Windows内核函数 - 文件的读操作

最新推荐文章于 2024-09-25 22:11:28 发布
最新推荐文章于 2024-09-25 22:11:28 发布
阅读量289 收藏
点赞数 3
分类专栏: windows驱动开发 文章标签: windows 驱动开发 c++ c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wendyWJGU/article/details/139273049
版权

        DDK提供了文件读操作的内核函数,其函数声明如下:

NTSTATUS ZwWriteFile(
    IN HANDLE FileHandle,
    IN HANDLE Event,
    IN PIO_APC_ROUTINE ApcRoutine,
    IN PVOID ApcContext,
    out PIO_STATUS_BLOCK IoStatusBlock,
    IN PVOID Buffer,
    IN ULONG Length,
    IN PLARGE_INTEGER ByteOffset,
    IN PULONG Key
    );
// FileHandle: 文件打开的句柄。
// Event: 很少用到,一般设置为NULL。
// ApcRoutine: 很少用到,一般设置为NULL。
// ApcContext: 很少用到,一般设置为NULL。
// IoStatusBlock: 记录写操作的状态。其中IoStatusBlock.Infomation记录实际写了多少字节
// Buffer: 从这个缓冲区开始从文件里读。
// Length: 准备写多少字节。
// ByteOffset: 从文件的多少偏移地址开始写。
// Key: 很少用到,一般设置为NULL。

        下面的代码演示了如何在驱动程序中读文件。如果是读取整个文件,需要知道文件的大小,该功能可以通过内核函数ZwWueryInformationFile来实现。

        下面的代码演示了如何在驱动程序中读取文件。

#define BUFFER_SIZE 1024

	OBJECT_ATTRIBUTES  objectAttri;
	IO_STATUS_BLOCK iostatus;
	HANDLE hfile;
	UNICODE_STRING logFileUnicodeStr;

	// 初始化 UNICODE_STRING 字符串
	RtlInitUnicodeString(&logFileUnicodeStr, L"\\?\\C:\\1.LOG");
	// 或者写成 “\\Device\\HarddiskVolume1\\1.LOG”

	// 初始化 objectAttri
	InitializeObjectAttributes(&objectAttri,
		&logFileUnicodeStr,
		OBJ_CASE_INSENSITIVE,
		NULL,
		NULL
		);

	// 创建文件
	NTSTATUS ntStatus = ZwCreateFile(&hfile,
		GENERIC_WRITE,
		&objectAttri,
		&iostatus,
		NULL,
		FILE_ATTRIBUTE_NORMAL,
		FILE_SHARE_READ,
		FILE_OPEN, // 即使存在该文件,也创建
		FILE_SYNCHRONOUS_IO_NONALERT,
		NULL,
		0
		);

	if (!NT_SUCCESS(ntStatus))
	{
		KdPrint(("The file is not exist\n"));
		return;
	}
	FILE_STANDARD_INFORMATION fsi;

	// 读取文件长度
	ntStatus = ZwQueryInformationFile(hfile,
															&iostatus,  
															&fsi,
															sizeof(FILE_STANDARD_INFORMATION),
															FileStandardInformation
															);

	KdPrint(("The program want to read %d bytes\n", fsi.EndOfFile.QuadPart));

	// 为读取的文件分配缓冲区
	PUCHAR pBuffer = (PUCHAR)ExAllocatePool(PagedPool,
		(LONG)fsi.EndOfFile.QuadPart);

	// 读取文件
	ZwReadFile(hfile, NULL,
		NULL, NULL,
		&iostatus,
		pBuffer,
		(LONG)fsi.EndOfFile.QuadPart,
		NULL, NULL);
	KdPrint(("The program really read %d bytes\n", iostatus.Information));

	// 关闭文件句柄
	ZwClose(hfile);

	// 释放缓冲区
	ExFreePool(pBuffer);

WendyWJGu
关注
专栏目录
windows内核驱动文件
10-11
windows内核驱动条件下文件的创建、、写等功能实现源码。适用于驱动调试和运行观察的日志打印输出,比Windbg和reaceview更方便。
Windows内核函数
Masimaro的专栏
11-30 2063
字符串处理在驱动中一般使用的是ANSI字符串和宽字节字符串,在驱动中我们仍然可以使用C中提供的字符串操作函数,但是在DDK中不提倡这样做,由于C函数容易导致缓冲区溢出漏洞,针对字符串的操作它提供了一组函数分别用来处理ANSI字符串和UNICODE字符串。 针对两种字符串,首先定义了它们的结构体typedef struct _STRING { USHORT Length;//字符串的长度
Windows内核编程基础(3)
最新发布
zhaotianff的专栏
09-25 904
类型的内存属性为“可执行”,意味着开发者可以将这块内存写入二进制指令然后执行,这个机制虽然很灵活,但存在一定的安全隐患︰对于一些存在漏洞的代码来说,攻击者可以使用“缓存区溢出攻击”技术,在目标内存(缓冲区)中写入可执行指令,由于这块内存具有“可执行“属性,所以攻击者可以成功实施攻击。上更小粒度的分割,这个分割由堆管理器管理,根据需求,堆管理器会申请 一页(或多页虚拟内存),然后对这块虚拟内存进行更小粒度的内存分割与管理,以满足开发者对内存的需求。标志对应的内存大小,找到最大的或者持续增长的内存块。
windows内核文件
World-wang
06-19 1382
/////////////////////////////////////////////////////////////////////////////// /// /// Copyright (c) 2014 - /// /// Original filename: FileOperation.cpp /// Project : FileOperation /// Date
Windows 内核函数
CSDN515的专栏
04-04 3417
Windows 内核函数 因为C语言库是运行的R3应用层上的,而驱动程序是运行的内核模式下的。应用层的函数能调用内核层的函数库,但是内核层的函数由于一些安全性的权限措施,不能调用上层库。所以普通的C语言库是不能在内核模式下运行的,必须使用DDK提供的运行时函数。 1、内核模式下的字符串操作 1.1、ASCII字符串和宽字符串 a)、char型字符串:负责记录ANSI字符集,它指向一个cha
Windows内核编程之:文件操作
weixin_34273481的博客
05-08 397
一:文件的创建/************************************************************************ * 函数名称:ZwCreateFile * 功能描述:文件的创建 * 参数列表: FileHandle:返回打开文件的句柄 DesiredAccess:对打开文件操作的描述,,写或是其他。一...
windows内核函数详解
06-16
总结,Windows内核函数构成了操作系统的心脏,它们控制着系统的所有活动,从进程和线程管理到硬件交互。了解这些函数的工作原理和调用关系对于系统开发者、驱动编写者以及故障排除人员至关重要。"wrk12.chm"文件则...
Windows-Dirver-SourceCode:Windows内核安全与驱动开发源代码
03-24
Windows内核安全与驱动开发是一项复杂而关键的任务,涉及到操作系统的核心部分。这个压缩包“Windows-Dirver-SourceCode”很可能包含了一些用于教学或研究目的的Windows驱动程序源代码,帮助开发者理解驱动开发原理...
windows-file-filter.rar_windows_文件 过滤_文件过滤
09-19
Windows文件过滤API,特别是Minifilter API,提供了一系列的回调函数,如预操作和后操作回调,用于拦截并处理文件操作。预操作回调允许开发者在文件操作执行之前进行干预,如决定是否允许操作、修改操作参数等。后...
Windows驱动编程视频教程-内核模式下的文件操作
08-19
3. **IRP(I/O Request Packet)**:在Windows内核模式中,文件操作通过IRP(I/O请求包)进行。IRP是一个结构体,包含了关于I/O操作的所有必要信息,如文件句柄、操作类型、缓冲区等。驱动程序通过处理IRP来完成文件...
Windows驱动开发技术详解第六章(Windows内核函数)
冰糖葫芦的夏天的博客
02-28 353
字符串操作 DDK中CHAR对应char,WCHAR对应wchar_t DDK中也是用strcpy,sprintf,strcat等操作字符串,但并不推荐使用 这些字符串操作函数被ntoskrsl.exe导出 DDK推荐使用功能相同的宏 DDK不鼓励使用C语言的字符串,建议使用ANSI_STRING和UNICODE_STRING typedef struct _STRING { USHORT Length; //字符串的长度 USHORT MaximumLength; //字符串缓冲区的最大长度 P
windows内核源码函数文档
09-01
windows内核源码函数文档,关于内核函数不错的帮助文档
Window内核函数 - 文件的打开
wendyWJGU的博客
05-22 550
Window内核函数 - 文件的打开
FILE_BASIC_INFORMATION 的理解
lhj6105的专栏
01-05 2494
<br />1.       文件的创建<br />对文件的创建或者打开都是通过内核函数ZwCreateFile实现的。和Windows API类似,这个内核函数返回一个文件句柄,文件的所有操作都是依靠这个句柄进行操作的。在文件操作完毕后,要关闭这个文件句柄。<br />NTSTATUS  <br />   ZwCreateFile(<br />     OUT PHANDLE   FileHandle,<br />     IN ACCESS_MASK   DesiredAccess,<br /
8.1 Windows驱动开发内核文件读写系列函数
热门推荐
CSDN
11-19 1万+
在应用层下的文件操作只需要调用微软应用层下的`API`函数及`C库`标准函数即可,而如果在内核文件则应用层的API显然是无法被使用的,内核层需要使用内核专有API,某些应用层下的API只需要增加Zw开头即可在内核中使用,例如本章要讲解的文件与目录操作相关函数,多数ARK反内核工具都具有对文件的管理功能,实现对文件或目录的基本操作功能也是非常有必要的。
Windows内核编程基础篇之文件操作(二)
知其所以然
09-01 1673
打开和关闭文件       下面的函数用于打开一个文件。       函数原型: NTSTATUS ZwCreateFile( _Out_ PHANDLE FileHandle, _In_ ACCESS_MASK DesiredAccess, _In_ POBJECT_ATTRIBUTES ObjectAttributes
Windows内核驱动操作文件
Geons的花园阳台
03-30 4548
本页主题:如何在windows内核驱动中对文件操作,实现对文件的拷贝、粘贴、删除、查询信息等,这是很常用也是很简单的方法。 实现原理: 一、在Windows执行体中,通过文件对象来代表文件,该文件对象是一种由对象管理器管理的执行体对象。例如:目录也是由文件对象代表的。 内核组件通过对象名来引用文件,即在文件的全路径前面加\DosDevices。(在Windows 2000及后续操作系统中,\
Windows驱动编程 文件读写 以及注册表操作
zacklin的专栏
04-16 6926
3.3 文件操作 打开文件之后,最重要的操作是对文件写。与写的方法是对称的。只是参数输入与输出的方向不同。文件内容一般用ZwReadFile,写文件一般使用ZwWriteFile。 C++代码 NTSTATUS ZwReadFile( IN HANDLE FileHandle, IN HANDLE Event  OPTIONAL, IN PIO_APC_ROU
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

WendyWJGu

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值