内核下的文件操作

最新推荐文章于 2023-09-01 07:21:01 发布
最新推荐文章于 2023-09-01 07:21:01 发布
阅读量438 收藏 1
点赞数
分类专栏: windows驱动开发详解
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41490873/article/details/107497551
版权

内核下对文件创建和打开都是通过ZwCreateFile,这个内核函数返回一个文件句柄,文件的所有操作都是依靠这个句柄进行操作的。在文件操作完毕后,需要关闭这个句柄。

NTSYSAPI NTSTATUS ZwCreateFile(
  PHANDLE            FileHandle,
  ACCESS_MASK        DesiredAccess,
  POBJECT_ATTRIBUTES ObjectAttributes,
  PIO_STATUS_BLOCK   IoStatusBlock,
  PLARGE_INTEGER     AllocationSize,
  ULONG              FileAttributes,
  ULONG              ShareAccess,
  ULONG              CreateDisposition,
  ULONG              CreateOptions,
  PVOID              EaBuffer,
  ULONG              EaLength
);

InitializedAttributes:返回的OBJECT ATTRIBUTES结构。
ObjectName:对象名称,用UNICODE STRING描述,这里设置的是文件名。
Attributes:一般设为OBJ_ CASE JINSENSTTIVE, 对大小写敏感。

另外,文件名必须是符号链接或者是设备名。符号链接的概念,已经在第4章中介绍
过。例如,盘符“c:” 就是一个符号链接。这里应该用“\??\c:” 代替,“c:\1.log”" 要写成
“\??\c:\1.log”。
其中,“\??\c:” 是符号链接,内核会将它转换成设备名“\Device\Harddisk\Volume1”。

#include <ntddk.h>

VOID DriverUnload(PDRIVER_OBJECT pDriverObject)
{
	DbgPrint("驱动卸载成功");
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject,PUNICODE_STRING pRegPath)
{
	//在C盘创建一个文件
	HANDLE hFile = NULL;
	OBJECT_ATTRIBUTES objAttr = { 0 };
	UNICODE_STRING FileName;
	IO_STATUS_BLOCK ioStatus;
	NTSTATUS status = 0;
	pDriverObject->DriverUnload = DriverUnload;
	
	//路径 C:\1.log  符号名字需要这样写
	RtlInitUnicodeString(&FileName,L"\\??\\c:\\1.log");
		//初始化对象属性 是一个宏
	InitializeObjectAttributes(&objAttr,
							   &FileName, 
							   OBJ_CASE_INSENSITIVE,	//比较对象名时不区分大小写
							   0,
							   0);
	status = ZwCreateFile(  &hFile,			//返回来的文件句柄
							GENERIC_WRITE,
							&objAttr,
							&ioStatus,
							NULL,
							FILE_ATTRIBUTE_NORMAL,
							FILE_SHARE_READ,
							FILE_OPEN_IF,  //打开文件可以使用FILE_OPEN
							FILE_SYNCHRONOUS_IO_NONALERT,
							NULL,
							0
						);
	if (!NT_SUCCESS(status))
	{
		DbgPrint("文件创建或者打开失败");
		return status;
	}

	ZwClose(hFile);
	return STATUS_SUCCESS;
}

打开文件还可以使用,相比ZwCreateFile,参数更加简化

NTSTATUS
ZwOpenFile (
	OUT PHANDLE FileHandle,
	IN ACCESS_MASK DesiredAccess,
	IN POBJECT_ATTRIBUTES ObjectAttributes,
	OUT PIO_STATUS_BLOCK IoStatusBlock,
	IN ULONG ShareAccess,
	IN ULONG OpenOptions
);

FileHandle:返回打开的文件句柄。
DesiredAccess:打开的权限,一般设为GENERIC_ALL。
ObjectAttributes: objectAttributes 结构。
loStatusBlock:指向-一个结构体的指针。该结构体指明打开文件的状态。
ShareAccess :共享的权限。可以是FILE_SHARE_READ或者
FILE_SHARE_WRITE。
OpenOptions:打开选项,一般 设为FILE_SYNCHRONOUS_IO_NONALERT.
返回值:指明文件是否被成打开。

ZwOpenFile( 
&hfile,
GENERIC_ALL,
&objectAttributes,
&iostatus, 
FILE_SHARE_READ|FILE_SHARE_WRITE,
FILE_SYNCHRONOUS_IO_NONALERT) ;

获取或修改文件的属性

获取和修改文件属性,包括获取文件大小、获取或修改文件指针位置、获取或修改文
件名、获取或修改文件属性(只读属性、隐藏属性)、获取或修改文件创建、修改日期等。
DDK提供了内核函数ZwSetInformationFile和ZwQueryInformationFile函数来进行获取和
修改文件属性。

设置文件信息

NTSYSAPI NTSTATUS ZwSetInformationFile(
  HANDLE                 FileHandle,
  PIO_STATUS_BLOCK       IoStatusBlock,
  PVOID                  FileInformation,
  ULONG                  Length,
  FILE_INFORMATION_CLASS FileInformationClass
);

FileHandle:文件句柄。
loStatusBlock:返回设置的状态。
FileInformation:依据FileInformationClass不同而不同。作为输入信息。
Length: FileInformation 数据的长度。
FileInformationClass:描述修改属性的类型。

查询文件信息

NTSYSAPI NTSTATUS ZwQueryInformationFile(
  HANDLE                 FileHandle,
  PIO_STATUS_BLOCK       IoStatusBlock,
  PVOID                  FileInformation,
  ULONG                  Length,
  FILE_INFORMATION_CLASS FileInformationClass
);

FileHandle:文件句柄。
loStatusBlock:返回设置的状态。
FileInformation:依据FileInformationClass不同而不同。作为输出信息。
Length: FileInformation 数据的长度。
FileInformationClass:描述修改属性的类型。

这两个函数的参数基本相同。其中FileInformationClass指定修改或者查询的类别。
(1)
当FileInformationClass是FileStandardInformation时,输入和输出的数据是FILE_STANDARD_INFORMATION (文件标准信息)结构体,描述文件的基本信息。

typedef struct FILE_STANDARD_INFORMATION {
	LARGE INTEGER AllocationSize; //	为文件分配的大小 (注意这个不是文件大小,而是占用簇所需要的大小)
	LARGE INTEGER EndofFile;			//距离文件结尾还有多少字节  打开文件就查询 可以通过这个值获得文件的大小
	ULONG NumberofLinks ;	//	有多少个链接文件
	BOOLEAN DeletePending ;	//是否准备删除
	BOOLEAN Directory;	//是否为目录
} FILE_STANDARD_INFORMATION, *PFILE_STANDARD_INPORMATION;

(2)
当FileInformationClass是FileBasicInformation 时,输入和输出的数据是FILE_
BASIC_ INFORMATION(文件基本信息)结构体,描述文件的基本信息。

typedef struct FILE BASIC INPORMATION {
	LARGE INTEGER CreationTime;	 //文件创建时间
	LARGE . INTEGER LastAccessTime;	//最后 访问时间
	LARGE INTEGER LastwriteTime;	//最后写时间
	LARGE INTEGER ChangeTime ;	//修改修改时间
	ULONG PileAttributest	//文件属性
} FILE_BASIC_INFORMATION, *PFILE_BASIC_INFORMATTON;

其中,时间参数是从一个LARGE_INTEGER的整数,该整数代表从1601年经过多少
个100ns (纳秒)。FileAttributes 描述文件属性。FILE ATTRIBUTE NORMAL描述一般文
件。FILE_ATTRIBUTE_DIRECTORY描述是目录。FILE ATTRIBUTE_READONLY描述
该文件为只读。FILE_ ATTRIBUTE_HIDDEN代表隐含文件。FILE ATTRIBUTE _SYSTEM
代表系统文件。

(3)
当FileInformationClass 是FileNameInformation 时,输入和输出的数据是FILE_NAME_INFORMATION结构体,描述文名信息。

typedef struct FILE_NAME_INFORMATION{
	ULONG FileNameLength; //文件名长度
	WCHAR FileName[11]; // 文件名
} FILE_NAME_INFORMATTON, *PFILE_NAME_INFORMATION;

(4)
当FileInformationClass 是FilePositionInformation 时,输入和输出的数据是FILE_ POSITION_ INFORMATION结构体,描述文件名信息。


typedef struct FILE_POSITION_INFORMATION{
	LARGE_INTEGER CurrentByteOffset;//代表当前文件指针位置
} FILE_POSITION_INFORMATION, *PFILE_POSITION_INFORMATION;

查询文件名

#include <ntddk.h>

VOID DriverUnload(PDRIVER_OBJECT pDriverObject)
{
	DbgPrint("驱动卸载成功");
}


NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject,PUNICODE_STRING pRegPath)
{
	//在C盘创建一个文件
	HANDLE hFile = NULL;
	OBJECT_ATTRIBUTES objAttr = { 0 };
	UNICODE_STRING FileName;
	IO_STATUS_BLOCK ioStatus;
	NTSTATUS status = 0;
	FILE_NAME_INFORMATION FileNameInfo = { 0 };

	pDriverObject->DriverUnload = DriverUnload;

	RtlInitUnicodeString(&FileName,L"\\??\\c:\\1.log");
	//初始化对象属性 主要提供了一个要打开的文件名
	InitializeObjectAttributes(&objAttr,
							   &FileName, 
							   OBJ_CASE_INSENSITIVE,	//比较对象名时不区分大小写
							   0,
							   0);
	//打开文件
	status = ZwCreateFile(  &hFile,
							GENERIC_READ,
							&objAttr,&ioStatus,
							NULL,
							FILE_ATTRIBUTE_NORMAL,
							0,
							FILE_OPEN,	//打开文件失败就报错
							FILE_SYNCHRONOUS_IO_NONALERT,
							0,
							0);
	if (!NT_SUCCESS(status))
	{
		DbgPrint("文件打开失败");
		return status;
	}

	//查询文件信息
	status=ZwQueryInformationFile(hFile,
		&ioStatus,
		&FileNameInfo,	//根据最后一个参数的不同,这个参数就是不同结构的指针
		sizeof(FILE_NAME_INFORMATION), //最后一个参数对应接收的结构体大小。
		FileNameInformation);
	
	if (!FileNameInfo.FileName)
	{ 
		return STATUS_FILE_INVALID;
	}
	DbgPrint("文件名是:%S  文件名的长度:%x\n ", FileNameInfo.FileName,FileNameInfo.FileNameLength);
	ZwClose(hFile);
	return STATUS_SUCCESS;
}

文件写的操作

NTSYSAPI NTSTATUS ZwWriteFile(
  HANDLE           FileHandle,
  HANDLE           Event,
  PIO_APC_ROUTINE  ApcRoutine,
  PVOID            ApcContext,
  PIO_STATUS_BLOCK IoStatusBlock,
  PVOID            Buffer,
  ULONG            Length,
  PLARGE_INTEGER   ByteOffset,
  PULONG           Key
);

FilcHandle:文件打开的句柄。
Event:很少用到,一般设置为NULL。
ApcRoutine:很少用到,- -般设置为NULL。
ApcContext:很少用到,一般设置为NULL.
loStatusBlock:记录写操作的状态。其中,loStatusBlock.Infomation 记录实际写了
多少字节。
Buffer:从这个缓冲区开始往文件里写。)
Length:准备写多少字节。
ByteOffset:从文件的多少偏移地址开始写。
Key:很少用到,- -般设置为NULL。

#include <ntddk.h>

VOID DriverUnload(PDRIVER_OBJECT pDriverObject)
{
	DbgPrint("驱动卸载成功");
}


NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject,PUNICODE_STRING pRegPath)
{
	//在C盘创建一个文件
	HANDLE hFile = NULL;
	OBJECT_ATTRIBUTES objAttr = { 0 };
	UNICODE_STRING FileName;
	IO_STATUS_BLOCK ioStatus;
	NTSTATUS status = 0;
	FILE_NAME_INFORMATION FileNameInfo = { 0 };

	pDriverObject->DriverUnload = DriverUnload;

	RtlInitUnicodeString(&FileName,L"\\??\\c:\\1.log");
	//初始化对象属性 主要提供了一个要打开的文件名
	InitializeObjectAttributes(&objAttr,
							   &FileName, 
							   OBJ_CASE_INSENSITIVE,	//比较对象名时不区分大小写
							   0,
							   0);
	//打开文件
	status = ZwCreateFile(  &hFile,
		GENERIC_READ | GENERIC_WRITE,
							&objAttr,&ioStatus,
							NULL,
							FILE_ATTRIBUTE_NORMAL,
							0,
							FILE_OPEN,	//打开文件失败就报错
							FILE_SYNCHRONOUS_IO_NONALERT,
							0,
							0);
	if (!NT_SUCCESS(status))
	{
		DbgPrint("文件打开失败");
		return status;
	}

	
	status=ZwWriteFile( hFile, 
						NULL,
						NULL,
						NULL, 
						&ioStatus, 
						"zheyangma", //写入的内容  也可以分配内存 然后填充内容
						6,			//写入的长度
						0, 
						0);

	if (!NT_SUCCESS(status))
	{
		DbgPrint("文件写入失败");
		
		ZwClose(hFile);
		return status;
	}

	
	ZwClose(hFile);
	return STATUS_SUCCESS;
}

文件读取

NTSYSAPI NTSTATUS ZwReadFile(
HANDLE FileHandle,
HANDLE Event,
PIO_APC_ROUTINE ApcRoutine,
PVOID ApcContext,
PIO_STATUS_BLOCK IoStatusBlock,
PVOID Buffer,
ULONG Length,
PLARGE_INTEGER ByteOffset,
PULONG Key
);
在这里插入图片描述

练习:

在文件的末尾追加内容

#include <ntddk.h>

VOID DriverUnload(PDRIVER_OBJECT pDriverObject)
{
	DbgPrint("驱动卸载成功");
}


NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject,PUNICODE_STRING pRegPath)
{
	//在C盘创建一个文件
	HANDLE hFile = NULL;
	OBJECT_ATTRIBUTES objAttr = { 0 };
	UNICODE_STRING FileName;
	IO_STATUS_BLOCK ioStatus;
	NTSTATUS status = 0;
	FILE_NAME_INFORMATION FileNameInfo = { 0 };
	FILE_STANDARD_INFORMATION  fsi = { 0 };
	

	pDriverObject->DriverUnload = DriverUnload;

	RtlInitUnicodeString(&FileName,L"\\??\\c:\\1.log");
	//初始化对象属性 主要提供了一个要打开的文件名
	InitializeObjectAttributes(&objAttr,
							   &FileName, 
							   OBJ_CASE_INSENSITIVE,	//比较对象名时不区分大小写
							   0,
							   0);
	//打开文件
	status = ZwCreateFile(  &hFile,
		GENERIC_READ | GENERIC_WRITE,
							&objAttr,&ioStatus,
							NULL,
							FILE_ATTRIBUTE_NORMAL,
							0,
							FILE_OPEN,	//打开文件失败就报错
							FILE_SYNCHRONOUS_IO_NONALERT,
							0,
							0);
	if (!NT_SUCCESS(status))
	{
		DbgPrint("文件打开失败");
		return status;
	}

	

	
	//查询文件大小
	ZwQueryInformationFile(hFile, &ioStatus, &fsi, sizeof(FILE_STANDARD_INFORMATION), FileStandardInformation);
	 
	
	//当前指针位置为文件尾。
	FILE_POSITION_INFORMATION fpi;
	fpi.CurrentByteOffset = fsi.EndOfFile;
	//设置文件指针
	ZwSetInformationFile(hFile, &ioStatus,&fpi , sizeof(FILE_POSITION_INFORMATION), FilePositionInformation);

	//把这个数组的内容追加到文件
	UCHAR arr[] = { 64, 65, 66, 67, 68, 69, 70, 71, 72, 73, 74, 75, 76, 77, 78, 79, 80 };
	status = ZwWriteFile(hFile,
		NULL,
		NULL,
		NULL,
		&ioStatus,
		arr, 
		17,			//写入的长度
		0,
		0);

	if (!NT_SUCCESS(status))
	{
		DbgPrint("文件写入失败");

		ZwClose(hFile);
		return status;
	}

	ZwClose(hFile);
	return STATUS_SUCCESS;
}
qq_857305819
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CreateFile打开磁盘格式要求
董盼山的专栏
08-13 3432
HANDLE CreateFile( LPCTSTR lpFileName, DWORD dwDesiredAccess, DWORD dwShareMode, LPSECURITY_ATTRIBUTES lpSecurityAttributes, DWORD dwCreationDisposition, DWORD dwFlagsAndAttributes,
Win64 驱动内核编程-5.内核操作文件
天使也掉毛
03-04 2376
内核操作文件     RING0 操作文件和 RING3 操作文件在流程上没什么大的区别,也是“获得文件句柄->读/写/删/改->关闭文件句柄”的模式。当然了,只能用内核 API,不能用 WIN32API。在讲解具体的代码之前,先讲解一下文件系统的流程,让大家对整个文件系统有个大概的了解。     假设我们要读写一个文件,无论在 RING3 调用 ReadFile,还是在 RING0 调用 
内核文件操作
125096
08-01 920
#include //创建文件 NTSTATUS CreateFileText(void); //打开文件 NTSTATUS OpenFileText(void); NTSTATUS OpenFileTest2(void); //写入文件 NTSTATUS WriteFileText(void); //读取文件 NTSTATUS ReadFileText(void); //文件属性
获取Powershell命令行参数
被遗弃的庸才博客
08-12 2314
这个是偶然发现的,通过测试可以在r0中拿到在powershell输入的命令行参数。 原理是hook NtAlpcSendWaitReceivePort函数,通过解析该函数的第三个参数发现类型为0x01d8时候在偏移0xd0的位置就是powershell参数的位置 下面是代码 #include <Ntifs.h> #include <ntimage.h> #include <ntstrsafe.h> typedef struct _LDR_DATA_TABLE_
驱动开发之 ZwCreateFile函数
Lydia的博客
06-13 8807
函数原型: NTSTATUS ZwCreateFile( _Out_ PHANDLE FileHandle, _In_ ACCESS_MASK DesiredAccess, _In_ POBJECT_ATTRIBUTES ObjectAttributes, _Out_ PIO_STATUS_BLOCK IoStatusBlock, _In_
linux2.6.1内核源码注释
03-10
源码中会详细解释文件系统的挂载、卸载过程以及文件操作的实现。 最后,“网络系统”是Linux内核中的另一大模块,负责处理网络协议栈。这包括网络接口层(如以太网)、IP层(TCP/IP协议)、传输层(TCP和UDP协议)...
windows内核驱动读写文件
10-11
windows内核驱动条件下文件的创建、读、写等功能实现源码。适用于驱动调试和运行观察的日志打印输出,比Windbg和reaceview更方便。
Windows驱动编程视频教程-内核模式下的文件操作
08-19
2. **内核模式文件操作**:内核模式下的文件操作比用户模式更底层,它可以直接调用NTFS(New Technology File System)等文件系统的内核接口,实现读写、创建、删除、重命名等操作。这些操作需要正确管理和同步,以...
Linux内核Makefile文件.doc
11-29
Linux 内核 Makefile 文件通常位于内核源代码的顶级目录下,作为整个编译过程的入口。Makefile 文件会将内核源代码组织成一个树状结构,方便编译和管理。 2. 角色分工 Makefile 文件的主要角色是将内核源代码编译成...
Linux内核中读写文件数据的方法
07-29
总结来说,Linux内核中的文件操作涉及到一系列内核特有的函数,它们提供了一种在没有标准库支持的情况下与文件系统交互的机制。在使用这些函数时,必须仔细处理用户空间和内核空间的转换,并注意正确管理内存和文件...
Linux内核(十六)Linux 内核态进行读写文件的函数 使用和解析
最新发布
weixin_43564241的博客
09-01 1629
这个函数和vfs_read()都是差不多的,只是调用的文件操作方法不同而已(file->f_op->write) ,如果没有定义file->f_op->write ,同样也需要do_sync_write()调用同样文件操作, 首先把数据写到内存中,然后在适当的时候把数据同步到具体的存储介质中去。以open /sys/log为例,该方法最终的结果是,更新struct nameidata实例指针nd中的path、inode字段,使其指向路径/sys/,更新nd中的last值,使其为log。
THREADINFOCLASS结构体与FILE_INFORMATION_CLASS结构体
摔不死的笨鸟的博客
10-10 1928
THREADINFOCLASS是一个枚举结构,其值旨在作为ZwQueryInformationThread和ZwSetInformationThread函数的输入。 查询或设置不同类型的信息选择不同的值。 自从Windows NT 3.51的设备驱动程序工具包(DDK)起,THREADINFOCLASS枚举的C语言定义已在NTDDK.H标头中公开可用。 它支持ZwSetInformationThr...
通过名字获得ssdt函数的序号
被遗弃的庸才博客
10-28 698
假设现在我们已经能够获得ssdt表的位置,能够实现对ssdt函数地址替换,那么现在又一个问题就是找到想要hook的ssdt函数。 由于不同版本的操作系统下对应的函数调用号是不同的,所以这里可以通过ntdll得到当前系统下函数的调用号 具体的代码如下所示 ULONG GetIndexByName(UCHAR *sdName) { NTSTATUS Status; HANDLE Fi...
内核文件操作
奔跑的蜗牛
05-30 2万+
有时候需要在Linux kernel--大多是在需要调试的驱动程序--中读写文件数据。在kernel中操作文件没有标准库可用,需要利用kernel的一些函数,这些函数主 要有: filp_open() filp_close(), vfs_read() vfs_write(),set_fs(),get_fs()等,这些函数在linux/fs.h和asm/uaccess.h头文件中声明。下面介绍主 要
linux内核文件操作filp_open/filp_close/vfs_read/vfs_write
热门推荐
远方客的专栏
09-13 2万+
Linux系统成功的关键因素之一就是具有与其他操作系统和谐共存的能力。Linux系统的文件系统由两层结构构建:第一层是虚拟文件系统(VFS),第二层是各种不同的具体的文件系统。 VFS就是把各种具体的文件系统的公共部分抽取出来,形成一个抽象层,是系统内核的一部分,它位于用户程序和具体的文件系统之间。它对用户提供了标准的文件系统调用接口,对具体的文件系统(如EXT2、FAT32等),它通过一系列的...
linux内核打开一个文件的全过程,linux内核启动内核解压过程分析
weixin_39857153的博客
04-28 107
#include /* working in physical space... */#undef S3C2410_WDOGREG#define S3C2410_WDOGREG(x) ((S3C24XX_PA_WATCHDOG + (x)))/* how many bytes we allow into the FIFO at a time in FIFO mode */#define FIFO_...
linux内核打开文件 及属性控制
wangpengqi的专栏
08-05 1795
共两篇文章:还可以参考linux那些事linx_sysfs ======================================================================================== #include #include #include #include pfile->f_path.dentr
文件的读操作
CosmicCode
09-10 404
使用ZwReadFile函数: /*文件操作 读取C:\1.log中的字节数*/ #include "ntddk.h" #include "wdm.h" NTSTATUS DriverEntry(IN PDRIVER_OBJECT theDriverObject,IN PUNICODE_STRING theRegistryPath) {  OBJECT_ATTRIBUTES objectAtt
操作系统内核入门与历史演进
作者首先明确了操作系统的目标和功能,包括任务调度、内存管理、文件系统、并发控制等关键任务。接着,作者回顾了操作系统历史上的重要里程碑,如早期的操作系统如Unix和Windows,以及它们引入的主要创新,如分时...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值