驱动层文件高级操作

最新推荐文章于 2024-05-28 09:32:26 发布
最新推荐文章于 2024-05-28 09:32:26 发布
阅读量587 收藏 2
点赞数
分类专栏: 内核安全编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41490873/article/details/108175522
版权

创建文件夹

//   文件名的格式为:     \\??\\C:\\dale
NTSTATUS CreateDirectory(PWCHAR wsDesFileName)
{
	NTSTATUS status = STATUS_UNSUCCESSFUL;
	OBJECT_ATTRIBUTES oa;
	UNICODE_STRING usDesFileName;
	IO_STATUS_BLOCK IoStatusBlock;
	HANDLE FileHandle = NULL;
	RtlInitUnicodeString(&usDesFileName, wsDesFileName);
	InitializeObjectAttributes(&oa,
		&usDesFileName,
		OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE,
		NULL,
		NULL
		);

	//把内存中的数据写入到文件中
	status = ZwCreateFile(
		&FileHandle,
		GENERIC_READ,
		&oa,
		&IoStatusBlock,
		0,
		FILE_ATTRIBUTE_NORMAL | SYNCHRONIZE,
		FILE_SHARE_WRITE | FILE_SHARE_READ,
		FILE_CREATE,
		FILE_DIRECTORY_FILE,
		NULL,
		0
		);

	if (!NT_SUCCESS(status))
	{
		KdPrint(("目标文件创建失败 错误码:%x\n", status));
		return status;
	}
	ZwClose(FileHandle);
	return STATUS_SUCCESS;
}

文件复制

内核中文件路径格式为 “\??\C:\dale”
wsSrcFileName 要复制的源文件名 已存在的文件
wsDesFileName 复制到的目标文件 需要程序创建的文件

//   文件名的格式为:     \\??\\C:\\dale
NTSTATUS CopyFile(PCWSTR wsDesFileName, PCWSTR wsSrcFileName)
{
	NTSTATUS status = STATUS_SUCCESS;
	//打开文件
	HANDLE hSrcFile=NULL;
	HANDLE hDesFile=NULL;
	PUCHAR buffer = NULL;
	OBJECT_ATTRIBUTES oa;
	UNICODE_STRING usSrcFileName;


	//参数有效性检查
	if (!wsDesFileName || !wsSrcFileName)
	{
		KdPrint(("路径不能为空\n"));
		return STATUS_INVALID_PARAMETER;
	}

	do
	{
		RtlInitUnicodeString(&usSrcFileName, wsSrcFileName);
		InitializeObjectAttributes(&oa,
			&usSrcFileName,
			OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE,
			NULL,
			NULL
			);

		IO_STATUS_BLOCK IoStatusBlock;

		//打开需要复制的源文件
		status = ZwCreateFile(&hSrcFile,
			GENERIC_ALL,
			&oa,
			&IoStatusBlock,
			NULL,
			FILE_ATTRIBUTE_NORMAL,
			FILE_SHARE_VALID_FLAGS,
			FILE_OPEN,
			FILE_SYNCHRONOUS_IO_NONALERT,
			NULL,
			0);
		if (!NT_SUCCESS(status))
		{
			KdPrint(("源文件打开失败 错误码:%x\n", status));
			return status;
		}

		//获取源文件大小
		FILE_STANDARD_INFORMATION fsi = { 0 };
		status = ZwQueryInformationFile(hSrcFile, &IoStatusBlock, &fsi, sizeof(fsi), FileStandardInformation);
		if (!NT_SUCCESS(status) || !fsi.EndOfFile.QuadPart)
		{
			KdPrint(("查询源文件信息失败 错误码:%x\n", status));
			break;
		}


		//申请源文件大小的内存
		buffer = (PUCHAR)ExAllocatePoolWithTag(PagedPool, fsi.EndOfFile.LowPart, 'dale');
		if (!buffer)
		{
			KdPrint(("内存申请失败\n"));
			break;
		}
		RtlZeroMemory(buffer, fsi.EndOfFile.LowPart);

		//把文件读到一块内存中
		status = ZwReadFile(hSrcFile,
			NULL, NULL, NULL,
			&IoStatusBlock,
			buffer,	//保存读取内容的buffer
			fsi.EndOfFile.LowPart,//读取的长度
			0,//始读取的位置
			NULL
			);
		if (!NT_SUCCESS(status))
		{
			KdPrint(("读取文件内容失败 错误码:%x\n", status));
			break;
		}

		UNICODE_STRING usDesFileName;
		RtlInitUnicodeString(&usDesFileName, wsDesFileName);
		InitializeObjectAttributes(&oa,
			&usDesFileName,
			OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE,
			NULL,
			NULL
			);

		//把内存中的数据写入到文件中
		status = ZwCreateFile(&hDesFile,
			GENERIC_ALL,
			&oa,
			&IoStatusBlock,
			NULL,
			FILE_ATTRIBUTE_NORMAL,
			FILE_SHARE_VALID_FLAGS,
			FILE_OVERWRITE_IF,
			FILE_SYNCHRONOUS_IO_NONALERT,
			NULL,
			0);

		if (!NT_SUCCESS(status))
		{
			KdPrint(("目标文件创建失败 错误码:%x\n", status));
			break;
		}


		status = ZwWriteFile(hDesFile, NULL, NULL, NULL, &IoStatusBlock, buffer, fsi.EndOfFile.LowPart, 0, NULL);
		if (!NT_SUCCESS(status))
		{
			KdPrint(("写入目标文件失败 错误码:%x\n", status));
			break;
		}
	} while (FALSE);
	
	//关闭源文件句柄
	if (NULL != hSrcFile)
	{
		ZwClose(hSrcFile);
		hSrcFile = NULL;
	}

	//关闭目标文件句柄
	if (NULL != hDesFile)
	{
		ZwClose(hDesFile);
		hSrcFile = NULL;
	}

	if (NULL!= buffer)
	{
		ExFreePoolWithTag(buffer, 'dale');
		buffer = NULL;
	}
	return status;
}

文件删除操作

调用函数ZwDeleteFile即可删除文件,也可以删除文件夹 ,需要包含头文件Ntifs.h 并且要在ntddk.h的前面
只能删除空文件家或者文件

#include < Ntifs.h>
#include <ntddk.h>

NTSTATUS KeDeleteFile(PCWSTR DesFileName)
{
	if(!DesFileName)
	{
		KdPrint(("要删除的文件路径不能为空\n"));
		return STATUS_INVALID_PARAMETER;
	}
	NTSTATUS status=STATUS_SUCCESS;
	OBJECT_ATTRIBUTES oa;
	UNICODE_STRING FileName;
	RtlInitUnicodeString(&FileName, DesFileName);
	InitializeObjectAttributes(&oa, &FileName, OBJ_CASE_INSENSITIVE|OBJ_KERNEL_HANDLE,NULL,NULL);
	status=ZwDeleteFile(&oa);
	if(!NT_SUCCESS(status))
	{
		KdPrint(("文件删除失败,错误码:%x\n",status));
		return status;
	}
	return status;
}

文件重命名

NTSTATUS ReNameFile(PCWSTR NewFileName, PCWSTR OriginalFileName)
{
	NTSTATUS status=STATUS_SUCCESS;
	
	//打开文件
	HANDLE hSrcFile;
	OBJECT_ATTRIBUTES oa;
	UNICODE_STRING usSrcFileName;
	if (!NewFileName || !OriginalFileName)
	{
		KdPrint(("路径不能为空\n"));
		return STATUS_INVALID_PARAMETER;
	}

	RtlInitUnicodeString(&usSrcFileName, OriginalFileName);
	InitializeObjectAttributes(&oa,
		&usSrcFileName,
		OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE,
		NULL,
		NULL
		);

	IO_STATUS_BLOCK IoStatusBlock;
	status = ZwCreateFile(&hSrcFile,
		GENERIC_ALL,
		&oa,
		&IoStatusBlock,
		NULL,
		FILE_ATTRIBUTE_NORMAL,
		FILE_SHARE_READ | FILE_SHARE_WRITE,
		FILE_OPEN,
		FILE_SYNCHRONOUS_IO_NONALERT,
		NULL,
		0);
	if (!NT_SUCCESS(status))
	{
		KdPrint(("源文件打开失败 错误码:%x\n", status));
		return status;
	}
	
	//计算出需要分配的内存大小,结构体PFILE_RENAME_INFORMATION+重命名的长度
	ULONG BufferLength = sizeof(FILE_RENAME_INFORMATION) + wcslen(NewFileName)*sizeof(WCHAR);

	//分配内存
	PFILE_RENAME_INFORMATION pri = (PFILE_RENAME_INFORMATION)ExAllocatePoolWithTag(PagedPool, BufferLength, 'dale');
	if (!pri)
	{
		KdPrint(("文件名分配失败\n"));
		ZwClose(hSrcFile);
		return STATUS_UNSUCCESSFUL;
	}
	//初始化内存
	RtlZeroMemory(pri, BufferLength);

	//把文件名复制到结构体中
	RtlCopyMemory(pri->FileName, NewFileName, wcslen(NewFileName)*sizeof(WCHAR));
	pri->FileNameLength = wcslen(NewFileName)*sizeof(WCHAR);
	pri->ReplaceIfExists = TRUE; //如果文件名存在就替换文件

	//设置文件信息 
	status = ZwSetInformationFile(hSrcFile, &IoStatusBlock, pri, BufferLength, FileRenameInformation);
	if (!NT_SUCCESS(status))
	{
		KdPrint(("重命名文件失败,status=%x\n",status));
	}
	
	ExFreePoolWithTag(pri, 'dale');
	ZwClose(hSrcFile);
	return status;
}

遍历文件

typedef struct _FILE_BOTH_DIR_INFORMATION {
    ULONG NextEntryOffset;	//到下一个entry的偏移  这个值也可以看成是这个块的大小.
    ULONG FileIndex;
    LARGE_INTEGER CreationTime;
    LARGE_INTEGER LastAccessTime;
    LARGE_INTEGER LastWriteTime;
    LARGE_INTEGER ChangeTime;
    LARGE_INTEGER EndOfFile;
    LARGE_INTEGER AllocationSize;
    ULONG FileAttributes;	//文件属性
    ULONG FileNameLength;	//文件名的长度
    ULONG EaSize;
    CCHAR ShortNameLength;
    WCHAR ShortName[12];
    WCHAR FileName[1];	//文件名
} FILE_BOTH_DIR_INFORMATION, *PFILE_BOTH_DIR_INFORMATION;

NTSTATUS Ergodic(PCWSTR FileDirName)
{
	NTSTATUS status = STATUS_SUCCESS;
	//打开文件
	HANDLE hFileDir;
	OBJECT_ATTRIBUTES oa;
	UNICODE_STRING usSrcFileName;

	if (!FileDirName)
	{
		KdPrint(("路径不能为空\n"));
		return STATUS_INVALID_PARAMETER;
	}

	RtlInitUnicodeString(&usSrcFileName, FileDirName);
	InitializeObjectAttributes(&oa,
		&usSrcFileName,
		OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE,
		NULL,
		NULL
		);

	IO_STATUS_BLOCK IoStatusBlock;
	status = ZwCreateFile(&hFileDir,
		FILE_LIST_DIRECTORY | SYNCHRONIZE | FILE_ANY_ACCESS,
		&oa,
		&IoStatusBlock,
		NULL,
		FILE_ATTRIBUTE_NORMAL,
		FILE_SHARE_READ | FILE_SHARE_WRITE,
		FILE_OPEN,
		FILE_DIRECTORY_FILE | FILE_SYNCHRONOUS_IO_NONALERT | FILE_OPEN_FOR_BACKUP_INTENT,
		NULL,
		0);
	if (!NT_SUCCESS(status))
	{
		KdPrint(("源文件打开失败 错误码:%x\n", status));
		return status;
	}

	IO_STATUS_BLOCK IoStackBlock;
	PFILE_BOTH_DIR_INFORMATION pbdi;

	pbdi = (PFILE_BOTH_DIR_INFORMATION)ExAllocatePoolWithTag(PagedPool, 1024*1024, 'dale');
	if (!pbdi)
	{
		KdPrint(("内存分配失败, status=%x\n", status));
		ZwClose(hFileDir);
	}

	RtlZeroMemory(pbdi, 1024*1024);
	WCHAR buffer[200] = { 0 };

	status = ZwQueryDirectoryFile(hFileDir,
		NULL,
		NULL,
		NULL,
		&IoStatusBlock,
		pbdi,
		1024*1024,
		FileBothDirectoryInformation,
		FALSE,//如果只需要返回一个条目,就设置为TRUE
		NULL,
		FALSE//如果要从目录中的第一个条目开始扫描,则设置为true。如果从上一次调用恢复扫描,则设置为false。
		);

	//怎样在不分配较大内存的情况下获得这个需要分配的值?
	KdPrint(("需要分配的内存大小是:%x\n",IoStatusBlock.Information));
	
	if (!NT_SUCCESS(status))
	{
		KdPrint(("查询目录失败,status=%x\n", status));
		ZwClose(hFileDir);
		ExFreePoolWithTag(pbdi, 'dale');
		return status;
	}
	PFILE_BOTH_DIR_INFORMATION pcdi = pbdi;
	while (TRUE)
	{
		RtlZeroMemory(buffer,sizeof(buffer));
		RtlCopyMemory(buffer, pcdi->FileName, pcdi->FileNameLength);
		KdPrint(("文件名:%S  \n", buffer));

		if (pcdi->NextEntryOffset == 0)
		{
			break;
		}
		//在64位下类型转换出现了错误,使用ULONG会蓝屏,要使用ULONG_PTR
		pcdi = (PFILE_BOTH_DIR_INFORMATION)((ULONG_PTR)pcdi + pcdi->NextEntryOffset);
	}  
	ExFreePoolWithTag(pbdi, 'dale');
	ZwClose(hFileDir);

	return status;
}
qq_857305819
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
驱动层获取文件大小、遍历文件夹、创建文件
03-26
驱动层获取文件大小,遍历文件夹、创建文件、隐藏文件
遍历进程内存
qq_41490873的博客
11-30 984
// inject.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。 // #include<Windows.h> #include <stdio.h> #define STATUS_UNSUCCESSFUL (0xc0000001) #define STATUS_INFO_LENGTH_MISMATCH 0xc0000004 #define NT_SUCCESS(x) ((x) >= 0) typedef enum _PROCESSINFOCLAS
驱动开发的分离与分层
最新发布
m0_46392035的博客
05-28 1001
分层就是将一个复杂的工作分成了多层, 分而做之,降低难度。在驱动里面,每一层只专注于自己的事情, 系统已经将其中的核心层和事件处理层写好了,我们只需要来写硬件相关的驱动层代码即可。可能驱动里面大家都不是很熟悉,比如说网络吧,网络里面分了很多层,7层模型或者4层模型等等,这些分层都有自己的任务,提供接口给每一个层使用,完成某一些工作;例如IP层,会将IP报文解析,解析完了的数据会给到网络层的协议栈,TCP/UDP等等。这样的好处就是,层与层之间相对独立,每一层的变动或者优化,对其他层影响都不大。
Windows内核漏洞学习-UAF
WocW的博客
05-20 819
0x00:前言 本章所提到的漏洞为UAF(释放后利用),这也是目前我所接触到的第一个复杂一点的内核漏洞。参考文章: 传送门 0x01:漏洞原理 NTSTATUS FreeUaFObject() { NTSTATUS Status = STATUS_UNSUCCESSFUL; PAGED_CODE(); __try { if (g_UseAfterFreeObject) { DbgPrint("[+] Freeing UaF Object
06文件操作
weixin_30954607的博客
08-30 254
文件操作文件操作函数在内容中使用的ZwXXXX系列,下面是函数一览表函数名功能ZwCreateFile打开文件ZwReadFile读取文件内容ZwWriteFile将数据写入文件ZwQueryInformationFile查询文件信息ZwDeleteFile删除文件ZwClose关闭文件打开/创建文件在内核中打开文件比较繁琐, 该函数使用了比较多的API:要打开的文件路径必须设置在OBJ...
内核下的文件操作
qq_41490873的博客
07-22 434
内核下对文件创建和打开都是通过ZwCreateFile,这个内核函数返回一个文件句柄,文件的所有操作都是依靠这个句柄进行操作的。在文件操作完毕后,需要关闭这个句柄。 NTSYSAPI NTSTATUS ZwCreateFile( PHANDLE FileHandle, ACCESS_MASK DesiredAccess, POBJECT_ATTRIBUTES ObjectAttributes, PIO_STATUS_BLOCK IoStatusBloc
Window文件监控微过滤驱动
07-25
当一个文件操作发生时,这个操作会经过微过滤驱动驱动可以决定是否拦截这个操作,进行处理,或者让操作继续向下传递到文件系统。通过注册回调函数,微过滤驱动可以在每个操作的开始(预处理)和结束(后处理)阶段...
驱动文件过滤加密源代码
03-22
在IT领域,驱动文件过滤加密是一种至关重要的技术,它涉及到操作系统内核、网络安全和数据保护等多个方面。本文将深入探讨驱动层加密源代码的工作原理、实现方式以及它在实际应用中的价值。 首先,让我们理解...
高级操作系统
11-04
在研究生级别的课程中,"高级操作系统"通常会深入探讨操作系统设计与实现的原理,包括进程管理、内存管理、文件系统、设备驱动、调度策略、并发控制以及安全性等内容。这个课程特别强调Linux操作系统作为实例,因为...
windows 驱动 应用层与驱动层通信(读、写文件) 源码
06-04
Windows驱动程序框架(WDF)和Windows驱动模型(WDM)是两种常见的驱动开发接口,用于实现应用层与驱动层之间的通信。本篇将深入探讨这两种框架下的读写文件操作以及IOCONTROL机制。 首先,我们来看一下应用层与...
linux下的文件过滤驱动
04-12
文件过滤驱动的核心功能是在文件系统的I/O操作(如打开、读取、写入、关闭等)发生时插入一个中间层。当用户空间应用程序尝试进行文件操作时,这些操作会被内核中的文件过滤驱动捕获,然后根据预定义的规则进行处理...
ZwQueryDirectoryFile
10-25
ZwQueryDirectoryFile 参数对应的结构体。ZwQueryDirectoryFile 参数对应的结构体。ZwQueryDirectoryFile 参数对应的结构体。ZwQueryDirectoryFile 参数对应的结构体。
驱动层双机调试,文件保护,进程保护
xiaobai_2511的博客
04-27 1883
最近在驱动层 做了三个东西   1、双机调试  win764 + 虚拟机win7 64  用的VirtualKD-3.0 (比串口那种通信好的多) 具体教程网上很多。 2、文件保护用的 minifliter,过程中,遇到的问题是用NT驱动加载minifilter 加载不上,用wdm驱动就能加载上。想要用NT 驱动加载上,需要创建服务之后,启动服务之前写注册表。具体方法参考这个链接  点击打开链
BASIC ROOTKIT that hides files, directories, and processes
02-01 1068
// BASIC ROOTKIT that hides files, directories, and processes// ----------------------------------------------------------// v0.1 - Initial, Greg Hoglund (hoglund@rootkit.com)// v0.2 - DirEntry struct
内核与驱动_04_文件操作
hskull的博客
02-14 474
文章目录文件操作概述使用OBJECT_ATTRIBUTES打开和关闭文件打开文件文件读/写操作读写使用示例遍历文件 文件操作 概述 在内核中也是可以操作文件的,在用户层中我们操作文件是会提供一个路径,但是在内核中,我们需要在路径前加上\\??\\。 使用OBJECT_ATTRIBUTES 在内核中进行文件操作时并不直接接受一个字符串路径,使用者必须首先填写一个OBJECT_ATTRIBUTE...
Win64 驱动内核编程-5.内核里操作文件
天使也掉毛
03-04 2362
内核里操作文件     RING0 操作文件和 RING3 操作文件在流程上没什么大的区别,也是“获得文件句柄->读/写/删/改->关闭文件句柄”的模式。当然了,只能用内核 API,不能用 WIN32API。在讲解具体的代码之前,先讲解一下文件系统的流程,让大家对整个文件系统有个大概的了解。     假设我们要读写一个文件,无论在 RING3 调用 ReadFile,还是在 RING0 调用 
一些内核操作函数
sqzxwq的博客
09-03 2636
#ifdef __cplusplus extern "C" { #endif #define DELAY_ONE_MICRO (-10) #define DELAY_ONE_MILLI (DELAY_ONE_MICRO*1000) #include #include NTSTATUS DriverEntry(IN PDRIVER_OBJECT objDriver,IN PUNICODE_
MDL 内存映射实现HOOK
Doub1's Blog
04-11 1113
简单的NT式驱动 typedef NTSTATUS (*REALZWQUERYDIRECTORYFILE)(IN HANDLE hFile, IN HANDLE hEvent OPTIONAL, IN PIO_APC_ROUTINE IoApcRoutine OPTIONAL, IN PVOID IoApcContext OPTIONAL, OUT PIO_STATUS_BLOCK pIoSt...
Windows下设备驱动程序的开发方法.pdf
11-09
章节五和六着重于文件操作,介绍了如何在驱动程序中创建、打开文件,执行读写操作,以及与文件系统的交互。同样,注册表操作也得到了详细的介绍,包括注册表的创建、读写和枚举。 时间管理和线程调度也是驱动程序...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值