Win64 驱动内核编程-5.内核里操作文件

最新推荐文章于 2023-07-14 17:50:59 发布
最新推荐文章于 2023-07-14 17:50:59 发布
阅读量2.4k 收藏 3
点赞数 2
分类专栏: 驱动内核编程 文章标签: 内核里操作文件 驱动 WIN64驱动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013761036/article/details/60363402
版权
本文介绍了Win64驱动中内核操作文件的基本流程,从RING0的角度出发,详细阐述了从ReadFile或NtReadFile到IRP的传递过程,涉及文件系统驱动、磁盘类驱动、磁盘小端口驱动以及HAL.DLL的角色。在内核层,文件夹和文件的操作并无显著区别。文章还列举了几个内核级文件操作的例子,包括读写、删除、重命名和枚举文件以及获取文件信息的相关Zw函数。
摘要由CSDN通过智能技术生成

内核里操作文件

    RING0 操作文件和 RING3 操作文件在流程上没什么大的区别,也是“获得文件句柄->///->关闭文件句柄”的模式。当然了,只能用内核 API,不能用 WIN32API。在讲解具体的代码之前,先讲解一下文件系统的流程,让大家对整个文件系统有个大概的了解。

    假设我们要读写一个文件,无论在 RING3 调用 ReadFile,还是在 RING0 调用 NtReadFile,它们最终会转换为 IRP,发送到 文件系统驱动(具体哪个驱动和分区类型相关,如果是 FAT32分区,则是 FASTFAT.SYS;如果是 NTFS 分区,则是 NTFS.SYS)的 IRP_MJ_READ 分发函数里。文件系统驱动经过一定处理后,就把 IRP 传给 磁盘类驱动(通常是 CLASSPNP.SYS,此驱动的源码在 WDK 里有)的 IRP_MJ_READ 分发函数处理。磁盘类驱动处理完毕后,又把 IRP 传给磁盘小端口驱动的 IRP_MJ_SCSI 分发函数处理。 磁盘小端口 驱动太多了,网上有人 用ATAPI.SYS  来指代 磁盘 小端口驱动,是极端错误的说法。ATAPI.SYS 是磁盘小端口驱动,但磁盘小端口驱动绝非只能是 

最低0.47元/天 解锁文章
京城一十三
关注
专栏目录
内核编程驱动之学习笔记
ATree的博客
11-10 732
驱动程序挂靠任意进程最近学习了内核编程,虽然说学的比较浅,但是也不能有一丝丝的懈怠,生怕自己听不懂,又被班同学落(la)下……就如我的QQ个性签名一样,“有的时候,我们不停地跑啊跑,只是为了能追上那个被寄予厚望的自己……” 操作系统的内核是非常强大的,强大到令你吃惊,内存管理,进程管理,中断机制,保护机制……内核中没有进程,只有线程,都是属于系统进程下的线程,所以我们加载的驱动,都是跑在系统进程下的
Win64 驱动内核编程-26.强制结束进程
墨鱼菜鸡
12-18 245
强制结束进程 依然已经走到驱动这一层了,那么通常结束掉一个进程不是什么难的事情。同时因为win64位的各种保护,导致大家慢慢的已经不敢HOOK了,当然这指的是产品。作为学习和破解的话当然可以尝试各种hook。目前来说很多杀软进程保护都是通过回调了保护的,简单,稳定,安全。So,强制结束进程会比当...
windows内核驱动编程基础
04-30
windows内核驱动编程基础 详细介绍windows内核驱动编程技术
设备驱动中的并发控制
Leon的博客
10-17 942
在为操作系统编写驱动设备时,因为涉及到中断、多任务和多处理器SMP的处理,所以内核提供了诸如原子操作、信号量、完成量等几种并发控制机制,对公用资源进行保护。下文将分别予以阐述。 1、原子变量 原子变量就是,在对其进行操作时不会被其它任务或中断打断。而原子操作需要硬件的支持,因此时架构相关的,其API和原子类型的定义在内核include/asm/atomic.h文件中,都是用汇编语言实现的。它的优点是使用简单,但缺点是功能单一,只能做计数操作,保护的东西太少。在Linux中,原子变量的定义如下: typede
驱动内核模块编写步骤
qq_43814197的博客
04-29 640
驱动内核模块编写步骤 一、模块编写 1.模块组成(以下为一个模板实例) 一个内核模块一共由四部分组成:头文件,实现函数,注册功能以及模块描述: //头文件: #include <linux/init.h> #include <linux/module.h> #define MA 500 #define MI 0 static dev_t devno = 0; static int devNum = 1; static char* devName = "myDev"; static s
WDM Filter 驱动的一点基础知识
fanxiushu的专栏
04-22 6308
By Fanxiushu ,引用和转载请注明原作者 WDM Filter是一类驱动的总称,它把自己挂载到功能设备(FDO)之下或者之上,拦截所有的IRP,对这些IRP分析处理,从而达到过滤的目的。 它跟 NT式过滤驱动都是一样的目的,比如前面文章讲到的TDI Filter驱动就是个标准的NT式过滤驱动, 但是处理方式上稍微有些不同,主要区别在 WDM需要处理即插即用和电源上。 这主要
Win64 驱动内核编程-21.DKOM隐藏和保护进程
墨鱼菜鸡
12-18 205
DKOM隐藏和保护进程 主要就是操作链表,以及修改节点内容。 DKOM隐藏进程和保护进程的本质是操作EPROCESS结构体,不同的系统用的时候注意查下相关定义,确定下偏移,下面的数据是以win764为例。 关注两个成员:ActiveProcessLinks和Flag。 Acti...
Win64 驱动内核编程-16.WFP网络监控驱动(防火墙)
墨鱼菜鸡
12-18 713
WFP驱动监控网络 WFP是微软推出来替代TDIHOOK、NDISHOOK等拦截网络通信的方案,WFP的框架非常庞大,在RING3和RING0各有一套类似的函数,令人兴奋的是,即使在R3使用WFP,也可以做到全局拦截访问网络。由于WFP的范围太广,实在难以一言概括,感...
内核开发需要用到的高频复制指令
最新发布
keke_Memory的博客
07-14 314
以上工具和命令可用于在内核开发过程中实现本地到远程服务器的文件或目录复制。根据您的具体需求和环境,请选择适合的工具和命令进行远程复制操作。是一个强大的文件同步和复制工具,可通过SSH协议实现远程文件复制。它可以高效地同步本地和远程文件,并仅复制已更改的部分。这些命令是内核开发过程中常用的文件复制命令,可以根据具体的需求和场景选择使用。它可以在本地计算机和远程服务器之间复制文件和目录。命令用于在本地和远程系统之间同步和复制文件。命令,通过将文件传输管道重定向到远程服务器上的命令来实现远程复制。
Win64DriverStudy_Src:WIN64驱动编程基础教程-源码作者:胡文亮
03-24
#### WIN64驱动编程基础教程作者:胡文亮 原始码的编译环境是WDK7600 以下是记者介绍 【原创+福利+源码包】WIN64驱动编程基础教程(含PASS DSE的文件) 大家好,我的是Tesla.Angela。 这份指南本来是拿来出售的,不过由于某些原因导致部分章节出现在了互联网上,于是决定彻底公开了。 详细目录如下: 0.基础的基础 |-学习WIN64驱动开发的硬件准备 |-配置驱动开发环境 1.驱动级HelloWorld |-配置驱动测试环境 |-编译和加载内核HelloWorld 2.内核编程基础 | -WIN64内核编程的基本规则 |-驱动程序与应用程序通信 |-内核使用内存 |-内核操作字符串 |-内核操作文件 |-内核操作注册表 |-内核操作进线程 |-驱动的其他常用代码 3.内核HOOK与UNHOOK |-系统调用,WOW64与兼容模式 |-编程
Windows内核编程(二)-第一个内核程序
qq_40277608的博客
11-16 4372
第一个内核程序 通过 Visual Studio新建工程 注意事项: 大部分widnows驱动程序都是内核驱动(Kernel Driver),所以本笔记不分"驱动程序"与"内核编程",也不区分"内核模块"(Kernel Module)、“驱动程序”(Driver)与"内核程序",这些词汇统一指编译出的扩展名为".sys"的可执行文件(并非强制扩展名为.sys),也不区分"应用层"与"用户态"。 驱动分类: NT驱动 最简单的驱动模型,不支持硬件特性 WDM驱动 在NT驱动的基础上引入的一套驱动模型,支持即
IoCreateFile vs IoCreateFile
weixin_33907511的博客
06-29 404
感觉IoCreateFile应该算是系统调用,它会调用ObCreateObject函数。 IoCreateFile和IoCreateDevice都会调用ObCreateObject函数。 在中IoCreateFile中, Status = ObCreateObject(FileHandle, DesiredAc...
windows内核情景分析 --- 文件系统
maomao171314的专栏
04-04 3657
文件系统 一台机器上可以安装很多物理介质来存放资料(如磁盘、光盘、软盘、U盘等)。各种物理介质千差万别,都配备有各自的驱动程序,为了统一地访问这些物理介质,windows设计了文件系统机制。应用程序要访问存储在那些物理介质上的资料时,无需直接访问,只需借助文件系统即可对其有效访问。各种物理介质的存储方式千差万别,文件系统则按照‘文件’的概念,把要存储的资料以文件为单位进行存放,然后,读取的时候也
围观文件穿越操作
Returns' Station
06-06 1252
大概这么几个思路   1.      打开文件用IoCreateFile,其他比较好发irp的(比如删除操作)走FSD irp 删除文件部分处理了删除正在运行的exe镜像部分,做法是方法是IAT Hook MmFlushImageSection 但是这样对于独占文件依旧不能处理,只好等到关机回调的时候ZwClose一下在检验 对于鬼影这种hook住微端口驱动的Star
驱动文件高级操作
qq_41490873的博客
08-25 639
文件复制 wsSrcFileName 要复制的源文件名 已存在的文件 wsDesFileName 复制到的目标文件 需要程序创建的文件 NTSTATUS CopyFile(PCWSTR wsDesFileName, PCWSTR wsSrcFileName ) { NTSTATUS status=STATUS_SUCCESS; //打开文件 HANDLE hSrcFile; OBJECT_ATTRIBUTES oa; UNICODE_STRING usSrcFileName; RtlIni
Win64 驱动内核编程-20.UnHook SSDT
天使也掉毛
03-23 1648
UNHOOK SSDT     要恢复 SSDT,首先要获得 SSDT 各个函数的原始地址,而 SSDT 各个函数的原始地址,自然是存储在内核文件的。于是,有了以下思路: 1.获得内核 KiServiceTable 的地址(变量名称:KiServiceTable) 2.获得内核文件内核的加载地址(变量名称:NtosBase) 3.获得内核文件在 PE32+结构体的映像基址(变量名
Linux内核文件操作函数整理
风之伤
07-28 7168
1.判断文件是否存在 struct file *filp = NULL; filp = filp_open("/etc/passwd", O_RDONLY, 0); if (IS_ERR(filp)) { printk("Cannot open ......\n"); } 2.根据描述符查找路径 在Linux内核中,已知一个进程的pid和其打开文件文件描述符fd,
Win64驱动内核编程环境搭建与调试指南
"天使也掉毛 Win64 驱动内核编程" 是一本关于64Windows驱动程序开发的教程资源,由作者“天使也掉毛”在CSDN博客上分享。这本书或教程主要涵盖了驱动开发的基础到进阶内容,特别是针对Win64平台的内核编程技术。 ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值