformationClass,
BOOLEAN ReturnSingleEntry,
PUNICODE_STRING FileName,
BOOLEAN RestartScan
);
VOID DriverUnload(PDRIVER_OBJECT driver)
{
	KdPrint(("goodbye"));
}
BOOLEAN MyQueryFileAndFileFolder(UNICODE_STRING ustrPath)
{
	HANDLE hFile = NULL;
	OBJECT_ATTRIBUTES objectAttributes = { 0 };
	IO_STATUS_BLOCK iosb = { 0 };
	NTSTATUS status = STATUS_SUCCESS;

	// 获取文件句柄
	InitializeObjectAttributes(&objectAttributes, &ustrPath, OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE, NULL, NULL);
	status = ZwCreateFile(&hFile, FILE_LIST_DIRECTORY | SYNCHRONIZE | FILE_ANY_ACCESS,
		&objectAttributes, &iosb, NULL, FILE_ATTRIBUTE_NORMAL, FILE_SHARE_READ | FILE_SHARE_WRITE,
		FILE_OPEN, FILE_DIRECTORY_FILE | FILE_SYNCHRONOUS_IO_NONALERT | FILE_OPEN_FOR_BACKUP_INTENT,
		NULL, 0);
	if (!NT_SUCCESS(status))
	{
		KdPrint(("ZwCreateFile", status));
		return FALSE;
	}

	// 遍历文件
	// 注意此处的大小!!!一定要申请足够内存,否则后面ExFreePool会蓝屏
	ULONG ulLength = (2 * 4096 + sizeof(FILE_BOTH_DIR_INFORMATION)) * 0x2000;
	PFILE_BOTH_DIR_INFORMATION pDir = ExAllocatePool(PagedPool, ulLength);
	// 保存pDir的首地址,用来释放内存使用!!!
	PFILE_BOTH_DIR_INFORMATION pBeginAddr = pDir;
	// 获取信息
	status = ZwQueryDirectoryFile(hFile, NULL, NULL, NULL, &iosb, pDir, ulLength,
		FileBothDirectoryInformation, FALSE, NULL, FALSE);
	if (!NT_SUCCESS(status))
	{
		ExFreePool(pDir);
		ZwClose(hFile);
		KdPrint(("ZwQueryDirectoryFile", status));
		return FALSE;
	}
	// 遍历
	UNICODE_STRING ustrTemp;
	UNICODE_STRING ustrOne;
	UNICODE_STRING ustrTwo;
	RtlInitUnicodeString(&ustrOne, L".");
	RtlInitUnicodeString(&ustrTwo, L"..");
	WCHAR wcFileName[1024] = { 0 };
	while (TRUE)
	{
		// 判断是否是上级目录或是本目录
		RtlZeroMemory(wcFileName, 1024);
		RtlCopyMemory(wcFileName, pDir->FileName, pDir->FileNameLength);
		RtlInitUnicodeString(&ustrTemp, wcFileName);
		if ((0 != RtlCompareUnicodeString(&ustrTemp, &ustrOne, TRUE)) &&
			(0 != RtlCompareUnicodeString(&ustrTemp, &ustrTwo, TRUE)))
		{
			if (pDir->FileAttributes & FILE_ATTRIBUTE_DIRECTORY)
			{
				// 目录
				KdPrint(("[DIRECTORY]\t%wZ\n", &ustrTemp));
			}
			else
			{
				// 文件
				KdPrint(("[FILE]\t\t%wZ\n", &ustrTemp));
			}
		}
		// 遍历完毕
		if (0 == pDir->NextEntryOffset)
		{
			KdPrint(("\n[QUERY OVER]\n\n"));
			break;
		}
		// pDir指向的地址改变了,所以下面ExFreePool(pDir)会出错!!!所以,必须保存首地址
		pDir = (PFILE_BOTH_DIR_INFORMATION)((PUCHAR)pDir + pDir->NextEntryOffset);
	}
	// 释放内存, 关闭文件句柄
	ExFreePool(pBeginAddr);
	ZwClose(hFile);

	return TRUE;
}
HANDLE MyFindfile(LPSTR lp, PFILE_BOTH_DIR_INFORMATION pDir, ULONG ulen)
{
	char strFolder[4096] = { 0 };
	STRING ast;
	UNICODE_STRING ustr;
	OBJECT_ATTRIBUTES ob;
	IO_STATUS_BLOCK io;
	NTSTATUS nt;
	HANDLE hfine = HANDLE_VALUE;
	memset(strFolder, 0, 4096);
	strcpy(strFolder, "\\??\\");
	strcat(strFolder, lp);
	RtlInitString(&ast, strFolder);
	if (RtlAnsiStringToUnicodeString(&ustr, &ast, TRUE) == 0)
	{
		InitializeObjectAttributes(&ob, &ustr, OBJ_CASE_INSENSITIVE, NULL, NULL);
		nt = IoCreateFile(&hfine,
			FILE_LIST_DIRECTORY | SYNCHRONIZE | FILE_ANY_ACCESS,
			&ob,
			&io,
			NULL,
			FILE_ATTRIBUTE_NORMAL,
			FILE_SHARE_READ | FILE_SHARE_WRITE,
			FILE_OPEN,
			FILE_DIRECTORY_FILE | FILE_SYNCHRONOUS_IO_NONALERT | FILE_OPEN_FOR_BACKUP_INTENT,
			NULL,
			0,
			CreateFileTypeNone,
			NULL,
			IO_NO_PARAMETER_CHECKING);
		RtlFreeUnicodeString(&ustr);
		if (nt == STATUS_SUCCESS&&hfine != HANDLE_VALUE)
		{
			nt = ZwQueryDirectoryFile(
				hfine,
				NULL,
				NULL,
				NULL,
				&io,
				pDir,
				ulen,
				FileBothDirectoryInformation,
				TRUE,
				NULL,
				FALSE
				);
			if (!NT_SUCCESS(nt))
			{
				ZwClose(hfine);
				return HANDLE_VALUE;
			}

		}
	}
	return hfine;
}
BOOLEAN Nextfile(HANDLE hfile, PFILE_BOTH_DIR_INFORMATION pDir, ULONG ulen)
{
	IO_STATUS_BLOCK io;
	NTSTATUS nt;
	nt = ZwQueryDirectoryFile(
		hfile,
		NULL,
		NULL,
		NULL,
		&io,
		pDir,
		ulen,
		FileBothDirectoryInformation,
		FALSE,
		NULL,
		FALSE
		);
	if (NT_SUCCESS(nt))
		return TRUE;
	else
		return FALSE;

}
ULONG Searchflie(LPSTR lpPath)
{
	ULONG count = 0;
	HANDLE hfine = HANDLE_VALUE;
	PFILE_BOTH_DIR_INFORMATION  pDir;
	char *strBuffer = NULL;
	char strfilename[255 * 2];
	ULONG ulen = 4096 * 2 + sizeof(PFILE_BOTH_DIR_INFORMATION);
	strBuffer = (PCHAR)ExAllocatePool(NonPagedPool, ulen);
	pDir = (PFILE_BOTH_DIR_INFORMATION)strBuffer;
	hfine = MyFindfile(lpPath, pDir, ulen);
	if (hfine != HANDLE_VALUE)
	{
		ExFreePool(strBuffer);
		ulen = (4096 * 2 + sizeof(FILE_BOTH_DIR_INFORMATION))*0x2000;
		strBuffer = (PCHAR)ExAllocatePool(NonPagedPool, ulen);
		pDir = (PFILE_BOTH_DIR_INFORMATION)strBuffer;
		if (Nextfile(hfine, pDir, ulen))
		{
			while (TRUE)
			{
				memset(strfilename, 0, 255 * 2);
				memcpy(strfilename, pDir->FileName, pDir->FileNameLength);
				if (strcmp(strfilename, "..") != 0 && strcmp(strfilename, ".") != 0)
				{
                 if (pDir->FileAttributes&FILE_ATTRIBUTE_DIRECTORY)
				{
					KdPrint(("目录: %s\n", strfilename));

				}
				else
				{
					KdPrint(("文件: %s\n", strfilename));
				
				}
                     count++;
				}
				if (pDir->NextEntryOffset == 0) 
					break;
				pDir = (PFILE_BOTH_DIR_INFORMATION)((char *)pDir + pDir->NextEntryOffset);
			}
			ExFreePool(strBuffer);

		}
		KdPrint(("搜索完毕!\n"));
		ZwClose(hfine);
	}
	return count;
}
NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath)
{
	UNICODE_STRING ustrQueryFile;
	RtlInitUnicodeString(&ustrQueryFile, L"\\??\\C:\\Windows");
	MyQueryFileAndFileFolder(ustrQueryFile);
	DriverObject->DriverUnload = DriverUnload;
	return STATUS_SUCCESS;
}

 

下面是 效果图 

 

 

 

参考代码 

看雪论坛 

windows 黑客编程技术详解

pipixia233333
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Windows API中枚举所有文件文件
03-25 717
文章目录前言一、WIN32_FIND_DATA 是什么?二、使用步骤1.WIN32_FIND_DATA 和 HANDLE 声明2.FindFirstFile和FindNexxtFile以及FindClose的使用 前言 Windows API中枚举所有文件文件夹 涉及函数 findFirstFile findnextfile findclose WIN32_FIND_DATA 结构体 一、WIN32_FIND_DATA 是什么? WIN32_FIND_DATA 这个结构描述了FindFirst
【JAVA】关于枚举的实例说明(包括:枚举文件枚举常量与Swich结合)
【敦厚的曹操】的专栏
05-06 326
枚举怎么理解呢? 1.可以理解为一组静态常量。 2.也可以理解为,注册页面中的下拉框或固定选择框(反正不能让用户自己输入内容)。比如:选男,女,小学生选年级。 一、枚举文件样式(Enum_File.java) package z_Enum; public enum Enum_File { // 小学学生的六个年级 One,Two,Tree,Four,Five,Six,Ten } ...
枚举导出的函数
weixin_30514745的博客
08-21 120
//枚举导出的函数 // #include <idc.idc> static main() { auto entrypoints,i,ord,addr,name,purged,file,fd; file = AskFile(1,"*.idt","Select IDT save file"); //打开文件对话框 fd = fopen(file,"w"); //以...
Linux Kernel Reading--About enum
weixin_33690963的博客
09-23 78
最近在无奈的阅读Linux Kernel Code. 无奈自己的编程基础太差,Linux的代码写的又实在是太神奇,只好一行一行的慢慢啃,顺带在博客上记录自己任何一点的小心得以备之后查阅。Linux中大部分的Enum都是没有枚举名字的,而且通常在一串类型之后会带上一个NR啥啥的代表某number的量,起初这让我这个对于每个细节都必须弄懂的强迫症小孩来说感到无比困扰。后来偶终于发...
内核枚举常量定义
qq_41490873的博客
05-19 237
typedef enum _KTHREAD_STATE { Initialized, //0 Ready, //1 Running, //2 Standby, //3 Terminated, //4 Waiting, //5 Transition, //6 DeferredReady,//7 GateWait //8 } KTHREAD_STATE;
易语言枚举内核驱动
07-22
本文将深入探讨“易语言枚举内核驱动”这一主题,结合源码分析枚举内核驱动的基本原理,以及如何利用相关函数进行文件名获取、内存操作等关键步骤。 首先,我们要理解什么是内核驱动。在Windows操作系统中,内核...
易语言枚举内核对象句柄
01-09
易语言,一种中文编程环境,提供了对系统底层资源管理的支持,包括枚举内核对象句柄的功能。本文将深入探讨这个主题,帮助你理解相关的知识点。 首先,我们要了解什么是内核对象。内核对象是操作系统内核为了管理和...
易语言枚举内核驱动源码.zip
01-25
"源码说明.txt"文件很可能是对上述过程的详细解释,它可能包含每个关键步骤的注释,以及如何正确使用易语言语法实现枚举内核驱动的示例代码。通过阅读这份说明,开发者可以更好地理解源码的工作原理和实现细节。 五...
易语言源码易语言枚举内核驱动源码.rar
03-31
这个压缩包可能包含一系列的源代码文件,这些文件用于展示如何在易语言中编写和管理内核驱动程序。 内核驱动是操作系统的核心部分,它们运行在系统特权级别,负责硬件设备的控制和系统级服务。在易语言中编写内核...
MFC枚举进程内核句柄
12-01
本项目“MFC枚举进程内核句柄”正是基于MFC构建的一个实用工具,它能够枚举并显示指定进程中的所有内核句柄信息,类似于知名的系统调试工具如XT或Process Explorer。 首先,我们需要理解什么是内核句柄。在Windows...
ZwQueryDirectoryFile
10-25
ZwQueryDirectoryFile 参数对应的结构体。ZwQueryDirectoryFile 参数对应的结构体。ZwQueryDirectoryFile 参数对应的结构体。ZwQueryDirectoryFile 参数对应的结构体。
文件操作-->Tesla.Angela基础教程之枚举文件
zhuhuibeishadiao
04-02 960
搜索文件/文件夹函数例程 MyDriver.h #include #define dprintf if (DBG) DbgPrint #define DEVICE_NAME L"\\Device\\MyDriver" #define LINK_NAME L"\\DosDevices\\MyDriver" #define LINK_GLOBAL_NAME L"\\DosDev
驱动开发:内核遍历文件或目录
最新发布
2301_78287784的博客
06-12 107
你是否会觉得很失望,为什么不是递归枚举,这里为大家解释一下,通常情况下ARK工具并不会在内核层实现目录与文件的递归操作,而是将递归过程搬到了应用层,当用户点击一个新目录时,在应用层只需要拼接新的路径再次发送给驱动程序让其重新遍历一份即可,这样不仅可以提高效率而且还降低了蓝屏的风险,显然在应用层遍历是更合理的。简单的介绍了内核中如何对文件进行基本的读写操作,本章我们将实现内核下遍历文件或目录这一功能,该功能的实现需要依赖于。用于存储当前节点下文件或目录的一些属性,如文件名,文件时间,文件状态等,其次。
windows内核中的Unicode字符串的使用
qq_40363731的博客
04-09 667
*
Win64 驱动内核编程-5.内核里操作文件
天使也掉毛
03-04 2373
内核里操作文件     RING0 操作文件和 RING3 操作文件在流程上没什么大的区别,也是“获得文件句柄->读/写/删/改->关闭文件句柄”的模式。当然了,只能用内核 API,不能用 WIN32API。在讲解具体的代码之前,先讲解一下文件系统的流程,让大家对整个文件系统有个大概的了解。     假设我们要读写一个文件,无论在 RING3 调用 ReadFile,还是在 RING0 调用 
一些内核操作函数
sqzxwq的博客
09-03 2639
#ifdef __cplusplus extern "C" { #endif #define DELAY_ONE_MICRO (-10) #define DELAY_ONE_MILLI (DELAY_ONE_MICRO*1000) #include #include NTSTATUS DriverEntry(IN PDRIVER_OBJECT objDriver,IN PUNICODE_
MDL 内存映射实现HOOK
Doub1's Blog
04-11 1116
简单的NT式驱动 typedef NTSTATUS (*REALZWQUERYDIRECTORYFILE)(IN HANDLE hFile, IN HANDLE hEvent OPTIONAL, IN PIO_APC_ROUTINE IoApcRoutine OPTIONAL, IN PVOID IoApcContext OPTIONAL, OUT PIO_STATUS_BLOCK pIoSt...
hook ZwQueryDirectoryFile实现文件隐藏
09-11 1163
 作 者: hfyy时 间: 2008-04-23,19:52链 接: http://bbs.pediy.com/showthread.php?t=63629学习了网上《编写驱动拦截NT的API实现隐藏文件目录》这篇文章 参考这篇文章的代码 自己试着写了下 现发出来我调试成功的代码 给需要的朋友们代码:#include "ntddk.h"typedef BOOLEAN BOOL;
linux emmc 驱动文件结构
05-17
Linux 中的 eMMC 驱动程序通常由以下组件组成: 1. `mmc_core`:这是一个通用模块,提供了 eMMC 驱动程序所需的核心功能。这个模块负责管理所有的 MMC/SD/SDIO 卡,并提供了对这些卡进行操作的接口。 2. `mmc_block`:这是一个块设备驱动程序,提供了块设备层次结构中的块设备接口。这个模块负责将 MMC 卡映射到块设备中,并提供了块设备操作的接口。 3. `mmc_card`:这是一个 MMC 卡驱动程序,用于管理 MMC 卡的读/写操作。这个模块负责与 MMC 卡进行通信,并提供了读/写操作的接口。 4. `sdhci`:这是一个 SD 卡主机控制器驱动程序,用于管理 SD 卡和 MMC 卡的读/写操作。这个模块负责与主机控制器进行通信,并提供了读/写操作的接口。 5. `sdhci-acpi`:这是一个 ACPI 驱动程序,用于在 ACPI 枚举过程中自动检测 SD 卡主机控制器。这个模块负责与 ACPI 进行通信,并提供了 SD 卡主机控制器的检测功能。 6. `sdhci-pci`:这是一个 PCI 驱动程序,用于在 PCI 枚举过程中自动检测 SD 卡主机控制器。这个模块负责与 PCI 控制器进行通信,并提供了 SD 卡主机控制器的检测功能。 这些组件组合在一起构成了 Linux 中的 eMMC 驱动程序。这些驱动程序通常位于内核源代码的 `drivers/mmc` 目录下。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值