2. 程式人生 > >【驅動開發】004 檔案操作

【驅動開發】004 檔案操作

阿新 發佈:2019-02-05

note:本文部分程式碼參考了《Windows核心安全與驅動開發》這本書

一、OBJECT_ATTRIBUTES

         物件屬性結構。在ntdef.h檔案中有該結構的定義:

typedef struct _OBJECT_ATTRIBUTES {
    ULONG Length;
    HANDLE RootDirectory;
    PUNICODE_STRING ObjectName;
    ULONG Attributes;
    PVOID SecurityDescriptor;        // Points to type SECURITY_DESCRIPTOR
    PVOID SecurityQualityOfService;  // Points to type SECURITY_QUALITY_OF_SERVICE
} OBJECT_ATTRIBUTES;
         核心中都是以物件為操作單位,所以我們不論開啟檔案還是關閉檔案等 都必須先填充這個結構。這個結構有個函式用來初始化資訊。 
#define InitializeObjectAttributes( p, n, a, r, s ) { \
    (p)->Length = sizeof( OBJECT_ATTRIBUTES );          \
    (p)->RootDirectory = r;                             \
    (p)->Attributes = a;                                \
    (p)->ObjectName = n;                                \
    (p)->SecurityDescriptor = s;                        \
    (p)->SecurityQualityOfService = NULL;               \
    }
p :傳入OBJECT_ATTRIBUTES 指標

n :PUNICODE_STRING ObjectName 物件名字(檔案登錄檔等操作要輸入絕對路徑)

a:一般填寫 OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE  名字字串不區分大小寫,開啟的控制代碼是一個核心控制代碼;核心控制代碼可以不受執行緒和程序限制,在任何程序中都可以讀寫,同時開啟的核心檔案控制代碼不需要顧及當前程序是否有許可權訪問該檔案。

r::根目錄 用於相對開啟的情況,個人建議採用絕對路徑方法訪問,這個地方填寫NULL

s :設定安全描述符號,填寫NULL

二、開啟和關閉檔案

ZwCreateFile(...) 這個函式引數比較多,這裡我們先介紹裡面的一個重要結構 IO_STATUS_BLOCK

typedef struct _IO_STATUS_BLOCK {
    union {
        NTSTATUS Status;
        PVOID Pointer;
    } DUMMYUNIONNAME;

    ULONG_PTR Information;
} IO_STATUS_BLOCK, *PIO_STATUS_BLOCK;
      IO_STATUS_BLOCK 結構中的Pointer很少用,一般返回的結果在Status中,成功則 Status = STATUS_SUCCESS,否則是一個錯誤程式碼;具體錯誤資訊在Information中。

針對ZwCreateFile檔案呼叫,Information返回值一般包括:

     FILE_CREATE: 檔案成功建立

     FILE_OPEN :檔案開啟

     FILE_OVERWRITEN:檔案被覆蓋

     FILE_SUPERSEDED:檔案被替代

     FILE_EXISTS:檔案已經存在

     FILE_DOES_NOT_EXISTS:檔案不存在(因而開啟失敗了)

      下面給出一個ZwCreateFile的例子:(注意引數的填寫)

// 要返回的檔案控制代碼
HANDLE file_handle = NULL ;
// 返回值
NTSTATUS status ;
// 首先初始化含有檔案路徑的 OBJECT_ATTRIBUTES
OBJECT_ATTRIBUTES object_attributes ;
IO_STATUS_BLOCK io_status ;

UNICODE_STRING ufile_name = RTL_CONSTANT_STRING(L"\\??\\C:\\a.txt");
InitializeObjectAttributes(
	&object_attributes,
	&ufile_name,
	OBJ_CASE_INSENSITIVE|OBJ_KERNEL_HANDLE,
	NULL,
	NULL);

// 以FILE_OPEN_IF方式開啟檔案
status = ZwCreateFile(
	&file_handle,
	GENERIC_READ | GENERIC_WRITE ,
	&object_attributes,
	&io_status,
	NULL,
	FILE_ATTRIBUTE_NORMAL,
	FILE_SHARE_READ,
	FILE_OPEN_IF,
	FILE_NON_DIRECTORY_FILE |
	FILE_RANDOM_ACCESS |
	FILE_SYNCHRONOUS_IO_NONALERT,
	NULL,
	0);
      這裡要注意:ufile_name 字串寫法:“\\??\\C:\\a.dat”  。 這是因為ZwCeateFile使用的是物件路徑,“C:”是一個符號連結物件,符號連結物件一般都在“\\??\\‘’ 路徑下。

       檔案開啟就意味著一定要關閉,開啟時候用來OBJ_KERNEL_HANDLE標誌,關閉的時候也是需要該控制代碼,核心關閉物件控制代碼不需要再同一程序中。

       ZwClose(file_handle);

三、檔案讀、寫

       在wdm.h中找到ZwReadFile的定義

ZwReadFile(
    _In_ HANDLE FileHandle,
    _In_opt_ HANDLE Event,
    _In_opt_ PIO_APC_ROUTINE ApcRoutine,
    _In_opt_ PVOID ApcContext,
    _Out_ PIO_STATUS_BLOCK IoStatusBlock,
    _Out_writes_bytes_(Length) PVOID Buffer,
    _In_ ULONG Length,
    _In_opt_ PLARGE_INTEGER ByteOffset,
    _In_opt_ PULONG Key
    );
      HANDLE:就是開啟檔案獲取的檔案控制代碼

      EVENT:事件用於非同步完成時候,設定NULL

      PIO_APC_ROUTINE :回撥例程用於非同步完成讀,設NULL

      ApcContext:NULL

      PIO_STATUS_BLOCK : 返回結果的狀態,和ZwCreateFile中的一樣功能

     BUFFER:讀取的緩衝

     Length:描述緩衝區的長度

     PLARGE_INTEGER:要讀取的檔案的偏移量,這個引數很重要

     KEY:直接填寫NULL 讀取檔案使用的附加資訊

我們找到ZwWriteFile的定義:

ZwWriteFile(
    _In_ HANDLE FileHandle,
    _In_opt_ HANDLE Event,
    _In_opt_ PIO_APC_ROUTINE ApcRoutine,
    _In_opt_ PVOID ApcContext,
    _Out_ PIO_STATUS_BLOCK IoStatusBlock,
    _In_reads_bytes_(Length) PVOID Buffer,
    _In_ ULONG Length,
    _In_opt_ PLARGE_INTEGER ByteOffset,
    _In_opt_ PULONG Key
    );
    對比後我們發現ZwWriteFile和ZwReadFile 的引數一樣,這裡就不做過多介紹。

下面給出一個使用ZwCreateFile和ZwReadFile 以及ZwWriteFile三成個函式完成檔案的複製操作。

// 檔案複製操作 借鑑 @楚狂人 的程式碼
NTSTATUS MyCopyFile( 
	PUNICODE_STRING target_path,
	PUNICODE_STRING source_path)
{
	// 源和目標的檔案控制代碼
	HANDLE target = NULL , source = NULL;

	// ObjectAttributes
	OBJECT_ATTRIBUTES object_attribute_target = {0} ;
	OBJECT_ATTRIBUTES object_attribute_source = {0} ;
	IO_STATUS_BLOCK io_status ;

	// 用來拷貝的緩衝區
	PVOID buffer = NULL ;
	ULONG length = 0 ;
	LARGE_INTEGER offset = {0} ;
#if DBG
//	_asm int 3 ;
#endif
	// 初始化OBJECT_ATTRIBUTES target
	InitializeObjectAttributes(
	&object_attribute_target,
	target_path,
	OBJ_CASE_INSENSITIVE|OBJ_KERNEL_HANDLE,
	NULL,
	NULL);

	// source
	InitializeObjectAttributes(
	&object_attribute_source,
	source_path,
	OBJ_CASE_INSENSITIVE|OBJ_KERNEL_HANDLE,
	NULL,
	NULL) ;



	do{
		// 開啟target_path檔案
		status = ZwCreateFile(
		&target,
		GENERIC_READ | GENERIC_WRITE ,
		&object_attribute_target,
		&io_status,
		NULL,
		FILE_ATTRIBUTE_NORMAL,
		FILE_SHARE_READ,
		FILE_OPEN_IF,
		FILE_NON_DIRECTORY_FILE |
		FILE_RANDOM_ACCESS |
		FILE_SYNCHRONOUS_IO_NONALERT,
		NULL,
		0);

		if( !NT_SUCCESS(status) )
		{
			DbgPrint("開啟targe檔案失敗");
			return status;
		}

		// 開啟source_path檔案
		status = ZwCreateFile(
		&source,
		GENERIC_READ | GENERIC_WRITE ,
		&object_attribute_source,
		&io_status,
		NULL,
		FILE_ATTRIBUTE_NORMAL,
		FILE_SHARE_READ,
		FILE_OPEN_IF,
		FILE_NON_DIRECTORY_FILE |
		FILE_RANDOM_ACCESS |
		FILE_SYNCHRONOUS_IO_NONALERT,
		NULL,
		0);

		if( !NT_SUCCESS(status) )
		{
			DbgPrint("開啟source檔案失敗");
			return status;
		}
	
		// 為buffer 分配一個緩衝區
		buffer = ExAllocatePoolWithTag(PagedPool,4*1024,MEM_TAG);
		if( !buffer )
		{
			// 分配記憶體失敗
			DbgPrint("分配記憶體失敗!");
			return STATUS_INSUFFICIENT_RESOURCES ;
		}

		// 然後迴圈讀取檔案,每次從檔案中讀取4KB的資料 向目標檔案中寫入4Kb
		// 直到拷貝完成為止

		while(1)
		{
			length = 4*1024 ;		// 每次讀取4KB
			// 讀取舊的檔案,注意status
			status = ZwReadFile(
				source,NULL,NULL,NULL,
				&io_status,buffer,length,&offset,NULL
				);

			if( !NT_SUCCESS(status) )
			{
				// 如果狀態為STATUS_END_OF_FILE 則說明檔案的拷貝已經完成了
				if( status == STATUS_END_OF_FILE )
				{
					status = STATUS_SUCCESS ;
				}
				break ;
			}

			// 取得實際的讀取長度
			length = io_status.Information ;

			// 現在讀取了內容,讀取長度為length,寫入的長度也應該為Length
			// 寫入必須成功 如果失敗則返回錯誤
			status = ZwWriteFile(
				target,NULL,NULL,NULL,
				&io_status,
				buffer,
				length,
				&offset,
				NULL);
			if( !NT_SUCCESS(status) )
			{
				break ;
			}

			// offset移動,然後繼續,直到出現STATUS_END_OF_FILE
			// 的時候才結束
			offset.QuadPart += length ;

		}

	}while(0) ;

	// 在退出之前釋放所有的資源,關閉所有的控制代碼
	if( target != NULL )
	{
		ZwClose(target);
	}
	if( source != NULL )
	{
		ZwClose(source);
	}
	if( buffer != NULL )
	{
		ExFreePoolWithTag(buffer,MEM_TAG);
	}

	return  STATUS_SUCCESS ;
}
在函式中呼叫測試: 
	UNICODE_STRING source_path = RTL_CONSTANT_STRING(L"\\??\\C:\\a.txt");
	UNICODE_STRING targe_path = RTL_CONSTANT_STRING(L"\\??\\C:\\b.txt");
	NTSTATUS rStat ;

	rStat = MyCopyFile(&targe_path,&source_path);
	if( !NT_SUCCESS(rStat) )
	{
		DbgPrint("檔案拷貝失敗!");
	}
	else
	{
		DbgPrint("檔案拷貝成功!");
	}


總結:

1.  核心中的檔案即使物件操作,所以必須先填充OBJECT_ATTRIBUTES結構

2. ZwCreateFile 用於開啟一個現有的檔案(如果存在),或者建立一個新的檔案

3. IO_STATUS_BLOCK 比較重要,裡面的information引數記錄了詳細操作返回資訊

4. ZwReadFile 、ZwWriteFile 採用一個檔案指標記錄當前操作位置(LARGE_INTEGER)

5. 檔案操作完成後一定記得好關閉ZwClose,釋放相應的資源


相關推薦

驅動開發004 檔案操作

note:本文部分程式碼參考了《Windows核心安全與驅動開發》這本書 一、OBJECT_ATTRIBUTES          物件屬性結構。在ntdef.h檔案中有該結構的定義: typedef struct _OBJECT_ATTRIBUTES { ULO

Ansible學習- 常用檔案操作模組之copy模組

簡介 copy模組用於將本地或遠端機器上的檔案拷貝到遠端主機上。 模組引數 名稱 必選 預設值 可選值 備註 backup no no

windows核心驅動開發檔案系統微過濾驅動Minifilter——繫結指定的卷(磁碟分割槽)

【我的】檔案系統微過濾驅動Minifilter——繫結指定的卷(磁碟分割槽) 作者:zcr214 時間:2016/4/21 在編寫檔案系統微過濾驅動minifilter的時候,很有可能我們只對某一個特定的磁碟分割槽感興趣,而其他的如系統盤的很多IRP對於我們要編寫的驅動可

windows核心驅動開發檔案系統微過濾驅動Minifilter——獲取程序資訊

【我的】檔案系統微過濾驅動Minifilter——獲取程序資訊 作者:zcr214 時間:2016/4/22 在編寫檔案系統微過濾驅動minifilter的時候,除了繫結指定的磁碟分卷,對於指定的檔案很可能還會有指定的應用程式,例如txt檔案可以有很多編輯器可以使用,如w

Spring註解驅動開發使用@PropertySource載入配置檔案,我只看這一篇!!

## 寫在前面 > 很多小夥伴都在問:冰河,你的Spring專題更新完了嗎?怎麼感覺像是寫了一半啊?我:沒有更新完呀,整個專題預計會有70多篇。那怎麼更新了一半就去寫別的了呢?那是因為有很多其他的小夥伴在後臺留言說:急需學習一些其他的技術,所以,臨時調整的。放心,Spring專題會持續更新的!這不,今

C/C++開發C++檔案流關於seekg失效的問題

關於seekg失效的問題 當file.eof()=1的時候seekg就不好用了,當file.eof()=0的時候seekg是好用的。也就是說當一個檔案讀到尾部以後,不能再用seekg來移動或者定位了。通過建立該檔案新的物件能解決這個問題。 如果只是輸出的話可以用streambuf的rdb

VS開發/FORCE(強制檔案輸出)

/FORCE:[MULTIPLE|UNRESOLVED] 備註 即使引用了符號但未定義或多次定義符號,/FORCE 選項也通知連結器建立有效的 .exe

經驗分享PPT檔案轉換PDF格式操作方法

說到PPT檔案和PDF格式的檔案,應該都比較熟悉了吧!畢竟使我們辦公中常用所使用到的檔案格式。有時候在處理完PPT檔案的時候為了不讓別人隨意改動裡面的內容,就可以將PPT檔案轉成PDF格式,對於怎麼進行檔案轉換呢?可能部分人就會問到這樣一個問題,接下來小編可以將自己所知道的方法告訴大家! 1:在操作的電腦桌

linux--- linux檔案操作常用命令

命令格式: 命令  -選項  引數  eg:            ls  -l home(顯示home下的檔案並顯示其許可權)  ls -a home(顯示ho

開發Git指令操作和使用—聽說指令看起來比客戶端騷

前言: Git作為分散式版本控制系統,是我們工作和開原始碼平臺專案管理最火的工具之一,基本上是每個入職的同學都要熟知和學習的。由於我以前的公司都是用的SVN,有時也會用的github客戶端,最近抽空來學習下Git的指令使用,聽說這樣的操作比較騷哦 一、Git下

Android開發Android 刪除指定檔案和資料夾

/** * 刪除單個檔案 * @param filePath 被刪除檔案的檔名 * @return 檔案刪除成功返回true,否則返回false */ public boolean deleteFile(String filePath) {

Swift 2.1共享檔案操作小結(iOS 8 +)

前言   適用於 iOS 8 + 本地共享檔案列表 宣告   歡迎轉載,但請保留文章原始出處:)   部落格園:http://www.cnblogs.com  農民伯伯: http://over140.cnblogs.com 正文    一、準備     1.1  預設 App 的檔案共

Windows核心驅動開發——讀取登錄檔

【我的】Windows驅動開發——讀取登錄檔 作者:zcr214 時間:2016/5/5 登錄檔對於驅動來說是很重要的小夥伴,登錄檔可以很好的扮演使用者到核心的橋樑角色,很多時候使用者可以通過修改登錄檔的內容來達到控制驅動的目的。那麼驅動要做的首先當然是讀取到登錄檔啦,W

模組開發商品購物車的實現——3.使用者新增刪除商品的操作(控制層)

1.主頁面實現新增  首先在我們的主頁面相關的按鈕上加上連線地址的跳轉,轉到一個jsp頁面,這個jsp頁面實現的是新增商品的功能。index,jsp中需要加入的程式碼,例如:<!-- 在這裡將商品加入購物車 --><a href="addGood.jsp?i

Window核心驅動開發——記憶體對映的基本使用

【我的】Window驅動開發——記憶體對映的基本使用 作者:zcr214 時間:2016/5/18 記憶體對映檔案可以用於3個不同的目的。 •系統使用記憶體對映檔案,以便載入和執行. exe和DLL檔案。這可以大大節省頁檔案空間和應用程式啟動執行所需的時間。 •可以使用記

matlabmatlab檔案操作fopen,fseek,fread,fclose等

2)寫文字檔案fprintf函式可以將資料按指定格式寫入到文字檔案中。其呼叫格式為: fprintf(fid,format,A) 說明:fid為檔案控制代碼,指定要寫入資料的檔案,format是用來控制所寫資料格式的格式符,與fscanf函式相同,A是用來存放資料的矩陣。 例6.9 建立一個字元矩陣並存入磁碟

Web開發Hibernate配置檔案hibernate.cfg.xml解釋

參考書籍:輕量級JavaEE企業應用實戰(第5版) 所用jar包(在hibernate 官網上下載的jar包中的lib資料夾下): 用了user library來進行管理: 關於連線池: 連線池用於節省使用者申請訪問資料庫時的一系列連線操作,在伺

視訊開發opencv不能讀取MP4格式檔案

   用OpenCV對視訊進行處理時,不能開啟.mp4格式的檔案。後來解決辦法是用ffmpeg.exe將mp4檔案轉碼為avi檔案,然後再進行處理。但是轉碼過程比較慢。後來檢視opencv原始碼,發現它也是用ffmpeg庫進行視訊解碼的,那應該也可以直接讀取MP4檔案才對。

vs除錯PDB檔案:每個開發人員都必須知道的

PDB檔案:每個開發人員都必須知道的   一 什麼是PDB檔案 大部分的開發人員應該都知道PDB檔案是用來幫助軟體的除錯的。但是他究竟是如何工作的呢,我們可能並不熟悉。本文描述了PDB檔案的儲存和內容。同時還描 述了debugger如何找到binay相應的PDB檔案,以及debugger如何找到與bin

iOS開發檔案寫入沙盒失敗

把伺服器返回資料寫入沙盒,在沙盒中找不到程式碼如下: [responseObject writeToFile:path atomically:YES]; 然後查了下返回值,發現寫入資料失敗。 BOOL