Win64 驱动内核编程-5.内核里操作文件

最新推荐文章于 2023-09-01 07:21:01 发布
最新推荐文章于 2023-09-01 07:21:01 发布
阅读量2.3k 收藏 3
点赞数 2
分类专栏: 驱动内核编程 文章标签: 内核里操作文件 驱动 WIN64驱动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013761036/article/details/60363402
版权
本文介绍了Win64驱动中内核操作文件的基本流程,从RING0的角度出发,详细阐述了从ReadFile或NtReadFile到IRP的传递过程,涉及文件系统驱动、磁盘类驱动、磁盘小端口驱动以及HAL.DLL的角色。在内核层,文件夹和文件的操作并无显著区别。文章还列举了几个内核级文件操作的例子,包括读写、删除、重命名和枚举文件以及获取文件信息的相关Zw函数。
摘要由CSDN通过智能技术生成

内核里操作文件

    RING0 操作文件和 RING3 操作文件在流程上没什么大的区别,也是“获得文件句柄->///->关闭文件句柄”的模式。当然了,只能用内核 API,不能用 WIN32API。在讲解具体的代码之前,先讲解一下文件系统的流程,让大家对整个文件系统有个大概的了解。

    假设我们要读写一个文件,无论在 RING3 调用 ReadFile,还是在 RING0 调用 NtReadFile,它们最终会转换为 IRP,发送到 文件系统驱动(具体哪个驱动和分区类型相关,如果是 FAT32分区,则是 FASTFAT.SYS;如果是 NTFS 分区,则是 NTFS.SYS)的 IRP_MJ_READ 分发函数里。文件系统驱动经过一定处理后,就把 IRP 传给 磁盘类驱动(通常是 CLASSPNP.SYS,此驱动的源码在 WDK 里有)的 IRP_MJ_READ 分发函数处理。磁盘类驱动处理完毕后,又把 IRP 传给磁盘小端口驱动的 IRP_MJ_SCSI 分发函数处理。 磁盘小端口 驱动太多了,网上有人 用ATAPI.SYS  来指代 磁盘 小端口驱动,是极端错误的说法。ATAPI.SYS 是磁盘小端口驱动,但磁盘小端口驱动绝非只能是 

最低0.47元/天 解锁文章
TK13
关注
专栏目录
内核编程驱动之学习笔记
ATree的博客
11-10 722
驱动程序挂靠任意进程最近学习了内核编程,虽然说学的比较浅,但是也不能有一丝丝的懈怠,生怕自己听不懂,又被班同学落(la)下……就如我的QQ个性签名一样,“有的时候,我们不停地跑啊跑,只是为了能追上那个被寄予厚望的自己……” 操作系统的内核是非常强大的,强大到令你吃惊,内存管理,进程管理,中断机制,保护机制……内核中没有进程,只有线程,都是属于系统进程下的线程,所以我们加载的驱动,都是跑在系统进程下的
windows内核驱动编程基础
04-30
windows内核驱动编程基础 详细介绍windows内核驱动编程技术
设备驱动中的并发控制
Leon的博客
10-17 922
在为操作系统编写驱动设备时,因为涉及到中断、多任务和多处理器SMP的处理,所以内核提供了诸如原子操作、信号量、完成量等几种并发控制机制,对公用资源进行保护。下文将分别予以阐述。 1、原子变量 原子变量就是,在对其进行操作时不会被其它任务或中断打断。而原子操作需要硬件的支持,因此时架构相关的,其API和原子类型的定义在内核include/asm/atomic.h文件中,都是用汇编语言实现的。它的优点是使用简单,但缺点是功能单一,只能做计数操作,保护的东西太少。在Linux中,原子变量的定义如下: typede
驱动内核模块编写步骤
qq_43814197的博客
04-29 626
驱动内核模块编写步骤 一、模块编写 1.模块组成(以下为一个模板实例) 一个内核模块一共由四部分组成:头文件,实现函数,注册功能以及模块描述: //头文件: #include <linux/init.h> #include <linux/module.h> #define MA 500 #define MI 0 static dev_t devno = 0; static int devNum = 1; static char* devName = "myDev"; static s
08-驱动中的文件操作
ahaozi01的博客
07-17 540
文件的打开与关闭: ZwCreateFile用于打开或创建文件,其原型如下: NTSTATUS ZwCreateFile( Out PHANDLE FileHandle, In ACCESS_MASK DesiredAccess, In POBJECT_ATTRIBUTES ObjectAttributes, Out PIO_STATUS_BLOCK IoStatusBlock, In_opt PLARGE_INTEGER AllocationSize, In ULONG FileAttributes, I
Win64 驱动内核编程-21.DKOM隐藏和保护进程
墨鱼菜鸡
12-18 189
DKOM隐藏和保护进程 主要就是操作链表,以及修改节点内容。 DKOM隐藏进程和保护进程的本质是操作EPROCESS结构体,不同的系统用的时候注意查下相关定义,确定下偏移,下面的数据是以win764为例。 关注两个成员:ActiveProcessLinks和Flag。 Acti...
Win64 驱动内核编程-16.WFP网络监控驱动(防火墙)
墨鱼菜鸡
12-18 692
WFP驱动监控网络 WFP是微软推出来替代TDIHOOK、NDISHOOK等拦截网络通信的方案,WFP的框架非常庞大,在RING3和RING0各有一套类似的函数,令人兴奋的是,即使在R3使用WFP,也可以做到全局拦截访问网络。由于WFP的范围太广,实在难以一言概括,感...
Win64 驱动内核编程-7.内核操作进程
墨鱼菜鸡
12-18 181
内核操作进程 在内核操作进程,相信是很多对WINDOWS内核编程感兴趣的朋友第一个学习的知识点。但在这,我要让大家失望了,在内核操作进程没什么特别的,就标准方法而言,还是调用那几个和进程相关的NATIVEAPI而已(当然了,本文所说的进程操作,还包括对线程和DLL模块的操作...
文件
张昆
11-27 315
4.1.1使用OBJECT_ATTRIBUTES 在Windows中,无论打开文件\注册表还是设备,都要先调用 InitializeObjectAttributes初始化个OBJECT_ATTRIBUTES结构 VOID InitializeObjectAttributes( OUT POBJECT_ATTRIBUTES InitializeAttributes, IN PUNICODE
内核开发需要用到的高频复制指令
keke_Memory的博客
07-14 295
以上工具和命令可用于在内核开发过程中实现本地到远程服务器的文件或目录复制。根据您的具体需求和环境,请选择适合的工具和命令进行远程复制操作。是一个强大的文件同步和复制工具,可通过SSH协议实现远程文件复制。它可以高效地同步本地和远程文件,并仅复制已更改的部分。这些命令是内核开发过程中常用的文件复制命令,可以根据具体的需求和场景选择使用。它可以在本地计算机和远程服务器之间复制文件和目录。命令用于在本地和远程系统之间同步和复制文件。命令,通过将文件传输管道重定向到远程服务器上的命令来实现远程复制。
Linux内核文件操作
年少生而为人
11-01 1446
Linux内核文件操作前言一、文件操作结构体二、VFS之file_operations对象1.文件打开filp_open2.文件关闭filp_close3.文件读取vfs_read4.文件写入vfs_write4.注意点驱动模块实例 前言 Linux系统中的文件系统由两层结构进行构建:第一层为虚拟文件系统(VFS),第二层则是各种不同的具体的文件系统。VFS则是将各种具体的文件系统的公共部分抽取出来,从而形成一个抽象层,是Linux系统内核的一部分,它位于用户程序和具体的文件系统之间,对用户提供了标准的
Linux内核(十六)Linux 内核态进行读写文件的函数 使用和解析
最新发布
weixin_43564241的博客
09-01 1919
这个函数和vfs_read()都是差不多的,只是调用的文件操作方法不同而已(file->f_op->write) ,如果没有定义file->f_op->write ,同样也需要do_sync_write()调用同样文件操作, 首先把数据写到内存中,然后在适当的时候把数据同步到具体的存储介质中去。以open /sys/log为例,该方法最终的结果是,更新struct nameidata实例指针nd中的path、inode字段,使其指向路径/sys/,更新nd中的last值,使其为log。
重命名文件的几种写法
stecdeng的专栏
04-21 1241
现在主要的是通过往ZwSetInformationFile发送HANDLE和改名请求 再者就是 往 IoSetInformation 发送FILEOBJECT和改名请求 以及我自己模仿iosetinformation写成的创建IRP改名 void RenameFileROutineByHandle() { UNICODE_STRING UniFileString; OBJECT_A
WDM Filter 驱动的一点基础知识
fanxiushu的专栏
04-22 6207
By Fanxiushu ,引用和转载请注明原作者 WDM Filter是一类驱动的总称,它把自己挂载到功能设备(FDO)之下或者之上,拦截所有的IRP,对这些IRP分析处理,从而达到过滤的目的。 它跟 NT式过滤驱动都是一样的目的,比如前面文章讲到的TDI Filter驱动就是个标准的NT式过滤驱动, 但是处理方式上稍微有些不同,主要区别在 WDM需要处理即插即用和电源上。 这主要
Windows内核编程(二)-第一个内核程序
qq_40277608的博客
11-16 4200
第一个内核程序 通过 Visual Studio新建工程 注意事项: 大部分widnows驱动程序都是内核驱动(Kernel Driver),所以本笔记不分"驱动程序"与"内核编程",也不区分"内核模块"(Kernel Module)、“驱动程序”(Driver)与"内核程序",这些词汇统一指编译出的扩展名为".sys"的可执行文件(并非强制扩展名为.sys),也不区分"应用层"与"用户态"。 驱动分类: NT驱动 最简单的驱动模型,不支持硬件特性 WDM驱动 在NT驱动的基础上引入的一套驱动模型,支持即
内核如何操作文件
一口Linux的专栏
03-05 403
1. 序曲 在用户态,读写文件可以通过read和write这两个系统调用来完成(C库函数实际上是对系统调用的封装)。 但是,在内核态没有这样的系统调用,我们又该如何读写文件呢? 阅读Linux内核源码,可以知道陷入内核执行的是实际执行的是sys_read和sys_write这两个函数,但是这两个函数没有使用EXPORT_SYMBOL导出,也就是说其他模块不能使用。 在fs/open.c中系统调用具体实现如下(内核版本2.6.34.1): SYSCALL_DEFINE3(open, const ch
Maven—不配置同环境不同的启动内存
堂哥码财的博客
09-30 260
1、pom文件,添加properties-maven-plugin <!-- properties-maven-plugin --> <plugin> <groupId>org.codehaus.mojo</groupId> <artifactId>properties-maven-plugin</artifactId> <version>1.0.0</version> <executions>
Win64驱动内核编程环境搭建与调试指南
"天使也掉毛 Win64 驱动内核编程" 是一本关于64Windows驱动程序开发的教程资源,由作者“天使也掉毛”在CSDN博客上分享。这本书或教程主要涵盖了驱动开发的基础到进阶内容,特别是针对Win64平台的内核编程技术。 ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值