文件读取在驱动中经过的一些函数

于 2019-08-09 13:45:27 发布
阅读量389 收藏
点赞数
分类专栏: windows 驱动开发 内核
原文链接:http://www.m5home.com/bbs/thread-5302-4-1.html
版权
windows 同时被 3 个专栏收录
105 篇文章 15 订阅
订阅专栏
内核
85 篇文章 6 订阅
订阅专栏
驱动开发
83 篇文章 9 订阅
订阅专栏


原文链接

http://www.m5home.com/bbs/thread-5302-4-1.html

文件在读入到内存之前,终归是要经过IRP_MJ_READ的,当打开需要的文件时候,会有IRP_MJ_CREATE,你双击的时候,也是先产生IRP_MJ_CREATE再产生IRP_MJ_WRITE的。会有一个IRP_MJ_READ发送给NTFS驱动。以下的流程是:
NTFS!NtfsFsdRead ->NTFS!NtfsCommonRead-> CcInitializeCacheMap->CcCopyRead。在CcInitializeCacheMap时候,就映射进了内存了。

当有别的程序先于你的驱动打开了这个文件的时候,这个文件就会保存在内存里了。这个时候,我们自然就捕捉不到IRP_MJ_READ操作了。
当对文件进行修改后,文件在内存中被修改,然后这是缓冲管理器会有一个延迟写的技术,把修改后的文件保存在备用列表或者修改列表中,这取决于文件是否被改,最后再由一个系统线程写入硬盘。
当文件要写入硬盘的时候,一定要经过IRP_MJ_WRITE的。
所以,我们只要解决文件的内存映像就可以了。
有关于内存映像的结构在_file_object里面。具体如下:

可捕捉到IRP_MJ_CREATE的,再从中导出_File_object,从而判断是否是你保护的文件,然后再判断是否是可信进程,再从下面SharedCacheMap 那行做文章,更可以把irp和_io_stack_location中的file_object给换掉,换成别的文件的。

d> dt _file_object
nt!_FILE_OBJECT
   +0x000 Type             : Int2B
   +0x002 Size             : Int2B
   +0x004 DeviceObject     : Ptr32 _DEVICE_OBJECT
   +0x008 Vpb              : Ptr32 _VPB
   +0x00c FsContext        : Ptr32 Void
   +0x010 FsContext2       : Ptr32 Void
   +0x014 SectionObjectPointer : Ptr32 _SECTION_OBJECT_POINTERS
   +0x018 PrivateCacheMap  : Ptr32 Void //用来控制预读等操作的。dt _private_cache_map

kd> dt _SECTION_OBJECT_POINTERS
nt!_SECTION_OBJECT_POINTERS
   +0x000 DataSectionObject : Ptr32 Void //数据的内存信息,PTE之类的。dt _control_area
   +0x004 SharedCacheMap   : Ptr32 Void //就是这个啦~本文件相关的Cache信息。dt _share_cache_map
   +0x008 ImageSectionObject : Ptr32 Void //运行程序的映像。这个是什么结构笔者不知道。

再提供一个清缓存的函数:CcFlushCache。
再提供一份清空磁盘缓存的代码:
HANDLE hFile = CreateFile("\\\\.\\X:", GENERIC_WRITE|GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, 0);

如果说过滤驱动不能捕捉到read操作的话,可用dispatch hook ntfs的方法,可以在每次记事本打开txt文件的时候,即使是在加载驱动前,还用了一次记事本打开,并不关闭的前提下,都可以捕捉到read操作。

堆栈如下:
00 f7981c40 fa03056e f7981c6c 818e61e8 00160014 nt!DbgBreakPoint (FPO: [0,0,0])
01 f7981c6c 804eefe3 81bc33c0 818fae70 806d12d0 ntfs_create!fake_create_dispatch+0xbe (FPO: [Non-Fpo]) (CONV: stdcall) ---------->我用Dispatch hook后的fake read例程,不是create
02 f7981c7c 80574dce 818fafb8 818fae70 818e61b8 nt!IopfCallDriver+0x31 (FPO: [0,0,0])
03 f7981c90 80571e16 81bc33c0 818fae70 818e61b8 nt!IopSynchronousServiceTail+0x60 (FPO: [7,0,4])
04 f7981d38 8053da28 000000e4 00000000 00000000 nt!NtReadFile+0x580 (FPO: [Non-Fpo])
05 f7981d38 7c92eb94 000000e4 00000000 00000000 nt!KiFastCallEntry+0xf8 (FPO: [0,0] TrapFrame @ f7981d64)
想必是nt!IopSynchronousServiceTail或者IopfCallDriver中把过滤驱动跳过了吧~

 

kernweak
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windows文件分发系统_windows文件系统的CCB和FCB
weixin_33879932的博客
01-28 1606
FCB 和CCB的解释:在Windows文件系统驱动程序,另一个数据结构是CCB(Context Control Block),它代表了一个应用程序已打开一个文件。CCB与FCB的不同之处是,FCB针对每个文件而唯一存在,而CCB针对每一次打开文件而存在。例如,两个应用程序共享访问同一个文件,它们的CCB不同,但CCB所指的FCB是相同的,而且,CCB记录了相应的应用程序正在操作该文件的偏移...
内核驱动文件创建读写
08-18 3897
内核驱动文件创建读写目的:在内核驱动创建文件,并进行读写。用于保存驱动运行的信息。方式:    可以用两种方式实现该操作。1、    在应用程序创建文件驱动运用IOCTL将信息传给应用层,应用程序对文件进行读写。Tdi_fw就是利用这种方式来记录驱动过滤信息,Tdi_fw的应用程序创建一个线程,循环利用IOCTL来读取驱动信息,并保存到文件。2、    在驱动完成所有的这些操作。在
FILE_OBJECT
春暖花开
08-07 2668
typedef struct _FILE_OBJECT {      CSHORT  Type;      CSHORT  Size;      PDEVICE_OBJECT  DeviceObject;      PVPB  Vpb;      PVOID  FsContext;      PVOID  FsContext2;      PSECTION_OBJECT_POINTE
Linux内核读写文件数据的方法
07-29
在Linux内核编程,有时候需要直接在内核空间读写文件,这通常发生在调试驱动程序时。由于内核环境没有标准C库的支持,必须使用内核提供的特定函数来实现这一目标。以下是对主要涉及的函数的详细解释: 1. **...
如何在Linux内核读写文件数据实现方法说明-综合文档
05-25
如何在Linux内核读写文件数据实现方法说明[摘要]有时候需要在Linuxkernel-大多是在需要调试的驱动程序-读写文件数据。在kernel操作文件没有标准库可用,需要利用kernel的一些函数,这些函数主要有:...
vxd驱动开发之监控文件的读写,监视文件操作.zip
02-20
同时,由于VxD仅适用于较老的Windows 9x系统,对于现代操作系统,可能需要转向其他类型的内核驱动,如.sys文件在Windows NT系列系统的使用。 总结,VxD驱动开发是深入操作系统底层的重要途径,通过编写VxD,我们...
驱动开发之磁盘读写文件监控.sys驱动程序.zip
01-27
在Windows系统驱动通常是以`.sys`结尾的文件,比如这个案例的"磁盘读写文件监控.sys"驱动程序。 1. **驱动开发基础**:开发驱动需要深入理解Windows内核模式编程,包括IRP(I/O请求包)、设备对象、驱动队列...
Linux系统设备文件读写_linux系统设备文件读写_
10-01
总的来说,Linux系统的设备文件读写是操作系统与硬件交互的关键部分,开发者需要理解设备文件的类型、设备号、文件操作函数以及相关的设备配置。通过编写和运行像`app-read.c`和`app-write.c`这样的示例程序,可以...
NTDDK 文件
03-02
包含常见头文件和库文件。头文件(usb100.h、usbdi.h、devioctl.h、basetsd.h、hidpi.h、hidusage.h、setupapi.h、hidpddi.h’等),LIB库包括(hid.lib、hidparse.lib、setupapi.lib、hidclass.lib)
注册表过滤驱动
05-28
注册表过滤驱动,回调监控,注册表监控,界面输出控制台
驱动级磁盘级文件读写完整代码
03-04
(编译成sys后作为服务加载)实现驱动级别磁盘读写
linux内核读写文件数据方式详解
09-23
在linux驱动如何打开其他设备驱动提供的接口进行读写,此文档详细讲解,我看它才弄出来的。
Windows 文件过滤驱动经验总结
weixin_34410662的博客
11-16 287
by ai3000 看了 ChuKuangRen 的第二版《文件过滤驱动开发教程》后,颇有感触。我想,交流都是 建立在平等的基础上,在抱怨氛围和环境不好的同时应该先想一想自己究竟付出了多少? 只知索取不愿付出的人也就不用抱怨了,要怪也只能怪自己。发自己心得的人无非是两种 目的,一是引发一些讨论,好纠正自己错误的认识,以便从获取更多的知识使自己进步 的更快。二是...
驱动程序文件操作函数之ZwCreateFile
木易云清
03-30 1848
据说Windows是用80%的C和20%的汇编写成的,那么在驱动程序的DDK提供给程序员使用的内核函数就都包含了C的特性,比如一个函数的使用会包含多个结构体,所以在使用起来没有在用户模式下这么简单。 为了使用ZwCreateFile这个内核函数,我们首先需要作一些准备工作,还是先来看看ZwCreateFile函数的定义,该函数的定义位于wdm.h: NTSYSAPI NTSTATU
【原创】NTFS文件系统底层挖掘
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-27 1574
标 题: 【原创】NTFS文件系统底层挖掘 作 者: sudami 时 间: 2009-05-02,23:37:18 链 接: http://bbs.pediy.com/showthread.php?t=87741 貌似关于NTFS文件系统的底层实现细节,网上资料很少. 这几天突然来了兴趣,于是挖掘了一下. 结合nt4src,IDA+ntfs.sys,windbg+VMWare,在X
在高通驱动使用open函数需要加什么方法
最新发布
05-26
在使用open函数打开文件时,需要传入文件路径和文件访问模式参数。文件访问模式参数指定了打开文件的方式,例如只读、只写、读写等。在Linux系统,常用的文件访问模式参数包括: - O_RDONLY:只读方式打开文件。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值