list File By Driver Samlpe Code

最新推荐文章于 2024-12-02 13:00:27 发布
原创 最新推荐文章于 2024-12-02 13:00:27 发布 · 867 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#file #list #object #buffer #null #attributes

本文展示了一个Windows内核模式下获取目录信息的过程,通过创建IRP和使用NT内核API来读取指定目录的内容,并解析返回的文件信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 by killvxk

//感谢RKU的作者的sys文件~
NTSTATUS
EventCompletion(
IN PDEVICE_OBJECT DeviceObject,
IN PIRP Irp,
IN PVOID Context
)
{
     PIO_STATUS_BLOCK lpiosb;
     lpiosb = Irp->UserIosb;
     lpiosb->Status = Irp->IoStatus.Status;
     lpiosb->Information = Irp->IoStatus.Information;
     KeSetEvent(Irp->UserEvent,0,FALSE);
     IoFreeIrp(Irp);
     return STATUS_MORE_PROCESSING_REQUIRED;
}
PVOID GetDirectory(PDEVICE_OBJECT pDevobj,char *lpDirName,PDWORD dwRetSize)
{
     NTSTATUS status;
     DWORD dwBytesReturned;
     OBJECT_ATTRIBUTES oa;
     PDEVICE_OBJECT lpDeviceObject;
     KEVENT event;
     IO_STACK_LOCATION iost;
     PIO_STACK_LOCATION lpsp;
     IO_STATUS_BLOCK ios;
     PIRP lpirp = NULL;
     HANDLE hFile;
     PVOID lpSystemBuffer;
     PFILE_DIRECTORY_INFORMATION lpInformation;
     PFILE_DIRECTORY_INFORMATION lpRealInformation;
     PDIRECTORY_INFO lpDirInfo;
     PFILE_OBJECT lpFileObject;
     UNICODE_STRING unFileName;
     UNICODE_STRING UN;
     ANSI_STRING anFileName;
     CHAR buffer[1024];
     PUCHAR lpNext;
     dwBytesReturned = 0;
     status = STATUS_UNSUCCESSFUL;
     RtlZeroMemory(buffer,1024);
     strcpy(buffer,"//DosDevices//");
     strcat(buffer,lpDirName);
     RtlInitAnsiString(&anFileName,buffer);
     RtlAnsiStringToUnicodeString(&unFileName,&anFileName,TRUE);
     InitializeObjectAttributes(&oa,&unFileName,OBJ_CASE_INSENSITIVE + OBJ_KERNEL_HANDLE,NULL,NULL);
     status = ZwOpenFile(&hFile,FILE_LIST_DIRECTORY + SYNCHRONIZE+FILE_ANY_ACCESS,&oa,&ios,FILE_SHARE_READ + FILE_SHARE_WRITE + FILE_SHARE_DELETE,FILE_DIRECTORY_FILE + FILE_SYNCHRONOUS_IO_NONALERT);
     if(NT_SUCCESS(status))
     {
          DbgPrint("ZwOpenFile Success/n");
     }else goto endcddir;
     status =ObReferenceObjectByHandle(hFile,FILE_LIST_DIRECTORY + SYNCHRONIZE,0,KernelMode,&lpFileObject,NULL);
     if(!NT_SUCCESS(status))
     {
          ZwClose(hFile);
          goto endcddir;
     }
     DbgPrint("open file object success/n");
     lpDeviceObject = IoGetBaseFileSystemDeviceObject(lpFileObject);
     lpirp = IoAllocateIrp(lpDeviceObject->StackSize,FALSE);
     if(!lpirp)
     {
          DbgPrint("allocate irp failed/n");
          ObDereferenceObject(lpFileObject);
          ZwClose(hFile);
          goto endcddir;
     }
     DbgPrint("allocate irp success/n");
     KeInitializeEvent(&event,SynchronizationEvent,FALSE);
     lpInformation = ExAllocatePool(PagedPool,65535);
     lpSystemBuffer = ExAllocatePool(PagedPool,65535);
     RtlZeroMemory(lpSystemBuffer,65535);
     RtlZeroMemory(lpInformation,65535);
     lpirp->UserEvent = &event;
     lpirp->UserBuffer = lpInformation;
     lpirp->AssociatedIrp.SystemBuffer = lpInformation;
     lpirp->MdlAddress = NULL;
     lpirp->Flags = 0;
     lpirp->UserIosb = &ios;
     lpirp->Tail.Overlay.OriginalFileObject = lpFileObject;
     lpirp->Tail.Overlay.Thread = PsGetCurrentThread();
     lpirp->RequestorMode = KernelMode;
     lpsp = IoGetNextIrpStackLocation(lpirp);
     lpsp->MajorFunction = IRP_MJ_DIRECTORY_CONTROL;
     lpsp->MinorFunction = IRP_MN_QUERY_DIRECTORY;
     lpsp->FileObject = lpFileObject;
     lpsp->DeviceObject = lpDeviceObject;
     lpsp->Flags = SL_RESTART_SCAN;
     lpsp->Control = 0;
     lpsp->Parameters.QueryDirectory.FileIndex = 0;
     lpsp->Parameters.QueryDirectory.FileInformationClass = FileDirectoryInformation;
     lpsp->Parameters.QueryDirectory.FileName = NULL;
     lpsp->Parameters.QueryDirectory.Length = 65535;
     IoSetCompletionRoutine(lpirp,EventCompletion,0,TRUE,TRUE,TRUE);
     status = IoCallDriver(lpDeviceObject,lpirp);
     KeWaitForSingleObject(&event,Executive,KernelMode,TRUE,0);
     lpDirInfo = (PDIRECTORY_INFO)lpSystemBuffer;
     lpRealInformation = lpInformation;
     while(1)
     {
          UN.Length = (USHORT)lpInformation->FileNameLength;
          UN.MaximumLength = (USHORT)lpInformation->FileNameLength;
          UN.Buffer = &(lpInformation->FileName[0]);
          RtlUnicodeStringToAnsiString(&anFileName,&UN,TRUE);
          strcpy(lpDirInfo->FileName,anFileName.Buffer);
          RtlFreeAnsiString(&anFileName);
          lpDirInfo->CreationTime.QuadPart = lpInformation->CreationTime.QuadPart;
          lpDirInfo->EndOfFile.QuadPart = lpInformation->EndOfFile.QuadPart;
          lpDirInfo->FileAttributes = lpInformation->FileAttributes;
          dwBytesReturned+=sizeof(TDIRECTORY_INFO);
          if(!lpInformation->NextEntryOffset) goto exit;
          lpNext = (PUCHAR)lpInformation;
          lpNext+=lpInformation->NextEntryOffset;
          lpInformation = (PFILE_DIRECTORY_INFORMATION)(lpNext);
          //(char *)p+p->nextEntryoffset;
          lpDirInfo++;
     }

endcddir:
     RtlFreeUnicodeString(&unFileName);
return NULL;
exit:
     ExFreePool(lpRealInformation);
     ObDereferenceObject(lpFileObject);
     ZwClose(hFile);
     RtlFreeUnicodeString(&unFileName);
     *dwRetSize = dwBytesReturned;
     return lpSystemBuffer;
}
 
rt-thread学习(一) 创建led闪烁 加入串口设备 pwm配置 modbus主/从测试代码
dawm的博客
10-02 2401
rt-thread学习(一) 创建led闪烁 加入串口设备 pwm配置 modbus主/从测试代码led灯闪烁加入串口设备使用cubemx 配置hse配置pwmfreemodbus 测试代码freemodbus 从机测试代码 led灯闪烁 #include <rtthread.h> #include <rtdevice.h> #define DBG_TAG "main" #define DBG_LVL DBG_LOG #include <rtdbg.h> #inclu
小型前端脚手架工具Plop
xuzhijia1991的博客
12-30 1093
小型的脚手架工具,是一款主要用于去创建项目中特定类型文件的小工具,类似于Yeoman中的sub generator, 不过它一般不会独立去使用,一般我们会把Plop集成到项目当中。 接下来我们来通过两个案例的对比,去体会一下Plop的真正作用及他的优势。 日常开发中经常会遇到这样的问题,我们在开发当中,经常需要重复去创建相同类型的文件,例如每一个组件都会有三个文件去组成。分别是js,css,test.js, 如果我们需要创建一个组件,就要去创建三个文件,并且每一个文件中都要有一些基础代码,这就比较繁琐,而且
vc是实现RootKit文件隐藏
weixin_33943347的博客
05-30 73
#include "ntddk.h"#include &lt;windef.h&gt;#pragma pack(1) //SSDT Tabletypedef struct ServiceDescriptorEntry {        unsigned int *ServiceTableBase;        unsigned int *ServiceCounterTableBase; //Us...
APDS990X光感应传感器驱动编程实战教程:Unix/Linux环境
最新发布
weixin_35516273的博客
12-02 1094
本文还有配套的精品资源,点击获取 简介:本文详细介绍了在Unix/Linux操作系统下实现APDS990X光感应传感器驱动编程的全过程。APDS990X是一款广泛应用于智能手机和物联网设备中的高性能传感器,具备精确检测环境光照强度的能力。文章涵盖了驱动编程的基础,如内核模块注册、I2C通信、读写操作实现,以及用户空间接口设计等方面。通过这些知识和技巧的学习,开发者将能够深入...
关闭 Windows Defender
pureman_mega的博客
01-29 508
通过api关闭windows defender 服务
文件过滤驱动--隐藏目录
雁南飞
07-26 2582
//目录控制函数NTSTATUSSpyDirControl(    IN PDEVICE_OBJECT DeviceObject,    IN PIRP Irp    ){    PFILESPY_DEVICE_EXTENSION devExt;    PIO_STACK_LOCATION irpSp;    PFILE_OBJECT FileObject;    KEVENT waitEve
【】编写驱动拦截NT的API实现隐藏文件目录
floweronwarmbed的专栏
11-03 604
 目前NT下有很多种隐藏文件和目录的方法,其中最简单的一种是给文件和文件夹加上系统属性和隐藏属性,操作系统就会不在显示了,而且查找也找不到了,但是这种方法一点都不彻底,没有可用性!下面我们来介绍用NT驱动程序来拦截NTAPI来实现彻底隐藏文件和目录的目的。NT下有一个文件NTDLL.DLL,大部分NTAPI都是在这个库中封装的。其中实现查找文件和目录的API接口是ZwQueryDirectoryF
python中samlpe取出的是不重复元素吗
10-27
在这个例子中,`unique_elements`就是由列表`my_list`中的所有独特元素组成的集合。 而`random.sample()`函数用于从序列中随机选择指定数量的唯一元素,不会返回重复的项,但它需要一个已排序的输入(如果输入不是...
如何编写批处理文件批处理文件批处理文件
04-14
echo Please put a new disk into driver A pause goto begin 在这个例子中,驱动器 A 中磁盘上的所有文件均复制到d:back中。显示的注释提示您将另一张磁盘放入驱动器 A 时,pause 命令会使程序挂起,以便您更换...
红外遥控——基于STC15W4K32S4
小耀子的博客
06-03 4714
文章目录红外遥控1 红外发射原理简介2 NEC编码协议3 红外遥控器解码4 NEC数据格式:5 代码h文件c文件 红外遥控 1 红外发射原理简介 通用红外遥控系统主要由发射和接收两大部分组成。发射部分包括单片机芯片或红外遥控发射专用芯片实现编码和调制,红外发射电路实现发射;接收部分包括一体化红外接收头电路实现接收和解调,单片机芯片实现解码。红外遥控发射专用芯片非常多,编码及调制频率也不完全一样。手机实现红外遥控功能,主要就是发射红外信号部分,这就需要了解下红外信号的编码和调制原理。 红外遥控器发射的信号由
APDS990X.c
05-03
APDS990x driver code
非常疯狂的Windows代码
11-20
疯狂的代码,疯狂的驱动,疯狂的内核,各种疯狂
apds993x系列linux驱动(全志平台),适用于apds9930,apds9931.
10-30
apds993x系列(apds9930,apds9931)驱动是在全志A64 linux-3.10平台上使用,其他平台同样可以移植。
内核的枚举文件
qq_41071646的博客
01-13 965
这个还是糅合了 很多资料搞定的  感觉内核 枚举 文件还是简单的   核心函数就一个  ZwQueryDirectoryFile 得出来  _FILE_BOTH_DIR_INFORMATION  结构体 然后枚举 就可以了   然后 可以 封装两个函数   MyFindFirstFile  MyFindNextFile 。MyFindFirstFile  可以用 IoCreateFile 来获取...
一个内核级的SHELL工具
09-14 949
驱动部分;@echo off;goto make;********************************************************************;author  :dge;homepage:http://llfdge.googlepages.com/;date    :2007.3.16;**********************************
编译内核模块的Makefile
ermuzhi的专栏
07-11 8742
编译内核模块的Makefile中的($(KERNELRELEASE),)是什么意思? 在编译内核模块时, 如有Makefile文件如下: ifneq ($(KERNELRELEASE),) param-objs := file1.o file2.o obj-m := param.o else KDIR := /lib/modules/2.6.18-53
戴文的Linux内核专题:15 配置内核 (11)
weixin_33670713的博客
05-02 178
准备好配置更多的驱动了么?还有很多要做。 Linux支持两种不同的康柏智能阵列控制器:(Compaq SMART2 support)和(Compaq Smart Array 5xxx support)。阵列控制器是将物理存储单元表现为逻辑单元的设备。这些控制可能同样实现了基于硬件的RAID。硬件和软件RIAD的不同是简单的。Linux管理并见到软件RIA...
摘除过滤驱动
weixin_34122810的博客
06-24 171
摘除过滤驱动 开始本文之前先膜拜一下老V~ “无法F5的驱动,不是好驱动啊~不是好驱动啊~ ” -----killvxk语录 这两天下午的时间,破解那个驱动保护搞得好痛苦,每次关机都要蓝一次,有时候设备还不工作,郁闷... 而且VMware用得很伤心,每次开GuestOS都得6分钟左右,要不是时间不多懒得换它,早就把它扔到垃圾堆...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值