强删文件--->构建IRP---->独占--->正在运行 以及磁盘读写(思路)

最新推荐文章于 2022-04-28 11:44:06 发布
最新推荐文章于 2022-04-28 11:44:06 发布
阅读量2.9k 收藏 8
点赞数 2
分类专栏: 驱动学习 文章标签: 文件操作 内核 函数 强删文件 XCB
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuhuibeishadiao/article/details/51046595
版权
本文介绍了如何在Windows内核编程中构建IRP来删除文件,详细阐述了IRP的构建过程,包括获取设备对象、设置IRP头信息、填充功能号和次功能号等。同时,文章提及了磁盘读写操作的思路,特别是利用DeviceIoControl锁定逻辑分区以允许WriteFile写扇区,但并未深入探讨NTFS细节。此外,还提到了硬链接和软链接的概念及其区别。
摘要由CSDN通过智能技术生成
个人比较崇拜360 一个小小的按钮下面蕴含着很多的原理 要有多么强大才能1天搞定偏移
-------致敬360 致敬MJ-001
无奈本人学业不精 只能说说“独占”和“正在运行”
打开文件 一般使用ZwCreateFile NtCreateFile 但这些函数还不够底层 使用IoCreateFile会好一些
被其它程序独占
枚举句柄表 ZwQuerySystemInformation --->复制句柄 ZwDuplicateObject --->ZwClose 然后再ZwDuplicateObject 一次 这次使用DUPLICATE_CLOSE_SOURCE -->ZwClose


正在运行 这个涉及构建IRP 最下面会说
将ImageSectionObject 和 DataSectionObject设为0就可以解决了 
 NtfsSetDispositionInfoMmFlushImageSection
 pSectionObjectPointer = fileObject->SectionObjectPointer;
 pSectionObjectPointer->ImageSectionObject = 0;
 pSectionObjectPointer->DataSectionObject = 0;

 核心代码代码:

 NTSTATUS
dfSkillSetFileCompletion(
    IN PDEVICE_OBJECT DeviceObject,
    IN PIRP Irp,
    IN PVOID Context
    )
{
    Irp->UserIosb->Status = Irp->IoStatus.Status;
    Irp->UserIosb->Information = Irp->IoStatus.Information;

    KeSetEvent(Irp->UserEvent, IO_NO_INCREMENT, FALSE);

    IoFreeIrp(Irp);

    return STATUS_MORE_PROCESSING_REQUIRED;
}

BOOLEAN dfDelFile(WCHAR* name)
{
    NTSTATUS        ntStatus = STATUS_SUCCESS;
    PFILE_OBJECT    fileObject;
    PDEVICE_OBJECT  DeviceObject;
    PIRP            Irp;
    KEVENT          event;
    FILE_DISPOSITION_INFORMATION  FileInformation;
    IO_STATUS_BLOCK ioStatus;
    PIO_STACK_LOCATION irpSp;
    PSECTION_OBJECT_POINTERS pSectionObjectPointer;
    HANDLE handle;

    ntStatus = dfOpenFile(name, &handle, FILE_READ_ATTRIBUTES|DELETE,FILE_SHARE_DELETE);
	if (ntStatus == STATUS_OBJECT_NAME_NOT_FOUND ||
		ntStatus == STATUS_OBJECT_PATH_NOT_FOUND )
	{
		KdPrint(("No such file"));
		return FALSE;
	}
	else if (!NT_SUCCESS(ntStatus))
	{
		if (dfCloseFileHandle(name))
		{
			ntStatus = dfOpenFile(name, &handle, FILE_READ_ATTRIBUTES|DELETE,FILE_SHARE_DELETE);
			if (!NT_SUCCESS(ntStatus))
				return FALSE;
		}
		else
		{
			return FALSE;
		}
	}

    ntStatus = ObReferenceObjectByHandle(handle,
        DELETE,
        *IoFileObjectType,
        KernelMode,
        &fileObject,
        NULL);

    if (!NT_SUCCESS(ntStatus))
    {
    	DbgPrint("ObReferenceObjectByHandle()");
		ZwClose(handle);
        return FALSE;
    }  

    DeviceObject = IoGetRelatedDeviceObject(fileObject);
    Irp = IoAllocateIrp(DeviceObject->StackSize, TRUE);

    if (Irp == NULL)
    {
        ObDereferenceObject(fileObject);
		ZwClose(handle);
        return FALSE;
    }

    KeInitializeEvent(&event, SynchronizationEvent, FALSE);
   
    FileInformation.DeleteFile = TRUE;

    Irp->AssociatedIrp.SystemBuffer = &FileInformation;
    Irp->UserEvent = &event;
    Irp->UserIosb = &ioStatus;
    Irp->Tail.Overlay.OriginalFileObject = fileObject;
    Irp->Tail.Overlay.Thread = (PETHREAD)KeGetCurrentThread();
    Irp->RequestorMode = KernelMode;
   
    irpSp = IoGetNextIrpStackLocation(Irp);
    irpSp->MajorFunction = IRP_MJ_SET_INFORMATION;
    irpSp->DeviceObject = DeviceObject;
    irpSp->FileObject = fileObject;
    irpSp->Parameters.SetFile.Length = sizeof(FILE_DISPOSITION_INFORMATION);
    irpSp->Parameters.SetFile.FileInformationClass = FileDispositionInformation;
    irpSp->Parameters.SetFile.FileObject = fileObject;

    IoSetCompletionRoutine(
            Irp,
            dfSkillSetFileCompletion,
            &event,
            TRUE,
            TRUE,
            TRUE);
    pSectionObjectPointer = fileObject->SectionObjectPointer;
    if(pSectionObjectPointer)
	{
		pSectionObjectPointer->ImageSectionObject = 0;
		pSectionObjectPointer->DataSectionObject = 0;
	}
    ntStatus = IoCallDriver(DeviceObject, Irp); 
    if (!NT_SUCCESS(ntStatus))
    {
    	 ObDereferenceObject(fileObject);
		 ZwClose(handle);
         return FALSE;
    }  

    KeWaitForSingleObject(&event, Executive, KernelMode, TRUE, NULL);
	//IoFreeIrp(Irp);
    ObDereferenceObject(fileObject);
    ZwClose(handle);
    return TRUE;

}


整个工程代码:

DelFile.c

#include <ntddk.h>
#include <ntimage.h>
#include <ntdef.h>
#include "DelFile.h"

PDEVICE_OBJECT	g_HookDevice;


NTSTATUS dfQuerySymbolicLink(
	IN PUNICODE_STRING SymbolicLinkName,
	OUT PUNICODE_STRING LinkTarget
	)                                  
{
    OBJECT_ATTRIBUTES oa;
    NTSTA
最低0.47元/天 解锁文章
zhuhuibeishadiao
关注
专栏目录
Windows驱动开发系列之一:小白入门经典
09-05
Windows驱动程序开发比较复杂,我将带领大家一起领略内核模式下编程的奥妙。您将真正掌握内核编程的原理与技术,将技术水平提升一个档次,学会核心技术。您将掌握Windows驱动开发的基本技术;灵活应用IRP、IO堆栈、设备栈、派遣函数等;您将掌握Windows驱动的分层技术,了解WDM驱动的基本原理您将掌握Windows驱动开发中的各种回调例程:完成例程、取消例程、DPC例程、APC例程、等等。具体内容包括但不限于:Windows驱动开发小白入门,Windows内核架构与驱动开发的基本概念,VS2015+VMware(win10x64)双机调试驱动,Win10x64中安装WDM驱动,驱动程序的基本结构(NT,WDM),Windows内存管理,Windows内核函数,驱动程序的派遣函数,驱动程序的同步处理,IRP的同步,定时器,驱动程序调用驱动程序,分层驱动程序
强制删除文件(1)——直接发IRP文件系统
zz_strive_2012的专栏
10-25 1358
这个程序比较简单,主要练习了两个点: (1)模拟发送IRP (2)使用内核事件对象同步IRP的执行 强制删除文件思路很简单,把SECTION_OBJECT_POINTERS结构的DataSectionObject和ImageSectionObject两个域清空即可删除正在运行文件。如果不清空就不能删除运行中的文件。正在运行文件的这两个域值不为0而文件系统正在根据这两个域决定该文件
IoAllocateIrp用于驱动调用驱动
weixin_42071117的博客
04-28 334
// driver.c #include <ntddk.h> // 卸载函数 VOID DriverUnload(IN PDRIVER_OBJECT pDriverObject) { KdPrint(("驱动卸载\n")); UNREFERENCED_PARAMETER(pDriverObject); } // 测试函数 VOID CallDriverTest() { NTSTATUS status = STATUS_SUCCESS; PFILE_OBJECT pFileObj =
创建IRP的相关内容
爱她就要努力
06-13 671
篇一: 在驱动程序中,经常会调用其他的驱动程序;其中,手动构造IRP,然后将IRP传递到相应驱动程序的派遣函数中是一种比较简单的方法,下面就来介绍下手动创建IRP的几种不同的方法及其特点。          创建IRP总共有4种方法。分别通过调用:IoBuildSynchronousFsdRequest、IoBuildAsynchronousFsdRequest、IoBuildDevice
[Win32驱动14]通过4种方式手动创建IRP
輚至消亡
11-11 565
1. IoBuildSynchronousFsdRequest __drv_aliasesMem PIRP IoBuildSynchronousFsdRequest( ULONG MajorFunction, PDEVICE_OBJECT DeviceObject, PVOID Buffer, ULONG Length, PLARGE_INTEGER StartingOffset, PKEVENT
IRP讲座-信息化建设基础工程.pptx
最新发布
12-18
【信息资源规划(IRP)】是信息化建设的基础工程,主要关注如何有效地规划、管理和利用组织内部及外部的信息资源,以提升工作效率和服务质量。IRP不仅仅是关于技术的选择和实施,更涉及策略性的规划和管理,旨在打破...
IO_Card_Dev.zip_http://dev-io
09-23
标题中的"IO_Card_Dev.zip_...总的来说,"IO_Card_Dev.zip"包含的资源可能是开发和测试I/O卡驱动所需的所有组件,包括驱动源码、测试用例、构建脚本等,对于熟悉DDK和驱动开发的工程师来说,这是一个宝贵的参考资料。
计算机研究 -基于PCI总线的计算机励磁控制系统驱动开发.pdf
06-26
- **I/O Request Packet (IRP) 请求包**:IRP是Windows内核用来传递I/O请求的一种数据结构,理解和处理IRP是驱动程序开发中的关键技能之一。 #### 四、WDM驱动程序设计 ##### 4.1 设备初始化与即插即用 - **硬件...
在线和离线渠道的参考价格-研究论文
05-20
使用来自大型多渠道杂货链的相同样本消费者的在线和离线杂货购买的独特数据集,我们为面临在线和离线渠道同等价格的消费者分析了橙汁类别中的购买和计划外无购买,以及使用考虑IRP和ERP效果的多项式logit模型。...
人工智能-图像处理-基于FPGA和DSP的图像处理技术研究.pdf
07-03
本文的研究工作得到了国家自然科学基金(No.60971128)和华为创新研究计划项目(No.IRP-2011-03-04)的资助。 本文的主要贡献包括: (1)基于FPGA的IUT656格式视频采集和VGA显示系统的设计和实现。 (2)K近邻...
通俗解析IRP和I/O设备栈在内核程序中的作用(转自看雪)
01-09 1824
正文: 言归正传,所有的I/O请求都是以IRP(I/O请求包)的形式来提交的,同时内核程序的所有分发函数(Dispatch Function)的第二个参数都是 PIRP(也即是指向IRP的指针)。为了说明问题,防止跳跃性太大,先解释几个名词(都按自己理解的),可以帮助会的人复习,不会的人学习 1:DRIVER_OBJECT: 驱动对象,由即插即用管理创建和传递到DriverEntr
《Windows驱动开发技术详解》之驱动程序调用驱动程序——通过设备指针调用其他驱动程序...
weixin_30700099的博客
06-16 248
本节介绍“手动”构造各个IRP,然后将IRP传递到相应驱动程序的派遣函数里。 获得设备指针 每个内核中的句柄都会和一个内核对象的指针联系起来。ZwCreateFile内核函数可以通过设备名打开设备句柄,这个设备句柄和一个文件对象的指针关联。IoGetDeviceObjectPointer内核函数可以通过设备名获得文件对象指针,而不是获得设备句柄。当调用IoGetDeviceO...
Windows内核面试题(持续更新,目前完成度30%约1.8万字)
qq_18811919的博客
11-03 2424
WINDOWS内核编程问题与答案 1.WDK和SDK的区别是什么 2.WDK全称叫做 3.如何创建WDK程序 4.WinDbg如何连接虚拟机 5.Windows内核符号表的作用 6.如何设置内核符号表与源文件 7.如何设置断点与源码调试 8.什么时候共享内核空间 9.内核模块与驱动程序的区别是什么 10.内核模块运行在什么空间 11.PsGetCurrentProcessId函数的作用是什么 12.System进程的作用是什么 13.x64和x86操作系统的用户空间和内核空间的范围分别是多少 14.WDK基
使用IRP进行文件操作
03-26 2681
一定要先感谢为技术的进步而付出辛勤汗水的人,感谢他们对技术的共享.一个通用IRP访问文件的十六进制编辑器(开源代码)     --   被诅咒的神(邪恶八进制信息安全团队)Windows平台内核文件访问                               --   baiyuanfan (baiyuanfan@163.com)特别感谢被诅咒的神,他写的里面包含了非常多
windows内核情景分析---设备驱动
maomao171314的专栏
04-04 1835
设备驱动 设备栈:从上层到下层的顺序依次是:过滤设备、类设备、过滤设备、小端口设备【过、类、过滤、小端口】 驱动栈:因设备堆栈原因而建立起来的一种堆栈  老式驱动:指不提供AddDevice的驱动,又叫NT式驱动 Wdm驱动:指提供了AddDevice的驱动 驱动初始化:指IO管理器加载驱动后,调用驱动的DriverEntry、AddDevice函数 设备栈中上层设备与下层设备的绑定关
用IoAllocateIrp创建IRP
125096
08-07 2120
EXE部分 #include #include #include #include "Ioctl.h" int main (void) { char linkname[]="\\\\.\\HelloDDKB"; HANDLE hDevice = CreateFileA(linkname, GENERIC_READ | GENERIC_WRITE, 0, NULL,
3.4 IRP处理
it技术学习
08-01 1086
简要介绍IRP的生成、创建、发送等,然后介绍多种IRP处理示例。 3.4.1 简单的IRP流动图 应用程序打开磁盘上一个数据文件的基本流程: 1. Windows子系统使用系统服务函数NtCreateFile打开目标文件 2. I/O管理器调用对象管理器解析命名的文件,然后调用安全引用监视器检查子系统是否拥有对目标文件对象的访问权限 3. 如果目标文件所在的卷还没有被加载,I/O
hook zwduplicateobject 防止句柄被复制。。。
xum2008的专栏
06-09 2198
<br />具体方法,是在这个函数体中判断,现将其下发,得到复制后的句柄后,通过ZwQueryInformationProcess 查询,得到持程序的 pid ,最后,与我们的程序的PID 比较,如果是我们要保护的,则将其句柄值清0 ,返回访问错误。。。<br /> <br />这里我犯了三个错误:<br />1:使用函数的时候,没有注意函数是否有效,也就是,在使用一些可能被别人挂钩过的函数时,我们还是先通过自己搜索比较好。<br />2:在函数中,只需要调用一次底层的函数就可以了<br />3:在发现时我
【转帖】驱动编程学习笔记之IO处理
floweronwarmbed的专栏
11-03 1820
 典型的i/o处理过程=================操作系统将所有的i/o请求都抽象成针对一个虚拟文件操作,从而掩盖了“一个i/o操作的目标可能不是一个文件结构的设备“这样的事实。这一抽象也使得应用程序对待设备的接口变得泛化。用户模式api   |i/o系统服务api(Ntxxx)   |i/o管理器(Ioxxx)   |内核模式设备驱动程序------驱动程序支持例程(Io,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值