Windows驱动开发(4) - 内核模式下的文件操作

最新推荐文章于 2022-12-03 11:45:37 发布
最新推荐文章于 2022-12-03 11:45:37 发布
阅读量1.5k 收藏 3
点赞数
分类专栏: Win驱动开发 文章标签: windows 驱动开发 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011471873/article/details/51166065
版权

Windows驱动开发(4) - 内核模式下的文件操作

1、文件的创建

NTSTATUS ZwCreateFile(
  _Out_    PHANDLE            FileHandle,
  _In_     ACCESS_MASK        DesiredAccess,
  _In_     POBJECT_ATTRIBUTES ObjectAttributes,
  _Out_    PIO_STATUS_BLOCK   IoStatusBlock,
  _In_opt_ PLARGE_INTEGER     AllocationSize,
  _In_     ULONG              FileAttributes,
  _In_     ULONG              ShareAccess,
  _In_     ULONG              CreateDisposition,
  _In_     ULONG              CreateOptions,
  _In_opt_ PVOID              EaBuffer,
  _In_     ULONG              EaLength
);
  • FileHandle:返回打开文件的句柄。
  • DesiredAccess:对打开文件操作的描述,读、写、其他。
  • ObjectAttributes:是OBJECT_ATTRIBUTES结构的地址,该结构包含要打开的文件名。
  • IoStatusBlock:指向一个IO_STATUS_BLOCK结构,该结构接收ZwCreateFile操作的结果状态。
  • AllocationSize:指向64位整数的指针,指定文件初始分配时的大小。
  • FileAttributes:0或FILE_ATTRIBUTE_NORMAL,指定新创建文件的属性。
  • ShareAccess:FILE_SHARE_READ或0,指定文件共享方式。
  • CreateDisposition:FILE_OPEN、FILE_OVERWRITE_IF,表明当指定文件存在或不存在时应如何处理。
  • CreateOptions:FILE_SYNCHRONOUS_IO_NONALERT,指定控制打开操作和句柄使用的附加标志位。
  • EaBuffer:指向可选的扩展属性区的指针。
  • EaLength:扩展属性区的长度。
VOID InitializeObjectAttributes(
  [out]          POBJECT_ATTRIBUTES   InitializedAttributes,
  [in]           PUNICODE_STRING      ObjectName,
  [in]           ULONG                Attributes,
  [in]           HANDLE               RootDirectory,
  [in, optional] PSECURITY_DESCRIPTOR SecurityDescriptor
);

初始化OBJECT_ATTRIBUTES结构。
- InitializedAttributes:返回的OBJECT_ATTRIBUTES结构。
- ObjectName:对象名称(文件名,必须为符号链接或设备名,如:”\??\c:”),用UNICODE_STRING描述。
- Attributes:大小写敏感。
- RootDirectory:一般为NULL。
- SecurityDescriptor:一般为NULL。

2、文件的打开

NTSTATUS ZwOpenFile(
  _Out_ PHANDLE            FileHandle,
  _In_  ACCESS_MASK        DesiredAccess,
  _In_  POBJECT_ATTRIBUTES ObjectAttributes,
  _Out_ PIO_STATUS_BLOCK   IoStatusBlock,
  _In_  ULONG              ShareAccess,
  _In_  ULONG              OpenOptions
);
  • FileHandle:返回打开文件的句柄。
  • DesiredAccess:打开的权限。
  • ObjectAttributes:ObjectAttributes结构。
  • IoStatusBlock:指向一个结构体的指针,该结构体指明打开文件的状态。
  • ShareAccess:共享的权限。
  • OpenOptions:打开选项。
  • 返回值:指明文件是否被打开。

3、获取或修改文件属性

NTSTATUS ZwSetInformationFile(
  _In_  HANDLE                 FileHandle,
  _Out_ PIO_STATUS_BLOCK       IoStatusBlock,
  _In_  PVOID                  FileInformation,
  _In_  ULONG                  Length,
  _In_  FILE_INFORMATION_CLASS FileInformationClass
);
  • FileHandle:文件句柄。
  • IoStatusBlock:返回设置的状态。
  • FileInformation:输入信息。
  • Length:FileInformation数据的长度。
  • FileInformationClass:描述修改属性的类型。
NTSTATUS ZwQueryInformationFile(
  _In_  HANDLE                 FileHandle,
  _Out_ PIO_STATUS_BLOCK       IoStatusBlock,
  _Out_ PVOID                  FileInformation,
  _In_  ULONG                  Length,
  _In_  FILE_INFORMATION_CLASS FileInformationClass
);
  • FileHandle:文件句柄。
  • IoStatusBlock:返回设置的状态。
  • FileInformation:输出信息。
  • Length:FileInformation数据的长度。
  • FileInformationClass:描述查询属性的类型。

(1)当FileInformationClass是FileStandardInformation时,输入输出的数据是FILE_STANDARD_INFORMATION结构体。

typedef struct _FILE_STANDARD_INFORMATION {
  LARGE_INTEGER AllocationSize; //为文件分配的大小
  LARGE_INTEGER EndOfFile;      //距离文件结尾还有多少字节
  ULONG         NumberOfLinks;  //有多少个链接文件
  BOOLEAN       DeletePending;  //是否准备删除
  BOOLEAN       Directory;      //是否为目录
} FILE_STANDARD_INFORMATION, *PFILE_STANDARD_INFORMATION;

(2)当FileInformationClass是FileBasicInformation时,输入输出的数据是FILE_BASIC_INFORMATION结构体。

typedef struct _FILE_BASIC_INFORMATION {
  LARGE_INTEGER CreationTime;   //文件创建时间
  LARGE_INTEGER LastAccessTime; //最后访问时间
  LARGE_INTEGER LastWriteTime;  //最后写时间
  LARGE_INTEGER ChangeTime;     //修改时间
  ULONG         FileAttributes; //文件属性
} FILE_BASIC_INFORMATION, *PFILE_BASIC_INFORMATION;

(3)当FileInformationClass是FileNameInformation时,输入输出的数据是FILE_NAME_INFORMATION结构体。

typedef struct _FILE_NAME_INFORMATION {
  ULONG FileNameLength;         //文件名长度
  WCHAR FileName[1];            //文件名
} FILE_NAME_INFORMATION, *PFILE_NAME_INFORMATION;

(4)当FileInformationClass是FilePositionInformation时,输入输出的数据是FILE_POSITION_INFORMATION结构体。

typedef struct _FILE_POSITION_INFORMATION {
  LARGE_INTEGER CurrentByteOffset;  //代表当前文件指针的位置
} FILE_POSITION_INFORMATION, *PFILE_POSITION_INFORMATION;

4、文件写操作

NTSTATUS ZwWriteFile(
  _In_     HANDLE           FileHandle,
  _In_opt_ HANDLE           Event,
  _In_opt_ PIO_APC_ROUTINE  ApcRoutine,
  _In_opt_ PVOID            ApcContext,
  _Out_    PIO_STATUS_BLOCK IoStatusBlock,
  _In_     PVOID            Buffer,
  _In_     ULONG            Length,
  _In_opt_ PLARGE_INTEGER   ByteOffset,
  _In_opt_ PULONG           Key
);
  • FileHandle:文件句柄。
  • Event:很少用到,一般为NULL。
  • ApcRoutine:很少用到,一般为NULL。
  • ApcContext:很少用到,一般为NULL。
  • IoStatusBlock:记录写操作的状态。
  • Buffer:从这个缓冲区开始往文件里写。
  • Length:准备写多少字节。
  • ByteOffset:从文件的多少偏移地址开始写。
  • Key:很少用到,一般为NULL。

6、文件读操作

NTSTATUS ZwReadFile(
  _In_     HANDLE           FileHandle,
  _In_opt_ HANDLE           Event,
  _In_opt_ PIO_APC_ROUTINE  ApcRoutine,
  _In_opt_ PVOID            ApcContext,
  _Out_    PIO_STATUS_BLOCK IoStatusBlock,
  _Out_    PVOID            Buffer,
  _In_     ULONG            Length,
  _In_opt_ PLARGE_INTEGER   ByteOffset,
  _In_opt_ PULONG           Key
);
  • FileHandle:文件句柄。
  • Event:很少用到,一般为NULL。
  • ApcRoutine:很少用到,一般为NULL。
  • ApcContext:很少用到,一般为NULL。
  • IoStatusBlock:记录读操作的状态。
  • Buffer:将数据读到这个缓冲区。
  • Length:准备读多少字节。
  • ByteOffset:从文件的多少偏移地址开始读。
  • Key:很少用到,一般为NULL。
Vinx911
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows内核模块中的写文件操作
06-15
在编写Windows驱动程序的时候,往往使用debugview打印日志,单步跟踪驱动程序的执行情况,但是,有时候debugview的功能还不够,需要手动将驱动程序里的某些信息写入本地文件,该程序就是实现这个功能
windows内核文件操作
做好我自己
05-17 1059
简单的看了下内核文件操作 和 应用层的文件操作的api调用基本上是一致的 只是有些小小的不同 打开文件的路径方面,文件名一般不用字符串了, 一般都用一个OBJECT_ATTRIBUTE的结构体代替,这个结构中当然包含了一个字符串形式的文件路径 文件路径也比较怪 因为是用的符合链接对象,所以它一般都是这样的 //??//c://a.dat 的形式注册表的路径一般都是完整路径的,
Windows内核驱动操作文件
ALCAT的专栏
11-08 5805
一. 在驱动中使用文件Windows执行体中,通过文件对象来代表文件,该文件对象是一种由对象管理器管理的执行体对象。例如:目录也是由文件对象代表的。 内核组件通过对象名来引用文件,即在文件的全路径前面加\DosDevices。(在Windows 2000及后续操作系统中,\??等同于\DosDevices)。例如,文件C:\WINDOWS\example.txt的对象名为\DosDevic
windows内核编程-文件操作
大草的博客
12-03 1718
windows内核编程-文件操作-日志记录
文件操作--windows内核安全与驱动开发
l19901218的博客
04-19 254
/* 首先,"文件"是什么? 我个人的理解,文件就会一堆二进制数据,这些数据表示了一堆信息,仅此而已! 在windows内核中,要打开一个文件,首先要填充一个OBJECT_ATTRIBUTES这个结构体,这个结构体貌似没用文档化。 但是它总是被InitializeObjectAttributes初始化。 接下来 打开和关闭 文件。 打开一个文件用 ZwCreateFile 参数的具体意义是什么...
Windows驱动编程视频教程-内核模式下的文件操作
08-19
内核模式文件操作不仅涉及到常规用户模式下的文件I/O,还涉及更复杂的同步、调度和错误处理。 1. **内核模式概述**:内核模式操作系统的核心部分,拥有无限制的硬件访问权限,允许执行关键任务,如管理硬件资源、...
Windows内核安全与驱动开发 随书源码.rar
06-18
Windows驱动开发主要包括用户模式驱动内核模式驱动。用户模式驱动运行在较低权限级别,安全性相对较高,但性能受限;而内核模式驱动则拥有更高的权限,可以更直接地访问硬件,但同时也增加了安全风险。 在Windows...
Windows驱动编程视频教程-内核模式下的字符串操作
08-19
"Windows驱动编程视频教程-内核模式下的字符串操作"是一个深入探讨如何在内核模式下处理字符串的教程。这个教程可能包含了以下关键知识点: 1. **内核模式**:内核模式操作系统中的最高权限级别,它允许执行对...
Windows内核安全与驱动开发
06-03
3. **IRP(I/O Request Packets)**:这是内核模式下进行I/O操作的主要方式,驱动程序通过处理IRP来响应来自用户模式的应用程序或其它驱动的请求。 4. **文件系统驱动**:包括文件过滤驱动文件系统驱动,前者主要...
windows内核安全与驱动开发 光盘文件 下载
02-22
Windows内核安全与驱动开发》是一本深入探讨操作系统核心层面安全性和驱动程序开发的专业书籍。这本书的内容涵盖了Windows内核的基础知识,内核安全机制,以及如何编写和调试驱动程序等多个方面。对于想要深入理解...
强制删除一个文件驱动程序
12-12
可以强制删除一个正在运行的文件驱动程序,已经调试通过。适合初学者
Windows驱动开发技术详解(高清PDF+完整源码)
09-20
Windows驱动开发技术详解》是一本win编程提高的好书,希望能对你有所帮助!!!
C语言实现的读写配置文件函数,与Windows API函数功能一样
11-05
利用纯C语言实现的配置文件.ini读写函数,可跨平台使用。功能与Windows API函数 WritePrivateProfileString 和GetPrivateProfileString 一样
【转】Windows平台内核文件访问
03-06 626
1.背景    在windows平台下,应用程序通常使用API函数来进行文件访问,创建,打开,读写文件。从kernel32的CreateFile/ReadFile/WriteFile函数,到本地系统服务,再到FileSystem及其FilterDriver,经历了很多层次。在每个层次上,都存在着安全防护软件,病毒或者后门作监视或者过滤的机会。作为安全产品开发者,我们需要比别人走得更远,因此
windows内核读写文件
World-wang
06-19 1360
/////////////////////////////////////////////////////////////////////////////// /// /// Copyright (c) 2014 - /// /// Original filename: FileOperation.cpp /// Project : FileOperation /// Date
【原创】《windows驱动开发技术详解》第4章实验总结二
weixin_34235105的博客
08-16 154
1 实验要求(WDM驱动) 2 编写过程 2.1 确立整体架构 2.1.1 入口函数——DriverEntry (1)作用 设置pDriverObject结构体,注册AddDevice和相关PNP函数,包括IRP_MJ_PNP,IRP_MJ_CREATE等 (2)注意 AddDevice在Driver_Object结构体的Dr...
WDF驱动开发 中文版 2007.4 版
洋文馆
05-10 611
Developing Drivers with the Windows Driver Foundation 中文版 自己利用闲暇的时间, 自己翻译的, 后续还有一些资源提供, 多谢支持. 我的淘宝账号:osoon2008 售价:10元 由于工作关系, 无法长时间挂在网上, 你转账之后, 请发一封邮件至doc_sale@163.com, 注明你的淘宝账号和邮箱地址,并在邮件
windows driver 获取文件属性
weixin_34174132的博客
11-13 177
OBJECT_ATTRIBUTES oa; FILE_NETWORK_OPEN_INFORMATION fnoi; UNICODE_STRING strPath = RTL_CONSTANT_STRING(L"\\??\\E:\\安装软件\\win7旗舰版.iso"); LARGE_INTEGER li_temp; char strTime[ArrayLength] = {0...
Windows驱动开发-文件基本操作
weixin_42071117的博客
04-05 887
#include <ntddk.h> VOID DriverUnload(IN PDRIVER_OBJECT DriverObject) { KdPrint(("驱动卸载\n")); UNREFERENCED_PARAMETER(DriverObject); } // 创建文件 VOID CreateFileTest(); // 写入文件 VOID WriteFileTest(); // 读取文件 VOID ReadFileTest(); // 读取文件属性 VOID ReadF
深入浅出windows驱动开发(竹林蹊径)
最新发布
01-08
"《深入浅出windows驱动开发(竹林蹊径)》是一本由张佩、马勇、董鉴源编著的关于Windows驱动开发的专业书籍,详细介绍了Windows驱动框架(WDF)以及音视频驱动和设备驱动安装的相关知识。这本书特别适合初学者和有...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值