Win64 驱动内核编程-29.强制解锁文件

最新推荐文章于 2024-01-18 15:13:53 发布
最新推荐文章于 2024-01-18 15:13:53 发布
阅读量3.6k 收藏 5
点赞数 1
分类专栏: 驱动内核编程 文章标签: 驱动 句柄 强制解锁文件 宋孖健 13
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013761036/article/details/68978101
版权
本文介绍了如何通过Win64驱动程序强制解锁被其他进程占用而无法删除的文件。主要步骤包括枚举系统句柄、复制句柄、检查句柄类型和名称,针对文件句柄进行关闭操作。详细过程涉及到使用ZwQuerySystemInformation、ZwQueryObject、KeStackAttachProcess等API,并特别说明了在Win7 X64系统上的适用性。
摘要由CSDN通过智能技术生成

强制解锁文件

    强制解锁因其他进程占用而无法删除的文件。

1.调用 ZwQuerySystemInformation 的 16 功能号来枚举系统里的句柄

2.打开拥有此句柄的进程并把此句柄复制到自己的进程

3.用 ZwQueryObject 查询句柄的类型和名称

4.如果 发现此句柄的类型是文件句柄, 名称和被锁定的文件一致,就关闭此句柄

5.重复 2、3、4 步,直到遍历完系统里所有的句柄

 

第4步中因为是要解锁其他进程占用的文件所以有如下细节:

1.用 KeStackAttachProcess“依附”到目标进程

2.用 ObSetHandleAttributes 设置句柄为“可以关闭”

3.用 ZwClose 关闭句柄

4.用 KeUnstackDetachProcess 脱离“依附”目标进程

 

以下代码适用于Win7  X64,如果想支持全系统,请对应调教。

 

 

#include <ntddk.h>
 
#define kprintf	DbgPrint
#define kmalloc(_s)	ExAllocatePoolWithTag(NonPagedPool, _s, 'SYSQ')
#define kfree(_p)	ExFreePool(_p)
 
typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO{
USHORT	UniqueProcessId;
USHORT	CreatorBackTraceIndex;
UCHAR	ObjectTypeIndex;
UCHAR	HandleAttributes;
USHORT	HandleValue;
PVOID	Object;
ULONG	GrantedAccess;
} SYSTEM_HANDLE_TABLE_ENTRY_INFO, *PSYSTEM_HANDLE_TABLE_ENTRY_INFO;
 
typedef struct _SYSTEM_HANDLE_INFORMATION {
    ULONG64 NumberOfHandles;
SYSTEM_HANDLE_TABLE_ENTRY_INFO Handles[1];
} SYSTEM_HANDLE_INFORMATION, *PSYSTEM_HANDLE_INFORMATION;
 
NTSYSAPI
NTSTATUS
NTAPI
ZwQueryObject
(
HANDLE	Handle,
ULONG	ObjectInformationClass,
PVOID	ObjectInformation,
ULONG	ObjectInformationLength,
PULONG	ReturnLength OPTIONAL
);
 
NTSYSAPI
NTSTATUS
NTAPI
ZwQuerySystemInformation
(   
ULONG	SystemInformationClass,
PVOID	SystemInformation,
ULONG	SystemInformationLength,
PULONG	ReturnLength
);
 
NTSYSAPI
NTSTAT
最低0.47元/天 解锁文章
京城一十三
关注
专栏目录
《网络安全自学教程》- Windows系统日志详解
wangyuxiang946的博客
04-29 1万+
讲解Windows日志有哪些,解析常见的Windows事件ID,并教大家如何搜索Windows日志。
强制解锁文件, WIN64 内核编程
07-02
强制解锁文件
强制解锁文件占用
weixin_30667301的博客
10-31 483
强制解锁因其他进程占用而无法删除的文件。 1.调用ZwQuerySystemInformation的16功能号来枚举系统里的句柄 2.打开拥有此句柄的进程并把此句柄复制到自己的进程 3.用ZwQueryObject查询句柄的类型和名称 4.如果发现此句柄的类型是文件句柄,名称和被锁定的文件一致,就关闭此句柄 5.重复2、3、4步,直到遍历完系统里所有的句柄 ...
C语言驱动开发之内核解锁与强删文件
最新发布
高性价比服务器就选:蓝易云
01-18 418
强制删除文件是指在操作系统中强制删除一个文件,即使该文件处于被其他进程或用户占用的状态。在C语言驱动开发中,进行强制删除文件需要小心谨慎,可能需要调用系统调用或函数来执行此操作。需要注意的是,内核开发属于高级领域,错误的操作可能会导致系统崩溃或数据丢失,因此在进行内核解锁强制删除文件等操作时,务必详细了解相关函数、系统调用和操作的影响,避免潜在的风险。综上所述,C语言驱动开发中的内核解锁强制删除文件是需要谨慎处理的操作,需要深入了解操作系统和内核的工作机制,以确保系统的稳定性和数据的安全性。
分享一下x64驱动源码
12-23
最近一直在学习x64位的内核编程 之前对内核一无所知的我 因为某些原因 不得不学习一下内核编程 现在分享一下我学习的时后源码 如果有用到的自己下载 一个是64位的全局禁止进程运行 一个是64位的进程保护 都是用的回调函数 不得不说 内核实在太强大 另外附上e的加载驱动源码
x64加载驱动方法,x64驱动各类型hook教程
01-16
x64加载驱动方法过pg方法,x64驱动各类型hook教程和基础教程
WIN64驱动编程基础教程
12-06
|-强制解锁文件 |-初步探索PE32+格式文件 ------------------------------ 6.用户态HOOK与UNHOOK |-RING3注射DLL到系统进程 |-RING3的INLINE HOOK和UNHOOK |-RING3的EAT HOOK和IAT HOOK -------------------------...
驱动开发教程
05-07
|-强制解锁文件 |-初步探索PE32+格式文件 ------------------------------ 6.用户态HOOK与UNHOOK |-RING3注射DLL到系统进程 |-RING3的INLINE HOOK和UNHOOK |-RING3的EAT HOOK和IAT HOOK -------------------------...
Unlocker 1.8.5 工作原理解析:文件解锁工具核心技术
当UnlockerHook.dll 捕获到文件操作失败后,Unlocker.exe 将显示界面,列出占用文件的进程,并允许用户选择解锁强制结束进程或忽略。Unlocker.exe 使用进程管理API(如OpenProcess, EnumProcesses等)来获取和操作...
怎样取消已经被内核占用的按键驱动中断号
阿新在路上
11-19 627
最近在做按键驱动中断的实现,一直
WIN64驱动编程基础教程合订版本
05-20
WIN64驱动编程基础教程合订版本 把每个章节合成一个完整的PDF文件
ZwQuerySystemInformation查找进程文件句柄
03-25
ZwQuerySystemInformation查找文件句柄
Unlocker(强制删除文件 顽固文件删除工具 解锁)V1.9.2x64
01-06
 Unlocker是一款非常强力的强制删除文件的工具软件,当你重命名或删除一个文件/文件夹时,Windows 弹出对话框提示你“无法删除 xxx:它正在被其它用户/程序使用!”,怎么办? 使用Unlocker ,你就可以轻松、方便、有效地解决这个虽小但很烦人的问题! 同类的工具中,综合易用性、功能强度,此款是目前较好的!
x64驱动 遍历驱动模块
LYSM
07-02 2204
_LDR_DATA_TABLE_ENTRY(未导出) 以下是win10 1803(x64) 上的 _LDR_DATA_TABLE_ENTRY: lkd> dt _LDR_DATA_TABLE_ENTRY nt!_LDR_DATA_TABLE_ENTRY +0x000 InLoadOrderLinks : _LIST_ENTRY // 指向下一个 _LDR_DATA_TABLE_ENTRY 的 InLoadOrderLinks 成员 +0x010 InMemoryOrderL
ring0解锁文件
LYSM
06-23 541
背景 当我们要删除一个文件的的时候,有时候会出现“文件被占用”或是“无法删除”的提示框,这往往是由于该文件句柄已经在其它进程中打开未关闭的缘故。 本文要介绍的是关闭在其它进程中的文件句柄,对文件进行解锁。现在,我把实现过程和原理,整理成文档,分享给大家。 实现原理 要实现对指定文件进行解锁,我们首先要做的就是获取这个文件所有被打开的文件句柄,然后在关闭这些句柄即可。那么接下来,我就对指定文件句柄的遍历以及结束文件句柄的实现原理分别进行解析。 遍历指定文件句柄 首先,我们使用 16 号功能调用 ZwQuery
Win64 驱动内核编程-20.UnHook SSDT
天使也掉毛
03-23 1642
UNHOOK SSDT     要恢复 SSDT,首先要获得 SSDT 各个函数的原始地址,而 SSDT 各个函数的原始地址,自然是存储在内核文件里的。于是,有了以下思路: 1.获得内核里 KiServiceTable 的地址(变量名称:KiServiceTable) 2.获得内核文件内核里的加载地址(变量名称:NtosBase) 3.获得内核文件在 PE32+结构体里的映像基址(变量名
通过遍历系统句柄信息(SystemHandleInformation),获取系统进程和当前进程的eprocess
热门推荐
pureman_mega的博客
11-23 1万+
实验环境:win10 1909 64 参考:https://blog.csdn.net/qinlicang/article/details/4489727 首先,获取系统的句柄信息;然后,在句柄信息表中进行搜索,通过数据结构进行匹配;最后,确定系统进程和当前进程的eprocess; 主要数据结构如下: typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO { USHORT UniqueProcessId; USHORT CreatorBack
SYSTEM_HANDLE_TABLE_ENTRY_INFO
weixin_30500473的博客
06-11 570
typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO { USHORT UniqueProcessId; USHORT CreatorBackTraceIndex; UCHAR ObjectTypeIndex; UCHAR HandleAttributes; USHORT HandleValue; PVOID Object...
R3下,遍历所有进程的伪句柄表,关闭指定句柄
被遗弃的庸才博客
10-20 1590
之所以产生这个想法,是在删除文件的时候有时会提示文件被占用了,然后让我们先关闭之后在来删除,但是我怎么知道哪个进程打开了我的文件? 于是就去网上了找了一份代码然后改了改,接着来说说是怎么实现功能的。首先我们需要遍历所有的进程,所有要找到遍历进程的代码。 //遍历进程 WCHAR * szServerName = NULL; HANDLE WtsServerHandle = WTSOp...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值