发送请求_内核层自己发送IRP请求操作文件全面总结

最新推荐文章于 2021-04-15 18:41:49 发布
最新推荐文章于 2021-04-15 18:41:49 发布
阅读量649 收藏 1
点赞数
文章标签: 发送请求
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35927281/article/details/112734421
版权
本文深入探讨了Windows内核中如何通过发送IRP请求来操作文件,涵盖了从IRP_MJ_CREATE到IRP_MJ_CLOSE的各种操作,包括文件的创建、关闭、读写、设置信息和查询等。作者低调putchar提供了自己封装发送IRP请求的实现,并给出了测试案例。
摘要由CSDN通过智能技术生成
b8dd8c54f6cd4107fdf8211e0a3dc8bf.png

本文为看雪论精华文章

看雪论坛作者ID:低调putchar

e741b88e3ecc4960ce61e65cd4d9023c.gif

一、概述

e741b88e3ecc4960ce61e65cd4d9023c.gif
Windows操作系统中,文件系统过滤驱动的过滤设备绑定在文件系统(FSD)设备之上,监视和过滤我们的文件访问。 当应用层发起文件操作调用时内核层都会转换为IRP发送到设备栈中位于栈顶的设备,然后通过IO栈单元(IO_STACK_LOCATION)保存一些参数把IRP请求继续向下层设备发送,最后至FSD,由FSD完成实际的文件操作。 卷参数块(VPB)保存了文件系统中在一个卷设备创建(卷的挂载)成功时的一些卷参数信息。wdm.h中对其结构定义如下: 
typedef struct _VPB {
        CSHORT Type;    CSHORT Size;    USHORT Flags;    USHORT VolumeLabelLength; // in bytes    struct _DEVICE_OBJECT *DeviceObject;  //文件系统卷设备    struct _DEVICE_OBJECT *RealDevice;    //卷管理器生成的卷设备    ULONG SerialNumber;    ULONG ReferenceCount;    WCHAR VolumeLabel[MAXIMUM_VOLUME_LABEL_LENGTH / sizeof(WCHAR)];} VPB, *PVPB;
文件系统过滤驱动对文件操作的过滤,实际上就是把过滤设备绑定在文件系统卷设备: Vpb->DeviceObject上来实现过滤的。 这里要总结的是:如何在内核层自己创建并填写IRP及下层栈单元,把请求直接送往FSD的卷设备上。常用的文件操作包括:

  • 文件的生成/打开(IRP_MJ_CREATE)

  • 文件的关闭(IRP_MJ_CLEANUP:  表示句柄数为0,IRP_MJ_CLOSE: 表示文件对象引用计数为0,即将销毁)

  • 文件读/写(IRP_MJ_READ/IRP_MJ_WRITE)

  • 文件设置(IRP_MJ_SET_INFORMATION)

  • 文件查询(IRP_MJ_QUERY_INFORMATION)

  • 目录下项查询(MajorFuncton: IRP_MJ_DIRECTORY_CONTROL, MinorFunction: IRP_MN_QUERY_DIRECTORY)


每类操作对应的内核函数如下表所示: 49130264ad7a673dfc833a051a591a79.png e741b88e3ecc4960ce61e65cd4d9023c.gif

二、自己发送IRP请求操作文件的封装

e741b88e3ecc4960ce61e65cd4d9023c.gif 1. 实现MDL链解锁及释放,完成例程的功能,后续的各IRP完成时统一使用。
(1)解锁并释放MDL链 
//解锁并释放MDLVOID MyFreeMdl(    IN PMDL pMdl){
        PMDL pMdlCurrent = pMdl, pMdlNext;    while (pMdlCurrent != NULL) {
            pMdlNext = pMdlCurrent->Next;        if (pMdlCurrent->MdlFlags&MDL_PAGES_LOCKED) {
                MmUnlockPages(pMdlCurrent);        }        IoFreeMdl(pMdlCurrent);        pMdlCurrent = pMdlNext;    }    return;}

(2)文件操作完成例程: 
//文件操作完成例程NTSTATUS FileOperationCompletion(    IN PDEVICE_OBJECT pDeviceObject,    IN PIRP pIrp,    IN PVOID pContext OPTIONAL){
        PKEVENT pkEvent = pIrp->UserEvent;    ASSERT(pkEvent != NULL);    //趁机拷贝完成状态    RtlCopyMemory(        pIrp->UserIosb,        &pIrp->IoStatus,        sizeof(IO_STATUS_BLOCK)    );    //检查并释放MDL    if (pIrp->MdlAddress != NULL) {
            MyFreeMdl(pIrp->MdlAddress);        pIrp->MdlAddress = NULL;    }    //释放IRP    IoFreeIrp(pIrp);    //设置事件    KeSetEvent(pkEvent,        IO_NO_INCREMENT,        FALSE    );    return STATUS_MORE_PROCESSING_REQUIRED;}

2. 文件的打开/生成: 与其它IRP不同,在发送IRP_MJ_CREATE请求前就需要创建并填写好文件对象,FSD的卷设备可以从根目录pRootFileObject->Vpb->DeviceObject得到,对应的卷管理器生成的卷设备可以从: pRootFileObject->Vpb->RealDevice得到。 (1)创建文件对象可以用已导出但未公开的nt!ObCreateObject,该函数原型如下: 
//未公开的函数,直接声明下就可以用了//创建对象NTKERNELAPINTSTATUS NTAPI ObCreateObject(    IN KPROCESSOR_MODE ObjectAttributesAccessMode  OPTIONAL,    IN POBJECT_TYPE  Type,    IN POBJECT_ATTRIBUTES ObjectAttributes  OPTIONAL,    IN KPROCESSOR_MODE  AccessMode,    IN OUT PVOID ParseContext  OPTIONAL,    IN ULONG  ObjectSize,    IN ULONG PagedPoolCharge  OPTIONAL,    IN ULONG NonPagedPoolCharge  OPTIONAL,    OUT PVOID * Object);
(2)设置安全状态可以用已导出但未公开的nt!SeCreateAccessState,该函数原型如下: 
//设置安全状态NTKERNELAPINTSTATUS NTAPI SeCreateAccessState(    __out PACCESS_STATE AccessState,    __out PAUX_ACCESS_DATA AuxData,    __in ACCESS_MASK DesiredAccess,    __in_opt PGENERIC_MAPPING GenericMapping);未公开的数据结构//SeCreateAccessState第2个参数typedef struct _AUX_ACCESS_DATA {
        PPRIVILEGE_SET PrivilegesUsed;    GENERIC_MAPPING GenericMapping;    ACCESS_MASK AccessesToAudit;    ACCESS_MASK MaximumAuditMask;    ULONG Unknown[256];} AUX_ACCESS_DATA, *PAUX_ACCESS_DATA;
(3)自己创建并发送IRP进行文件打开/生成的实现: 
//自己发送IRP请求生成/打开文件(IRP_MJ_CREATE)NTSTATUS IrpCreateFile(    OUT PFILE_OBJECT *ppFileObject,    OUT PDEVICE_OBJECT *ppDeviceObject, //如果成功,这里保存:(*ppFileObject)->Vpb->DeviceObject    IN ACCESS_MASK DesiredAccess,    IN PUNICODE_STRING punsFilePath, //必须以"盘符:\"开头, 比如: "C:\..."    OUT PIO_STATUS_BLOCK pIoStatusBlock,    IN PLARGE_INTEGER AllocationSize OPTIONAL,    IN ULONG FileAttributes,    IN ULONG ShareAccess,    IN ULONG Disposition,    IN ULONG CreateOptions,    IN PVOID EaBuffer OPTIONAL,    IN ULONG EaLength){
        PAUX_ACCESS_DATA pAuxData = NULL;    HANDLE hRoot = NULL;    PFILE_OBJECT pRootObject = NULL, pFileObject = NULL;    PDEVICE_OBJECT pDeviceObject = NULL, pRealDeviceObject = NULL;    PIRP pIrp;    PIO_STACK_LOCATION pIrpSp;    NTSTATUS ntStatus = STATUS_UNSUCCESSFUL;    ACCESS_STATE AccessState;    KEVENT kEvent;    IO_SECURITY_CONTEXT IoSecurityContext;    OBJECT_ATTRIBUTES objAttrs;    UNICODE_STRING unsRootPath;    IO_STATUS_BLOCK userIosb;    WCHAR wRootPath[8];  //"\??\C:\"    //路径长度检查(最短: "C:\")    if (punsFilePath->Length < 3 * sizeof(CHAR)) {
            return STATUS_INVALID_PARAMETER;    }    RtlZeroMemory(pIoStatusBlock, sizeof(IO_STATUS_BLOCK));    //根目录符号链接    ntStatus = RtlStringCbPrintfW(        wRootPath,        sizeof(wRootPath),        L"\\??\\%c:\\",        punsFilePath->Buffer[0]);    ASSERT(NT_SUCCESS(ntStatus));    RtlInitUnicodeString(&unsRootPath, (PCWSTR)wRootPath);
3. 文件关闭的实现:  分两步: 发送主功能号为IRP_MJ_CLEANUP的IRP向FSD表明: 文件对象句柄数已为0 => 发送主功能号为IRP_MJ_CLOSE的IRP向FSD表明: 文件对象引用计数已为0,由FSD负责销毁文件对象。 (1)文件关闭1:IRP_MJ_CLEANUP 
//自己发送IRP请求关闭文件的第1步(IRP_MJ_CLEANUP),表示文件对象句柄数为0NTSTATUS IrpCleanupFile(    IN PDEVICE_OBJECT pDeviceObject,    IN PFILE_OBJECT pFileObject){
        PIRP pIrp;    PIO_STACK_LOCATION pIrpSp;    NTSTATUS ntStatus = STATUS_UNSUCCESSFUL;    KEVENT kEvent;    IO_STATUS_BLOCK userIosb;    //卷参数块检查    if (pFileObject->Vpb == NULL || pFileObject->Vpb->DeviceObject == NULL) {
            return STATUS_INVALID_PARAMETER;    }    //    // IRP_MJ_CLEANUP    //    //分配IRP    pIrp = IoAllocateIrp(pDeviceObject->StackSize,        FALSE);    if (pIrp == NULL) {
            return STATUS_INSUFFICIENT_RESOURCES;    }    //填写IRP    pIrp->MdlAddress = NULL;    pIrp->AssociatedIrp.SystemBuffer = NULL;    pIrp->UserBuffer = NULL;    pIrp->Flags = IRP_CLOSE_OPERATION | IRP_SYNCHRONOUS_API;    pIrp->RequestorMode = KernelMode;    pIrp->UserIosb = &userIosb;    KeInitializeEvent(&kEvent,        NotificationEvent,        FALSE);    pIrp->UserEvent = &kEvent;    pIrp->Tail.Overlay.Thread = PsGetCurrentThrea
最低0.47元/天 解锁文章
凌风柏
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
内核-从IRP说起
m0_74282605的博客
02-10 301
每次调用 IoCopyCurrentStackLocationToNext()函数,就将本IRP stack 放当下IRP stack顶端,当IoCompleteRequest函数被调用也就是IRP包被处理完成之后,IRP stack 会一堆栈向上弹出,如果遇到IO_STACK_LOCATION的CompletionRoutine非空,则调用这个函数,另外传进这个完成例程的 是IO_STACK_LOCATION的子域Context。对于不会处理的IRP包需要提供一个默认的分 函数来处理。
察看内核IRP请求的工具
12-10
察看内核IRP请求的工具,编驱动程序必备
内核学习笔记之IRP
nishuodeqianshou的专栏
10-17 901
文章作者:grayfox 作者主页:http://nokyo.blogbus.com 原始出处:http://www.blogbus.com/nokyo-logs/34005738.html       此前我们可能曾经多次听说过IRP这个名词,那么它究竟是什么呢?       IRP的全名是I/O Request Package,即输入输出请求包,它是Windows内核中的一种非常重要的
IRP请求处理及完成机制
Tech is Online(物联网技术传播)
02-14 1468
      近来学习 Windows 内核方面的东西,觉得对 I/O 处理过程没有一个总体的概念。于是,就花了很长的时间搜集了很多这方面的知识总结了一下。       在 Windows 内核中的请求基本上是通过 I/O Request Packet 完成的。前面说过,设备对象是唯一可以接受请求的实体。下面,我就来详细地说下 IRP 请求是怎么样一步一步完成的。       首先,我们就需
内核文件管理-IRP(一)创建或打开文件
m0_48995611的博客
01-09 966
内核下通过直接向 FSD (File System Driver) 发送 IRP (I/O Request Packet)来管理文件,可以绕过一些 API Hook。 本文讲怎样通过向 FSD 发送 IRP_MJ_CREATE 消息的 IRP 来创建或打开文件(或目录)。 头文件及其他声明或定义 #include <ntifs.h> typedef struct _AUX_ACCESS_DATA { PPRIVILEGE_SET PrivilegesUsed; GENERIC_MAPPIN
IRP.rar_IRP_IRP.pdf_irp.rar_求IRP的编程
09-21
IRP,全称为I/O Request Packet(输入/输出请求包),是Windows操作系统内核中用于设备驱动程序之间通信的一种机制。IRP是设备驱动程序处理I/O操作的核心数据结构,它封装了I/O操作的所有必要信息,如操作类型、缓冲...
IRP.rar_IRP_Windows内核
09-20
IRP(I/O Request Packet,输入/输出请求包)是Windows操作系统内核中处理设备I/O操作的核心机制。它是驱动程序之间以及驱动程序与系统服务之间的通信桥梁,用于在请求I/O操作时传递必要的信息。深入理解IRP对于进行...
IFS文件过滤驱动程序开IRP文件操作接口的终极实现代码.zip
01-28
IFS(Installable File System)文件过滤驱动程序是Windows操作系统中用于拦截和处理文件系统操作的一种内核模式组件。IRP(I/O Request Packet)是Windows内核用来在驱动程序之间传递I/O请求的结构体,它包含了I/O...
内核模式的apihook.zip_HOOK 内核_hook_内核_内核 hook_驱动hook应用api
09-21
内核驱动程序需要对Windows驱动开有深入的理解,包括IRP(I/O请求包)、设备驱动接口(DDIs)以及内核同步机制等。内核Hook的实现通常包括以下步骤: 1. **定位API**:首先,需要确定要Hook的内核API在内存中...
IRP.rar_sys exe通信_应用 通信_通信_驱动 应用 通信_驱动 通信
09-14
应用程序通过创建设备文件句柄,然后使用DeviceIoControl函数发送IOCTL请求,驱动程序在接收到请求后执行相应的操作。在描述中提到的"sys与exe互传了一句话给对方",可能就是通过IOCTL实现了消息传递。 文件"exe....
内核irp详解运行机制详解[学习]
SunShine的专栏
07-19 3168
I/O Request Packet (IRP),设备栈,IO_STACK_LOCATION,IoCompletion函数
windows内核学习笔记十五:IRP结构
jyl_sh的专栏
04-15 2802
windows内核学习笔记十五:IRP结构 IRP(I/O Request Package)在windows内核中,有一种系统组件——IRP,即输入输出请求包。当上应用程序需要访问底输入输出设备时,出I/O请求,系统会把这些请求转化为IRP数据,不同的IRP会启动I/O设备驱动中对应的派遣函数。 一、IRP类型 由于IRP是响应上应用程序的。可想而知,IRP类型是与上对底设备的访问类型相对应。文件相关的I/O函数如:CreateFile/ReadFile/WriteFile/Clo.
less加管道tail_Linux之cat tail less常见用法
weixin_39957934的博客
12-21 195
1.cat通常查找出错误日志 cat error.log | grep 'foo' , 这时候我们还有个需求就是输出当前这个日志的前后几行:cat error.log | grep -C 10 'foo' #显示file文件里匹配foo字串那行以及上下10行cat error.log | grep -B 10 'foo' #显示foo及前10行cat error.log | grep -A 10 ...
IRP 乱杂谈
jiurl的专栏
12-16 4623
IRP 乱杂谈 作者: JIURL                 主页: http://jiurl.yeah.net     IRP 是 I/O request packet 的缩,即 I/O 请求包。驱动与驱动之间通过 IRP 进行通信。而使用驱动的应用调用的 CreatFi
windows内核学习笔记十八:IRP 处理的标准模式
jyl_sh的专栏
04-15 1715
windows内核学习笔记十八:IRP 处理的标准模式 I/O manager ---> Dispatch routine ---> StartIo routine ---> ISR ---> DPC routine ---> I/O manager 5.2.1 建立一个 IRP IRP 的生存期从调用 I/O manager function 建立 IRP 开始,你可以使用下面 4 个 function 来建立一个新的 IRP: (1) IoBuildAsynch..
驱动中同步与异步发送IRP
輚至消亡
11-09 425
1. 同步创建 2. 异步创建
IRP详解(1)----请求类型
门没锁的专栏
08-25 3665
常见的 I/O请求的类型一般有如下几种:create, close, read, write, 以及I/O control。 1:Create请求     我们知道,应用程序在打开一个文件或者设备时,一般会调用CreateFile这个API,告知系统我将要打开一个文件,接下来I/O管理器将创建一个文件对象并将发送一个创建请求  给目标设备,WDF收到该创建请求后将创建一个与I/O管理器
自己发送IRP进行文件操作
weixin_34029949的博客
04-27 141
在驱动中我们可以自己发送IRP进行Create,Write,Read等操作. 作为初学者,这有点难度. 附件中对这些操作进行了详细的解答. 转载于:https://blog.51cto.com/laokaddk/73741...
IRP操作文件之再填坑
zz_strive_2012的专栏
12-12 473
啧,大佬飘过……文字较多,可以直接看最后面的 最近在捣腾发送IRP_MJ_CREATE打开文件,同时要能解 reparse point。几顿操作猛如虎之后,终于可以正常解析 reparse point了,然后就像检验一下,这整个流程和IoCreateFile的区别大不大。就在打开的时候,加了个 FILE_DELETE_ON_CLOSE标记,看看FileObject销毁后文件是否...
如何发送irp删除文件
最新发布
03-30
发送IRP删除文件,可以使用以下步骤: 1. 打开文件对象:首先,需要打开要删除的文件对象。可以使用ZwCreateFile或NtOpenFile函数来打开文件。 2. 构建IRPIRP(I/O Request Packet)是用于向内核发送I/O请求的数据结构。可以使用IoBuildSynchronousFsdRequest函数构建IRP。 3. 设置IRP参数:设置IRP的参数,包括请求类型、文件对象、I/O栈位置、缓冲区等。 4. 发送IRP:使用IoCallDriver函数发送IRP到驱动程序。 5. 处理IRP响应:等待驱动程序处理IRP请求,并处理IRP响应。如果删除文件成功,则可以关闭文件对象并返回成功信息。 下面是一个示例代码,演示如何使用IRP删除文件: NTSTATUS DeleteFile(PUNICODE_STRING FileName) { NTSTATUS status; HANDLE fileHandle; OBJECT_ATTRIBUTES objAttr; IO_STATUS_BLOCK ioStatus; PFILE_OBJECT fileObject; PDEVICE_OBJECT deviceObject; PIRP irp; KEVENT event; InitializeObjectAttributes(&objAttr, FileName, OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE, NULL, NULL); status = ZwCreateFile(&fileHandle, FILE_WRITE_ATTRIBUTES | SYNCHRONIZE, &objAttr, &ioStatus, NULL, FILE_ATTRIBUTE_NORMAL, 0, FILE_OPEN, FILE_NON_DIRECTORY_FILE, NULL, 0); if (!NT_SUCCESS(status)) { return status; } status = ObReferenceObjectByHandle(fileHandle, FILE_WRITE_ATTRIBUTES, *IoFileObjectType, KernelMode, (PVOID*)&fileObject, NULL); if (!NT_SUCCESS(status)) { ZwClose(fileHandle); return status; } deviceObject = IoGetRelatedDeviceObject(fileObject); irp = IoBuildSynchronousFsdRequest(IRP_MJ_SET_INFORMATION, deviceObject, NULL, 0, NULL, &event, &ioStatus); if (!irp) { ObDereferenceObject(fileObject); ZwClose(fileHandle); return STATUS_INSUFFICIENT_RESOURCES; } irp->IoStatus.Status = STATUS_NOT_SUPPORTED; irp->IoStatus.Information = 0; PIO_STACK_LOCATION irpSp = IoGetNextIrpStackLocation(irp); irpSp->FileObject = fileObject; irpSp->Parameters.SetFile.FileInformationClass = FileDispositionInformation; irpSp->Parameters.SetFile.DeleteFile = TRUE; KeInitializeEvent(&event, NotificationEvent, FALSE); status = IoCallDriver(deviceObject, irp); if (status == STATUS_PENDING) { KeWaitForSingleObject(&event, Executive, KernelMode, FALSE, NULL); status = ioStatus.Status; } ObDereferenceObject(fileObject); ZwClose(fileHandle); return status; } 这个函数接受一个UNICODE_STRING类型的文件名作为参数,并返回NTSTATUS类型的状态码。它使用ZwCreateFile函数打开文件,然后使用IoBuildSynchronousFsdRequest函数构建一个IRP,用于删除文件。最后,它使用IoCallDriver函数发送IRP,等待处理响应,并返回状态码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值