ZwQueryVolumeInformationFile之FileFsAttributeInformation

最新推荐文章于 2022-06-21 11:08:31 发布
最新推荐文章于 2022-06-21 11:08:31 发布
阅读量1.6k 收藏
点赞数
分类专栏: windows 驱动 文章标签: file 数据结构 文档 存储 buffer windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yangsongqbs/article/details/7474448
版权

这次在编写一个windows下的虚拟磁盘时,发现了一个很郁闷的问题,

在查询指定的文件句柄所在的文件系统的信息时考试报缓存区不正确

函数原型是

NTSTATUS
  ZwQueryVolumeInformationFile(
    IN HANDLE  FileHandle,                                       //指定的文件句柄
    OUT PIO_STATUS_BLOCK  IoStatusBlock,    //返回操作结果信息的缓冲区
    OUT PVOID  FsInformation,                                //查询结果的缓存区
    IN ULONG  Length,                                                //缓冲区的长度
    IN FS_INFORMATION_CLASS  FsInformationClass//查询的类别
    );

要查找的数据结构

typedef struct _FILE_FS_ATTRIBUTE_INFORMATION {
    ULONG FileSystemAttributes;
    LONG MaximumComponentNameLength;
    ULONG FileSystemNameLength;
    WCHAR FileSystemName[1];
} FILE_FS_ATTRIBUTE_INFORMATION, *PFILE_FS_ATTRIBUTE_INFORMATION;

其具体情况请看wdk的文档

 

我在这里的查询类别是FileFsAttributeInformation  ,据wdk文档的信息缓存区应该是FILE_FS_ATTRIBUTE_INFORMATION。

我的代码如下

 FILE_FS_ATTRIBUTE_INFORMATION pinfo =  {0};  
  status = ZwQueryVolumeInformationFile( hFile ,//已经打开的文件

 &IoStatusBlock ,  //结果信息

&fsInfo ,//数据缓存

 sizeof(FILE_FS_ATTRIBUTE_INFORMATION),//数据缓存的大小
   FileFsAttributeInformation);

我不知道的大家在上面的信息中能看出上面问题,但是我可以很定的是这个代码在我这里挂了  结果status = STATUS_BUFFER_OVERFLOW,也就是说缓存区不够。着没道理啊。

我们先看一下FILE_FS_ATTRIBUTE_INFORMATION的定义,结构体里面有两个ULONG和一个LONG都是四个字节的,还有一个WCHAR [1]占两个字节,总共是14个字节但是对齐后就是16个字节了。16个字节有问题么?

但是我们冲名字可以看到FileSystemName是表示文件系统的名字,以一个字符作为名字的文件系统谁见过?我还真没见过!在c\c++中数组的名字就是一个指针,也就是说FileSystemName要指向文件系统的名字

这就清楚了,在ZwQueryVolumeInformationFile的内部并没有按照常规的思维方式类处理fsInfo,在前面三个字段就都是对号入座的,而在FileSystemName的位置存入的是一个文件系统的名字的字符串,也就是说可能会超过结构体的空间大小,所以我们在这里传入的缓存区就不应只是一个FILE_FS_ATTRIBUTE_INFORMATION的大小了,否则这个文件系统的名字就没法存储了

在看下我修改了的代码

  char fsInfo[50] = {0};

  PFILE_FS_ATTRIBUTE_INFORMATION pinfo =  (void*)fsInfo;  
  status = ZwQueryVolumeInformationFile(
   pExt->hImageFile , &IoStatusBlock ,
   &fsInfo , 50,
   FileFsAttributeInformation);

这个代码在我这里就没问题了,其实我们不知道具体要传入的缓冲区大小是多少,因为我们并不知道文件系统的名字,所以只能蒙了。还要注意的是名字是以Unicode的方式存储的,一个字符占两个字节

 

本人菜鸟

 

 

 

BorrowedStory
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
zwqueryinformationfile获取路径例子
08-08
例子一:要访问已打开的文件,我们也可以使用这种方法。我们需要使用ZwQuerySystemInformation函数来枚举句柄,将每一个句柄都用DuplicateHandle进行复制,确定句柄属于那个文件(ZwQueryInformationFile),如果是要找的文件,就将句柄拷贝。 这些在理论上都讲得通,但在实践中会遇到两处难点。第一,在对打开的named pipe(工作于block mode)的句柄调用ZwQueryInformationFile的时候,调用线程会等待pipe中的消息,而pipe中却可能没有消息,也就是说,调用ZwQueryInformationFile的线程实际上永久性地挂起了。所以命名文件的获取不用在挑选句柄的主线程中进行,可以启动独立的线程并设置一个timeout值来避免挂起。
系统分区卷GUID
做一个快乐学习者
12-11 659
#define _CRT_SECURE_NO_WARNINGS #include <windows.h> #include <winternl.h> #include <stdio.h> // https://docs.microsoft.com/en-us/windows-hardware/drivers/ddi/wdm/ne-wdm-_fsinfoclass typedef enum _FSINFOCLASS { FileFsVolumeInformation
(转)深入理解文件操作函数native api之ZwQueryInformationFile 获取File ID
gylll的专栏
03-03 3486
http://hi.baidu.com/liushijianlu/blog/item/b104c810a08f8b28dc5401fb.html>深入理解文件操作函数native api之ZwQueryInformationFile看这个函数的名字和参数就能够知道他是干嘛用的了,但是他的作用远不止这些,这需要一些技巧和深入的理解才能有了新的思路。现在仅仅是明白了函数
[知识小节]Process Monitor介绍
热门推荐
网络安全知识分享
03-05 1万+
Process Monitor1、工具基本介绍2、使用场景3、常见用法4、实例分析 1、工具基本介绍 Process Monitor是微软推荐的一款系统监视攻击,能供实时显示文件系统、注册表、网络连接于进程活动的攻击工具。它整合了一些工具,其中Folemon专门用来监视系统中的任何文件操作过程,Regmon用来监视注册表的读写操作过程。 Filemon:文件监视器 Regmon:注册表监视器 同时。Process Monitor增加了进程ID、用户、进程可靠度等监视项。它的强大功能足以使Process
ZwQueryInformationFile 函数
02-22 1011
 ZwQueryInformationFile 函数The ZwQueryInformationFile routine returns various kinds of information about a given file object.NTSTATUS   ZwQueryInformationFile(    IN HANDLE  FileHandle,    OUT PIO_ST
普通恶意代码技术分析与检测
weixin_30279315的博客
03-12 324
创建时间:2008-03-07文章属性:原创文章提交:fleshwound (fleshwound_at_126.com)fleshwound([email protected])http://www.smatrix.org1 引言  近些年来,恶意代码依赖一些特殊的Native API函数和内核系统函数进行感染、传播、隐藏的这种趋势愈加明显代码,并大量的使用了多重加密壳、驱动关联壳、变...
Zw 系列函数
huanongying131的博客
11-19 3590
转:http://blog.sina.com.cn/s/blog_4a1acc7f0100cfud.html      896  37F 0000D379 ZwAcceptConnectPort         897  380 0000D38E ZwAccessCheck         898  381 0000D3A3 ZwAccessCheckAndAuditAlarm         ...
磁盘文件操作_ZwCreateFile_ZwOpenFile_ZwReadFile_ZwWriteFile_ZwSetInformationFile_ZwQueryInformationFile
01-27 3148
#include"ntddk.h" VOID xiezai1(PDRIVER_OBJECT qudongduixiang) { KdPrint(("驱动卸载 历程\n")); return; } NTSTATUS DriverEntry(PDRIVER_OBJECT qudongduixiang, PUNICODE_STRING zhucebiao1) { HANDLE wenjianju
在过滤驱动程序创建IRP查询文件信息
峥嵘岁月
02-04 5701
在开发Windows下文件系统过滤驱动程序时,我们经常需要先查询一下文件的属性信息,为了实现这个小目标,可以调用Windows Native API函数ZwQueryInformationFile并提供希望查询的文件信息类的名字及结构即可。不过如果我们在驱动程序当中自己处理信息查询请求,可以避免IRP重入的问题。1.自己创建文件信息查询IRPNTSTATUSQueryFileInforma
TDL3 Source Code
csx007700
07-18 3046
这是RootkitTDL3源代码,貌似是真的.....  转自 http://pastebin.com/UpvGUw19#include "inc.h" #pragma comment(linker,"/subsystem:native /entry:DriverEntr
读书笔记之《Windows内核原理与实现》
weixin_34306593的博客
10-27 812
最近学习《Windows内核原理与实现》发现其博大精深,粗略过了一遍,很多东西比较茫然,看书之余把书中涉及的函数,结构,全局变量的所在页数总结出来,便于以后查阅。 由于半自动半手工,难免有写错的地方,如有发现还请留言通知,谢谢。 函数 函数名称 所在页数 _KeSystemStartup 149 _KiExce...
Common Process Functions
把梦想放飞在蓝色的天空里...
11-19 1530
Registry Operations: RegOpenKey The process opened the Registry key specified in the Path column. RegCloseKey The process closed the Registry key specified in the Path column. RegQueryValue The
简单的恶意样本行文分析-入门篇
最新发布
weixin_48421613的博客
06-21 1000
开篇引题,此篇文章为入门入门文章,里面的内容为后续软件安全分析铺垫,有点东西,但是不多,所以大家觉得有用就看一眼,觉得无用就不看哈,别喷;此类应用场景呢,其实就是恶意样本行为分析、在遇到后门、应急响应后将恶意样本拷贝走之后去做一个初步的排查,能发现样本做了些什么,他有哪些功能等等...
使用NtQueryInformationFile函数获得不到完整路径
weixin_33729196的博客
01-22 366
#include <windows.h> #include <iostream> using namespace std; typedef struct _OBJECT_NAME_INFORMATION { WORD Length; WORD MaximumLength; LPWSTR Buffer; } OBJECT_NAME...
WDK获得U盘的序列号
大头的博客
08-30 694
一、获得U盘的逻辑序列号 重点函数:FltQueryVolumeInformation :查询卷实例的信息 可查询的类型如下: typedef enum _FSINFOCLASS { FileFsVolumeInformation = 1, FileFsLabelInformation, // 2 FileFsSizeInformation, ...
Hook ZwQueryInformationProcess 函数使得异常处理可以在shellcode上执行
lif12345的专栏
09-27 1619
32位系统上当你的shellcode有使用 __try __except 进行处理时,系统最终会调用RtlIsValidHandler来判断异常处理函数是否有效,如果你希望处理异常 应该是HookRtlIsValidHandler,可是微软没有导出这个接口 于是我们逆向看看RtlIsValidHandler 发现它会判断ZwQueryInformationProcess的返回值,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值