Win64 驱动内核编程-5.内核里操作文件

最新推荐文章于 2023-09-01 07:21:01 发布
最新推荐文章于 2023-09-01 07:21:01 发布
阅读量2.3k 收藏 3
点赞数 2
分类专栏: 驱动内核编程 文章标签: 内核里操作文件 驱动 WIN64驱动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013761036/article/details/60363402
版权
本文介绍了Win64驱动中内核操作文件的基本流程,从RING0的角度出发,详细阐述了从ReadFile或NtReadFile到IRP的传递过程,涉及文件系统驱动、磁盘类驱动、磁盘小端口驱动以及HAL.DLL的角色。在内核层,文件夹和文件的操作并无显著区别。文章还列举了几个内核级文件操作的例子,包括读写、删除、重命名和枚举文件以及获取文件信息的相关Zw函数。
摘要由CSDN通过智能技术生成

内核里操作文件

    RING0 操作文件和 RING3 操作文件在流程上没什么大的区别,也是“获得文件句柄->///->关闭文件句柄”的模式。当然了,只能用内核 API,不能用 WIN32API。在讲解具体的代码之前,先讲解一下文件系统的流程,让大家对整个文件系统有个大概的了解。

    假设我们要读写一个文件,无论在 RING3 调用 ReadFile,还是在 RING0 调用 NtReadFile,它们最终会转换为 IRP,发送到 文件系统驱动(具体哪个驱动和分区类型相关,如果是 FAT32分区,则是 FASTFAT.SYS;如果是 NTFS 分区,则是 NTFS.SYS)的 IRP_MJ_READ 分发函数里。文件系统驱动经过一定处理后,就把 IRP 传给 磁盘类驱动(通常是 CLASSPNP.SYS,此驱动的源码在 WDK 里有)的 IRP_MJ_READ 分发函数处理。磁盘类驱动处理完毕后,又把 IRP 传给磁盘小端口驱动的 IRP_MJ_SCSI 分发函数处理。 磁盘小端口 驱动太多了,网上有人 用ATAPI.SYS  来指代 磁盘 小端口驱动,是极端错误的说法。ATAPI.SYS 是磁盘小端口驱动,但磁盘小端口驱动绝非只能是 

最低0.47元/天 解锁文章
TK13
关注
专栏目录
内核编程驱动之学习笔记
ATree的博客
11-10 722
驱动程序挂靠任意进程最近学习了内核编程,虽然说学的比较浅,但是也不能有一丝丝的懈怠,生怕自己听不懂,又被班同学落(la)下……就如我的QQ个性签名一样,“有的时候,我们不停地跑啊跑,只是为了能追上那个被寄予厚望的自己……” 操作系统的内核是非常强大的,强大到令你吃惊,内存管理,进程管理,中断机制,保护机制……内核中没有进程,只有线程,都是属于系统进程下的线程,所以我们加载的驱动,都是跑在系统进程下的
Windows内核编程(二)-第一个内核程序
qq_40277608的博客
11-16 4197
第一个内核程序 通过 Visual Studio新建工程 注意事项: 大部分widnows驱动程序都是内核驱动(Kernel Driver),所以本笔记不分"驱动程序"与"内核编程",也不区分"内核模块"(Kernel Module)、“驱动程序”(Driver)与"内核程序",这些词汇统一指编译出的扩展名为".sys"的可执行文件(并非强制扩展名为.sys),也不区分"应用层"与"用户态"。 驱动分类: NT驱动 最简单的驱动模型,不支持硬件特性 WDM驱动 在NT驱动的基础上引入的一套驱动模型,支持即
windows内核驱动编程基础
04-30
windows内核驱动编程基础 详细介绍windows内核驱动编程技术
设备驱动中的并发控制
Leon的博客
10-17 919
在为操作系统编写驱动设备时,因为涉及到中断、多任务和多处理器SMP的处理,所以内核提供了诸如原子操作、信号量、完成量等几种并发控制机制,对公用资源进行保护。下文将分别予以阐述。 1、原子变量 原子变量就是,在对其进行操作时不会被其它任务或中断打断。而原子操作需要硬件的支持,因此时架构相关的,其API和原子类型的定义在内核include/asm/atomic.h文件中,都是用汇编语言实现的。它的优点是使用简单,但缺点是功能单一,只能做计数操作,保护的东西太少。在Linux中,原子变量的定义如下: typede
驱动内核模块编写步骤
qq_43814197的博客
04-29 626
驱动内核模块编写步骤 一、模块编写 1.模块组成(以下为一个模板实例) 一个内核模块一共由四部分组成:头文件,实现函数,注册功能以及模块描述: //头文件: #include <linux/init.h> #include <linux/module.h> #define MA 500 #define MI 0 static dev_t devno = 0; static int devNum = 1; static char* devName = "myDev"; static s
文件
张昆
11-27 315
4.1.1使用OBJECT_ATTRIBUTES 在Windows中,无论打开文件\注册表还是设备,都要先调用 InitializeObjectAttributes初始化个OBJECT_ATTRIBUTES结构 VOID InitializeObjectAttributes( OUT POBJECT_ATTRIBUTES InitializeAttributes, IN PUNICODE
Win64 驱动内核编程-21.DKOM隐藏和保护进程
墨鱼菜鸡
12-18 189
DKOM隐藏和保护进程 主要就是操作链表,以及修改节点内容。 DKOM隐藏进程和保护进程的本质是操作EPROCESS结构体,不同的系统用的时候注意查下相关定义,确定下偏移,下面的数据是以win764为例。 关注两个成员:ActiveProcessLinks和Flag。 Acti...
Win64 驱动内核编程-16.WFP网络监控驱动(防火墙)
墨鱼菜鸡
12-18 691
WFP驱动监控网络 WFP是微软推出来替代TDIHOOK、NDISHOOK等拦截网络通信的方案,WFP的框架非常庞大,在RING3和RING0各有一套类似的函数,令人兴奋的是,即使在R3使用WFP,也可以做到全局拦截访问网络。由于WFP的范围太广,实在难以一言概括,感...
Win64 驱动内核编程-7.内核操作进程
墨鱼菜鸡
12-18 181
内核操作进程 在内核操作进程,相信是很多对WINDOWS内核编程感兴趣的朋友第一个学习的知识点。但在这,我要让大家失望了,在内核操作进程没什么特别的,就标准方法而言,还是调用那几个和进程相关的NATIVEAPI而已(当然了,本文所说的进程操作,还包括对线程和DLL模块的操作...
Win64DriverStudy_Src:WIN64驱动编程基础教程-源码作者:胡文亮
03-24
#### WIN64驱动编程基础教程作者:胡文亮 原始码的编译环境是WDK7600 以下是记者介绍 【原创+福利+源码包】WIN64驱动编程基础教程(含PASS DSE的文件) 大家好,我的是Tesla.Angela。 这份指南本来是拿来出售的,不过由于某些原因导致部分章节出现在了互联网上,于是决定彻底公开了。 详细目录如下: 0.基础的基础 |-学习WIN64驱动开发的硬件准备 |-配置驱动开发环境 1.驱动级HelloWorld |-配置驱动测试环境 |-编译和加载内核HelloWorld 2.内核编程基础 | -WIN64内核编程的基本规则 |-驱动程序与应用程序通信 |-内核使用内存 |-内核操作字符串 |-内核操作文件 |-内核操作注册表 |-内核操作进线程 |-驱动的其他常用代码 3.内核HOOK与UNHOOK |-系统调用,WOW64与兼容模式 |-编程
内核开发需要用到的高频复制指令
keke_Memory的博客
07-14 295
以上工具和命令可用于在内核开发过程中实现本地到远程服务器的文件或目录复制。根据您的具体需求和环境,请选择适合的工具和命令进行远程复制操作。是一个强大的文件同步和复制工具,可通过SSH协议实现远程文件复制。它可以高效地同步本地和远程文件,并仅复制已更改的部分。这些命令是内核开发过程中常用的文件复制命令,可以根据具体的需求和场景选择使用。它可以在本地计算机和远程服务器之间复制文件和目录。命令用于在本地和远程系统之间同步和复制文件。命令,通过将文件传输管道重定向到远程服务器上的命令来实现远程复制。
Linux内核(十六)Linux 内核态进行读写文件的函数 使用和解析
最新发布
weixin_43564241的博客
09-01 1914
这个函数和vfs_read()都是差不多的,只是调用的文件操作方法不同而已(file->f_op->write) ,如果没有定义file->f_op->write ,同样也需要do_sync_write()调用同样文件操作, 首先把数据写到内存中,然后在适当的时候把数据同步到具体的存储介质中去。以open /sys/log为例,该方法最终的结果是,更新struct nameidata实例指针nd中的path、inode字段,使其指向路径/sys/,更新nd中的last值,使其为log。
IoCreateFile vs IoCreateFile
weixin_33907511的博客
06-29 392
感觉IoCreateFile应该算是系统调用,它会调用ObCreateObject函数。 IoCreateFile和IoCreateDevice都会调用ObCreateObject函数。 在中IoCreateFile中, Status = ObCreateObject(FileHandle, DesiredAc...
Win7下文件过滤驱动中手工创建IRP重命名文件的问题
sunshine_msdn的专栏
04-13 4359
    之前在写一个文件过滤驱动时遇到将文件移动到另一个目录的需求,为了避免重入,首先想到的就是利用IoCreateFileSpecifyDeviceObjectHint获得其句柄并用ZwSetInformationFile将其移动到另一目录,但测试时发现ZwSetInformationFile始终返回STATUS_INVALID_DEVICE_OBJECT_PARAMETER错误。  
Linux内核源码分析—从用户空间复制数据到内核空间
魏峰海的专栏
10-16 5351
Linux内核源码分析—从用户空间复制数据到内核空间 本文主要参考《深入理解Linux内核》,结合2.6.11.1版的内核代码,分析从用户空间复制数据到内核空间函数。 1、不描述内核同步、错误处理、参数合法性验证相关的内容 2、源码摘自Linux内核2.6.11.1版 3、阅读本文请结合《深入理解Linux内核》第三版相关章节 4、本文会不定时更新 1、copy_from_user
WDK 常用的几个函数
weixin_34273046的博客
01-06 260
首先是几个内存分配的函数 Ex_系列函数 功能简述 ExAllocatePool 内存分配 ExFreePool 释放内存 ExAcquireFastMutex 获取一个互斥体 ExRekeaseFastMutex 释放一个互斥体 ExRasiseStatus 抛出一个异常 下面是一组文件操作的函数 ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值