Windows系统的文件重定向机制

最新推荐文章于 2024-08-15 11:56:02 发布
最新推荐文章于 2024-08-15 11:56:02 发布
阅读量2.5k 收藏 5
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sxr__nc/article/details/100665314
版权

这几天在分析病毒的时候发现,病毒在执行遍历文件操作的时候,会调用Wow64DisableWow64FsRedirection和Wow64RevertWow64FsRedirection这两个API,
MSDN网址:https://docs.microsoft.com/zh-cn/windows/win32/api/wow64apiset/nf-wow64apiset-wow64revertwow64fsredirection
经过查阅资料发现,这两个API函数的作用分别是禁止调用线程的文件系统重定向、恢复调用线程的文件系统重定向。这个时候问题由来了,文件系统重定向是个什么东西?有什么用呢?为什么病毒在运行的时候,要禁用文件系统重定向呢?又为什么禁用之后还要开启?

查阅资料之后,有所了解,姑且写出来,供大家参阅
1、文件重定向机制是Windows64位系统存在的一种文件访问机制;
2、在Windows64位系统中,在C:Windows目录下存在System32和SysWow64两个文件夹,但是需要注意的是System32文件夹里边存放的是64位的文件以及DLL,而SysWow64文件夹下存放的是32位DLL。
3、重要的是,我们要知道64位Windows通过System32和SysWoW64两件文件夹来区分64位和32位的系统文件。
4、当32位的程序尝试访问System32文件夹的时候,重定向机制就上线了,当32位程序试图访问System32下的文件的时候就会被重定向到SysWow64文件夹下
5、那么最关键的问题来了,如果说我们32位的程序就偏偏想访问我们的System32目录下的东西呢?其实很好解决,Windows再提供重定向机制的同时,也为我们提供了一组这样的API函数,用来禁止和开启Windows的重定向。在默认情况下,Windows系统的重定向机制是开启的,但是当我们要用32位的程序去放问System32 目录下的文件的时候,可以使用禁止文件重定向机制的API函数,这样就可以直接访问到System32目录下的文件,但是需要注意一点,完成访问之后必须立刻重新启用文件系统重定向机制
6、最后需要主意一点,禁用文件系统的从定向值在线程当中有效,也就是说你在线程1禁用之后并不影响线程2;
7、如何在不禁用文件系统重定向机制的情况下,用32位的程序访问System32文件夹的内容,直接访问SysNative文件夹就好了,SysNative这个文件夹是不能直接找到的,它是一个虚拟的文件夹。
后附上两种实现的方法;(代码来源:查看网上资源和MSDN,在再加上自己的调试):
禁用重定向的方法:

#include <Windows.h>
#include <string>
#include <tchar.h>
#include <Shlwapi.h>
#pragma comment(lib,"Shlwapi.lib")  
int main()
{    std::wstring strFile = L"C://Windows//System32//QQUrlMgr.exe";    // 64位系统下 system32 文件系统重定向   
	PVOID OldValue = NULL;    
	Wow64DisableWow64FsRedirection(&OldValue);                 //禁用文件系统重定向  
	if (::PathFileExists(strFile.c_str()))    
		{        
			::MessageBox(NULL, _T("文件存在"), _T("Good"), MB_OK);   
		}    
	else    
	{        
		::MessageBox(NULL, _T("文件不存在"), _T("Opps"), MB_OK);   
	}   
	Wow64RevertWow64FsRedirection(OldValue);  //启用文件系统重定向

	return EXIT_SUCCESS;
}

不禁用重定向的方法:

#include <Windows.h>
#include <string>
#include <tchar.h>
#include <Shlwapi.h>
#pragma comment(lib,"Shlwapi.lib")  
int main()
{   
	int c;
	std::wstring strFile = L"C://Windows//SysNative//QQUrlMgr.exe";    
	if (::PathFileExists(strFile.c_str()))   
	{        ::MessageBox(NULL, _T("文件存在"), _T("Good"), MB_OK);
			printf("adsdass");
			Sleep(1000);
	}   
	else    
	{        ::MessageBox(NULL, _T("文件不存在"), _T("Opps"), MB_OK);    }    
	return EXIT_SUCCESS;
}

如果有什么不太对的地方希望大家可以指正

Psy_Hacker
关注
Windows文件夹重定向工具
07-27
Windows文件夹重定向工具--这样可以用于怕失文件的人员使用了,呵呵,,很不错哦。。。
开启关闭 Windows文件系统重定位
a1371192766的博客
04-18 959
64位操作系统:syswow64文件夹中保存的是32位程序system32文件夹中保存的是64位程序32位操作系统:略。
linux基础IO——重定向原理学习——重定向指令实现、虚拟文件系统
最新发布
strive_mianyang的博客
08-15 4044
linux文件——重定向底层原理与本质
关闭文件重定向
slfkj的博客
05-23 2583
typedef BOOL (WINAPI * _tagWow64DisableWow64FsRedirection)(LPVOID *); typedef BOOL (WINAPI * _tagWow64RevertWow64FsRedirection)(LPVOID); PVOID g_OldValue ; BOOL g_bCloseWowRedirection; BOOL IsWow6...
【无标题】
Ucsasuke的博客
11-17 824
Win64某些情况下无法直接打开Win32创建的文件夹 1、解释下问题含义,指在一个64位Windows系统上面(譬如Win7x64,Win10x64),如果一个32位的程序调用系统API打开文件对话框(譬如打开文件,保存文件)或者打开文件夹对话框,在指向系统盘下的Windows\System32目录时,会发现实际指向的是Windows\SysWOW64目录问题。 2、关于64位系统文件重定向问题,网上已经有很多文章进行了介绍,这里不再赘述(参考[1])。 3、测试验证环境:Windows10 x64 19
Linux 常用命令
FzuGsr的专栏
06-23 238
linux常用的一些命令: 命令 解释 find -name 文件名/目录名 查找指定文件或目录 wc -l `find -name 文件名` 统计指定同一类型文件的各个文件的行数 ps -aux 查看进程 ps -aux | grep 指定内容 查看指定内容进程 ...
Windows系统中两类文件与注册表重定向说明
10-10
### Windows系统中两类文件与注册表重定向说明 ...通过本文的介绍,我们希望能够帮助开发者更好地理解Windows系统中的重定向机制,并在实际开发中合理利用这些特性,提高软件产品的质量和用户体验。
windows目录重定向源码
05-06
Windows操作系统中,目录重定向是一项关键功能,它允许用户将特定的个人文件夹或整个文件系统路径重定向到不同的位置,通常是网络共享位置。这有助于实现数据备份、权限管理以及便于多用户访问同一资源的目的。...
文件系统unix模拟程序
09-07
在IT领域,文件系统是操作系统的核心组成部分,它负责管理和组织计算机中的数据存储。"文件系统UNIX模拟程序"是一个旨在在非UNIX环境中复制UNIX文件系统特性的软件。这个模拟程序允许用户在非UNIX平台上体验和利用与...
Win32位程序(64位系统文件对话框的文件重定向问题(源代码)
04-18
最近有客户反馈,使用我们提供的安全软件,在一些特殊场景(譬如信任文件),无法找到C:\Windows\System32下面一个指定的文件文件(客户是想加白这个目录下面的一个文件)。收到反馈后,我们试验了下,发现真的有问题,不过初步判断应该就是x64系统上面的文件重定向问题(无法在文件对话框看到真正的c:\windows\system32下的子文件夹或者文件的原因是,被重定向到了c:\windows\syswow64下面,看到的都是这个目录下的文件文件夹)。然而真正去解决的时候发现,bug比想象中难修复。本资源就是用来解决此问题。文章参考:
Windows文件夹重定向
09-04
可实现系统文件夹轻松转移,2010-9-4扫描没有病毒
pe-loader:Windows PE格式的文件加载器
05-15
编译的可执行文件可以在build\(Debug|Release)用法示例中找到: loader.exe " C:\WINDOWS\system32\ping.exe " -t 127.0.0.1局限性大部分与Windows XP兼容(已在Windows XP,7、8上测试) 仅32位图像根据官方PE格式...
文件重定向(采用文件过滤驱动实现)
myworldbig的专栏
06-28 4897
原文:http://hi.baidu.com/tzpwater/blog/item/9bf66eb5196b1fe130add132.html/cmtid/65f21515aea03006c83d6d41Windows的I/O管理器提供了一个方便的方法来重定向一个文件对象。通常使用文件过滤驱动(在文件打开和文件创建的操作中)实现该方法。操作方法如下:1、在IRP_MJ_CREATE的分发函
你们是不是对QQ总在后台莫名其妙更新一些东西很反感
weixin_33754913的博客
06-27 332
开始 - 运行 - gpedit.msc 打开策略组依次进入计算机配置——Windows设置——安全设置——软件限制策略——其他规则有人说软件限制策略下面是空的 你在软件限制策略上右键——新建 下面的目录自然就出来了右键——新建路径规则 依次输入如下路径并选择不允许<系统路径>C:\Users\用户名\AppData\Roaming\Tencent\QQ\AuT...
32位程序关闭路径重定向
weixin_30414305的博客
12-02 174
使用64 system32目录下的文件 LPVOID pVoid = NULL; BOOL bRet = Wow64DisableWow64FsRedirection(&pVoid); if (bRet == TRUE) { "C:\\Windows\\System32\\XXX.exe" Wow64RevertWow64FsRedirection(pVoid);} 转载于...
32位程序访问64位Windows操作系统存放64位系统文件的 \Windows\System32 目录时将遇到重定向目录问题
henter的专栏
03-06 2829
    为了检测 exe、dll、ocx 等类型的文件是 32 位还是 64 位,网上有文章推荐使用 EXE 64bit Detector 之类的工具软件。EXE 64bit Detector 的官网是:http://securityxploded.com/exe-64bit-detector.php ,使用 EXE 64bit Detector 查看一般普通目录中文件的位数是有效的,但是如果用它...
File.exsit查询system32下dll出错|windows64 文件重定向机制
u010989503的博客
09-25 344
现象:最近做的一个项目发现File.Exist查找system32下的dll时 明明dll不存在 但是返回依然是存在 尝试了CopyTo 到D盘 发现的确能拷贝出来 后面看了下syswow64 发现里面有同名文件 而且大小跟D盘拷贝出来的一致。MMP... 查了下发现64位windows操作系统存在文件系统重定向机制 也就是即便system32下不存在某文件但是syswow64下存在同名文件的话...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值