文件操作

最新推荐文章于 2022-06-21 11:08:31 发布
最新推荐文章于 2022-06-21 11:08:31 发布
阅读量327 收藏
点赞数
分类专栏: 内核 驱动开发 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youyou519/article/details/90522241
版权
windows 同时被 3 个专栏收录
105 篇文章 15 订阅
订阅专栏
内核
85 篇文章 6 订阅
订阅专栏
驱动开发
83 篇文章 9 订阅
订阅专栏

文件的表示

应用层:”c:\\hi.txt”
内核:L”\\??\\c:\\hi.txt”//??实际上是个符号链接,连接的是卷设备名称->\\device\\harddiskvolume3\\hi.txt
R3:
设备名:L”\\\\.\\xxxDrv”
R0
设备名:”\\device\\xxxDrv”
符号连接名:”\\dosdevices\\xxxDrv”或\\??\\xxxDrv


常用API

ZwCreateFile //集创建文件 文件夹 打开 
ZwWriteFile 
ZwReadFile
ZwQueryInformationFile  //查询文件信息
ZwQueryFullAttributesFile //查询文件属性 比如是不是文件 文件夹
ZwSetInformationFile //设置文件
ZwClose
ZwQueryDirectoryFile //枚举文件


ZwCreateFile(
	&hFile, //文件句柄
	GENERIC_WRITE,//写打开
	&objAttrib,//文件路径 
	&io_status, 
	NULL, 
	FILE_ATTRIBUTE_NORMAL,//普通文件,不是文件夹
	FILE_SHARE_READ | FILE_SHARE_WRITE |FILE_SHARE_DELETE, //非独占
	FILE_OPEN_IF,//如果没有新建
	FILE_SYNCHRONOUS_IO_NONALERT|FILE_NON_DIRECTORY_FILE, //非文件夹
	NULL, 
	0);

ZwReadFile (                                             
        hSrcFile, 
        NULL,
        NULL,
        NULL,                    
        &io_status,
        buffer, 
        PAGE_SIZE,//长度
        &offset,//偏移
        NULL
        );

ZwWriteFile(
        hDstFile,
        NULL,
        NULL,
        NULL,
        &io_status,
        buffer,
        length,
        &offset,
	NULL
	);


 


ZwQueryInformationFile(
		handle, 
		&iosb,
		&basicInfo,
		sizeof(basicInfo),
		FileBasicInformation//FileBasicInformation查询设置文件基本信息
                                    //FileStandardInformation
                                    //FileDispositionInformation
                                    //FilePositionInformation
                                    //FileRenameInformation
		);

 
ZwSetInformationFile(
	handle, 
	&iosb,
        &basicInfo,
        sizeof(basicInfo),
        FileBasicInformation
	);

typedef struct _FILE_BASIC_INFORMATION {
    LARGE_INTEGER CreationTime;
    LARGE_INTEGER LastAccessTime;
    LARGE_INTEGER LastWriteTime;
    LARGE_INTEGER ChangeTime;
    ULONG FileAttributes;
} FILE_BASIC_INFORMATION, *PFILE_BASIC_INFORMATION;

 

 

typedef struct 
_FILE_STANDARD_INFORMATION {
    LARGE_INTEGER AllocationSize;//占有磁盘空间大小
    LARGE_INTEGER EndOfFile;//文件大小
    ULONG NumberOfLinks;
    BOOLEAN DeletePending;
    BOOLEAN Directory;
} FILE_STANDARD_INFORMATION, *PFILE_STANDARD_INFORMATION;

 

 

typedef struct _FILE_POSITION_INFORMATION {//文件读写指针的位置
    LARGE_INTEGER CurrentByteOffset;
} FILE_POSITION_INFORMATION, *PFILE_POSITION_INFORMATION;

 

typedef struct _FILE_RENAME_INFORMATION {   
	BOOLEAN ReplaceIfExists;    
	HANDLE RootDirectory;    
	ULONG FileNameLength;    
	WCHAR FileName[1];
}FILE_RENAME_INFORMATION, *PFILE_RENAME_INFORMATION;

 

 

typedef struct _FILE_NETWORK_OPEN_INFORMATION {
    LARGE_INTEGER CreationTime;
    LARGE_INTEGER LastAccessTime;
    LARGE_INTEGER LastWriteTime;
    LARGE_INTEGER ChangeTime;
    LARGE_INTEGER AllocationSize;
    LARGE_INTEGER EndOfFile;
    ULONG FileAttributes;//文件夹还是文件
} FILE_NETWORK_OPEN_INFORMATION, *PFILE_NETWORK_OPEN_INFORMATION;

 

 

typedef struct _FILE_DISPOSITION_INFORMATION {//删除文件
    BOOLEAN DeleteFile;
} FILE_DISPOSITION_INFORMATION, *PFILE_DISPOSITION_INFORMATION;

 

kernweak
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ZwQueryVolumeInformationFileFileFsAttributeInformation
yangsongqbs的专栏
04-18 1701
这次在编写一个windows下的虚拟磁盘时,发现了一个很郁闷的问题, 在查询指定的文件句柄所在的文件系统的信息时考试报缓存区不正确 函数原型是 NTSTATUS   ZwQueryVolumeInformationFile(     IN HANDLE  FileHandle,                                       //指定的文件句柄     OU
zwqueryinformationfile获取路径例子
08-08
例子一:要访问已打开的文件,我们也可以使用这种方法。我们需要使用ZwQuerySystemInformation函数来枚举句柄,将每一个句柄都用DuplicateHandle进行复制,确定句柄属于那个文件ZwQueryInformationFile),如果是要找的文件,就将句柄拷贝。 这些在理论上都讲得通,但在实践中会遇到两处难点。第一,在对打开的named pipe(工作于block mode)的句柄调用ZwQueryInformationFile的时候,调用线程会等待pipe中的消息,而pipe中却可能没有消息,也就是说,调用ZwQueryInformationFile的线程实际上永久性地挂起了。所以命名文件的获取不用在挑选句柄的主线程中进行,可以启动独立的线程并设置一个timeout值来避免挂起。
windows driver 获取文件属性
sz76211822的专栏
11-13 1109
OBJECT_ATTRIBUTES oa; FILE_NETWORK_OPEN_INFORMATION fnoi; UNICODE_STRING strPath = RTL_CONSTANT_STRING(L"\\??\\E:\\安装软件\\win7旗舰版.iso"); LARGE_INTEGER li_temp; char strTime[ArrayLength] = {0}; AN
ZwQueryInformationFile 函数
02-22 1025
 ZwQueryInformationFile 函数The ZwQueryInformationFile routine returns various kinds of information about a given file object.NTSTATUS   ZwQueryInformationFile(    IN HANDLE  FileHandle,    OUT PIO_ST
磁盘文件操作_ZwCreateFile_ZwOpenFile_ZwReadFile_ZwWriteFile_ZwSetInformationFile_ZwQueryInformationFile
01-27 3165
#include"ntddk.h" VOID xiezai1(PDRIVER_OBJECT qudongduixiang) { KdPrint(("驱动卸载 历程\n")); return; } NTSTATUS DriverEntry(PDRIVER_OBJECT qudongduixiang, PUNICODE_STRING zhucebiao1) { HANDLE wenjianju
C#文件操作大全
11-01
C#文件操作大全,读、写、移动、删除、搜索、简单加密、简单解密、枚举子文件夹等
C#文件操作大全.pdf
12-23
C#文件操作大全.pdf,超清晰,内容超全,与大家共享,一同进步!
C++文件操作编程教程
04-18
这是C++达人编写的C++文件操作编程教程 pdf,不涉及其它方面的C++教程,主要是讲解C++中的I/O流、Stream类以及一些重要的运算符,包括了文件打开、修改文件、删除、追加文件内容、读写文件、C++中的文件输入/输出、...
VC之PDF文件操作
04-18
在VC++环境中进行PDF文件操作是一项常见的任务,尤其在开发桌面应用程序时,可能需要读取、编辑或生成PDF文档。本篇文章将详细讲解如何在VC++中实现这些功能,主要涉及的技术点包括PDF文件的基本概念、PDF库的使用...
单链表及文件操作 从txt文件中读取数据并自动建立单链表
04-17
1、从文本文件中导入班级学生信息:学号、姓名、性别、籍贯 2、将学号重复的删除 3、显示导入的学生信息(文件加后缀) 4、按学号、姓名、性别、籍贯相等和不相等查找 5、多次查找 6、查找结果写入文件 7、VC++6.0...
ZwQuerySystemInformation获取进程列表信息
04-24
测试环境Delphi2009,Windows10。能够通过ZwQuerySystemInformation获取进程信息块,详细的记录类型的参数都标注清楚的。这个函数相对于进程快照有一个缺陷,不能及时得获取我自己进程的信息。(可能是我自己哪里出错,但进程信息都是能够正确获取的)代码是我自己测试可用的
文件句柄获得全路径
weixin_34122548的博客
03-29 192
文件句柄获得全路径这个问题,似乎是个“老大难”问题。很久以前我就在水木清华见到过。最近又不断有人提到。其实问题并不难,只是解决办法有点绕,不是调用一个API就能解决的。 问题的关键在于,形如”X:”的Dos设备名都是符号链接(SymblicLink),而文件打开后文件对象中保存的是逻辑卷设备名(如”\Device\HarddiskVolumeX”)。前者可以转换成后者,而后者却不能简单地...
[内核编程]内核态下的基本文件操作
輚至消亡
07-12 848
下面提供文件的复制, 删除以及重命名操作: 先说一下内核态下文件复制的主要步骤: 1. ZwCreateFile打开原文件 2. ZwQueryInformationFile的StandardFileInformation类功能查询原文件大小 3. ExAllocatePool分配堆空间 4. ZwReadFile读取原文件内容到堆 5. ZwCreateFile创建新文件 6. ZwWriteFile写入新文件 PS: 别忘记释放堆和关闭文件句柄 接着说一下文件删除的主要步骤: .
简单的恶意样本行文分析-入门篇
weixin_48421613的博客
06-21 1109
开篇引题,此篇文章为入门入门文章,里面的内容为后续软件安全分析铺垫,有点东西,但是不多,所以大家觉得有用就看一眼,觉得无用就不看哈,别喷;此类应用场景呢,其实就是恶意样本行为分析、在遇到后门、应急响应后将恶意样本拷贝走之后去做一个初步的排查,能发现样本做了些什么,他有哪些功能等等...
内核模式下的文件操作_zwcreatefile_zwopenfile_zwreadfile_zwwritefile
05-05 2309
1.文件的创建 对文件的创建或者打开都是通过内核函数ZwCreateFile实现的。和Windows API类似,这个内核函数返回一个文件句柄,文件的所有操作都是依靠这个句柄进行操作的。在文件操作完毕后,要关闭这个文件句柄。 NTSTATUS     ZwCreateFile(     OUT PHANDLE  FileHandle,     IN ACCESS_MASK  DesiredAc...
通过文件句柄取得到文件名(三)
Coder in Tokyo
03-25 5258
文件句柄获得文件名方法(三), 这次是用wdk函数ZwQueryInformationFile(),和GetVolumeInformation()。通过判断取得的dwVolumeSerialNumber来确定盘符。其他的内核函数比如说ObDereferenceObject()也可以。参考了Adlys blog 的 通过文件句柄得到文件所在路径的一种新方法 —— 得到完整路径名
寒江独钓(1):内核数据类型和函数
weixin_34321753的博客
07-04 111
零、内核模块所在进程     1、内核模块位于内核空间,而内核空间又被所有的进程共享。因此,内核模块实际上位于任何一个进程空间中。   2、PsGetCurrentProcessId函数能得到当前进程的进程号,函数原型为:  HANDLE PsGetCurrentProcessId();返回值时间上就是一个进程ID;   3、当DriverEntry函数被调用时,一般位于系统进程中,因为Wi...
有方法读取一个已被其他进程打开且dwSharemode = 0的文件吗?
misterliwei的专栏
03-12 2300
有方法读取一个已被其他进程打开且dwSharemode = 0的文件吗?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值