内核模式下的文件操作 (Windows 驱动开发技术详解)

最新推荐文章于 2025-06-29 14:08:19 发布
原创 最新推荐文章于 2025-06-29 14:08:19 发布 · 1.8k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

 这篇文章 是根据张帆老师 一书 《Windows 驱动开发技术详解》 写出的

买这本书 很久了  一直 都感觉看视频好一些   偶然 翻了这本书  发现真的是神书

然后 先说文件的创建

文件创建 也就是  

NTSTATUS ZwCreateFile(
  _Out_    PHANDLE            FileHandle,
  _In_     ACCESS_MASK        DesiredAccess,
  _In_     POBJECT_ATTRIBUTES ObjectAttributes,
  _Out_    PIO_STATUS_BLOCK   IoStatusBlock,
  _In_opt_ PLARGE_INTEGER     AllocationSize,
  _In_     ULONG              FileAttributes,
  _In_     ULONG              ShareAccess,
  _In_     ULONG              CreateDisposition,
  _In_     ULONG              CreateOptions,
  _In_opt_ PVOID              EaBuffer,
  _In_     ULONG              EaLength
);

第一个参数 是 返回打开文件的句柄  

第二个 是指定的操作 一般是   对文件的描述  读是 GENERIC_READ  然后写的话 是 GENERIC_WRITE  

第三个参数 是 OBJECT_ATTRIBUTES的地址   这个结构包含了 要打开的文件名 

第四个参数是 指向一个IO_STATUS_BLOCK结构  该结构接收的是  zwcreatfile 的操作结果状态 

然后第五个 参数是 一个指针 指向初始文件分配大小如果是0  那么文件长度 从0 开始  并随着 写入而增加  

第六个 是 0或者FILE_ATTRIBUFE_NORMAL   指定新创建文件的属性 

第七个 指定文件的属性  0 或者FILE_SHARE_READ  指定共享属性

第八个 是 指定文件存在或不存在 怎么处理  FILE_OPEN 就是 打开文件 如果错误 就返回失败  FILE_OVERWRITE_IF 

第九个是 指定 控制打开的操作   一般是FILE_SYNCHRONOUS_IO_NONALERT

第十个是 一个指针  可以指向 可选的扩展属性区

第十一个 是扩展属性区的长度

然后根据 第三个长度 可以 用 initializeObjectAttributes  来初始化 

然后文件的打开 可以用上面的 也可以用 zwopenfile  参数的话 就不一一介绍了

可以用 zwsetinformationfile 来获取文件属性  可以用 zwquertinformationfile 来修改文件属性

然后也可以用文件写的话 可以用 ZwWritefile  然后 读的话 可以用 zwreadfile  

然后下面就是代码实例

#include<ntddk.h>
VOID DriverUnload(PDRIVER_OBJECT driver)
{
	KdPrint(("驱动开始卸载!")); 

}
NTSTATUS DriverEntry(PDRIVER_OBJECT driver, PUNICODE_STRING reg_path)
{
	OBJECT_ATTRIBUTES object;
	IO_STATUS_BLOCK io;
	HANDLE hfile;
	UNICODE_STRING log;
	//初始化字符串
	RtlInitUnicodeString(&log, L"\\??\\C:\\1.log");
	//初始化objectattributes 
	InitializeObjectAttributes(&object, &log, OBJ_CASE_INSENSITIVE, NULL, NULL);
	//创建文件
	NTSTATUS NT = ZwCreateFile(&hfile,
		GENERIC_WRITE,
		&object,
		&io,
		NULL,
		FILE_ATTRIBUTE_NORMAL,
		FILE_SHARE_READ,
		FILE_OPEN_IF,
		FILE_SYNCHRONOUS_IO_NONALERT,
		NULL,
		0);
      //如果第二个参数 换成GENERIC_READ   第八个参数 换成 FILE_OPEN 的话  那么这个就是打开程序了
	if (NT_SUCCESS(NT))
	{
		KdPrint(("文件创建成功!"));

	}
	else
	{
		KdPrint(("文件创建失败!"));

	}
	ZwClose(hfile);
}

然后下面的话 是 ZwOpenFile  

这个其实还是蛮简单的  就注意第二个参数  是打开的权限 一般设为 GENERIC_ALL 

然后 我们编写代码 如下  

#include<ntddk.h>
VOID DriverUnload(PDRIVER_OBJECT driver)
{
	KdPrint(("驱动开始卸载!")); 

}
NTSTATUS DriverEntry(PDRIVER_OBJECT driver, PUNICODE_STRING reg_path)
{
	OBJECT_ATTRIBUTES object;
	IO_STATUS_BLOCK io;
	HANDLE hfile;
	UNICODE_STRING log;
	//初始化字符串
	RtlInitUnicodeString(&log, L"\\??\\C:\\1.log");
	//初始化objectattributes 
	InitializeObjectAttributes(&object, &log, OBJ_CASE_INSENSITIVE, NULL, NULL);
	//创建文件
/*	NTSTATUS NT = ZwCreateFile(&hfile,
		GENERIC_WRITE,
		&object,
		&io,
		NULL,
		FILE_ATTRIBUTE_NORMAL,
		FILE_SHARE_READ,
		FILE_OPEN_IF,
		FILE_SYNCHRONOUS_IO_NONALERT,
		NULL,
		0);*/
	NTSTATUS NT = ZwOpenFile(&hfile,
		GENERIC_ALL,
		&object,
		&io,
		FILE_SHARE_READ | FILE_SHARE_WRITE,
		FILE_SYNCHRONOUS_IO_NONALERT);
      //如果第二个参数 换成GENERIC_READ   第八个参数 换成 FILE_OPEN 的话  那么这个就是打开程序了
	if (NT_SUCCESS(NT))
	{
		KdPrint(("文件打开成功!"));

	}
	else
	{
		KdPrint(("文件打开失败!"));

	}
	ZwClose(hfile);
	driver->DriverUnload = DriverUnload;
	return STATUS_SUCCESS;
}

然后下面的是  修改或 获取文件属性  获取 和修改的函数 参数其实差不多 唯一要注意的是 第三个 参数 

算是一个输出数据 或者输入数据 里面存储这   有三个不同的结构  根据结构不同 输出的也不同

第一个结构体是 FILEStandardInformation    

  为文件分配的大小 然后有多少文件链接  是否准备删除 是否为目录  

第二个   是FilebasicInformation  

文件创建的时间  最后访问时间 最后写时间  修改修改时间 文件属性

第三个是filenameInformation  这个是

文件长度  文件名  。

第四个是FilePositionInformation  

里面就有一个当前文件指针的位置 

然后  演示 ZwQueryInformationFile 函数 查询 修改文件属性 

#include<ntddk.h>
VOID DriverUnload(PDRIVER_OBJECT driver)
{
	KdPrint(("驱动开始卸载!")); 

}
NTSTATUS DriverEntry(PDRIVER_OBJECT driver, PUNICODE_STRING reg_path)
{
	OBJECT_ATTRIBUTES object;
	IO_STATUS_BLOCK io;
	HANDLE hfile;
	UNICODE_STRING log;
	//初始化字符串
	RtlInitUnicodeString(&log, L"\\??\\C:\\1.log");
	//初始化objectattributes 
	InitializeObjectAttributes(&object, &log, OBJ_CASE_INSENSITIVE, NULL, NULL);
	//创建文件
      NTSTATUS NT = ZwCreateFile(&hfile,
		GENERIC_READ,
		&object,
		&io,
		NULL,
		FILE_ATTRIBUTE_NORMAL,
		0,
		FILE_OPEN,
		FILE_SYNCHRONOUS_IO_NONALERT,
		NULL,
		0);
	if (NT_SUCCESS(NT))
	{
		KdPrint(("文件打开成功!"));

	}
	else
	{
		KdPrint(("文件打开失败!"));
		ZwClose(hfile);
		driver->DriverUnload = DriverUnload;
		return STATUS_SUCCESS;

	}
	FILE_STANDARD_INFORMATION fsi;
	NT = ZwQueryInformationFile(hfile,
		&io,
		&fsi,
		sizeof(FILE_STANDARD_INFORMATION),
		FileStandardInformation);
	if (NT_SUCCESS(NT))
	{
		
		KdPrint(("file length:%u\n", fsi.EndOfFile.QuadPart));

	}
	else
	{
		KdPrint(("获取文件信息失败!"));
	}
	FILE_POSITION_INFORMATION fpi;
	fpi.CurrentByteOffset.QuadPart = 100i64;
	NT = ZwSetInformationFile(hfile,
		&io,
		&fpi,
		sizeof(FILE_POSITION_INFORMATION),
		FilePositionInformation);
	if (NT_SUCCESS(NT))
	{
		KdPrint(("文件指针已经确定!"));
	}
	ZwClose(hfile);
	driver->DriverUnload = DriverUnload;
	return STATUS_SUCCESS;
}

 

下面就是文件的读写操作  

直接撸代码把  这里面的参数 都挺简单明了的

#include<ntddk.h>
#define BUFFER_SIZE 1024
VOID DriverUnload(PDRIVER_OBJECT driver)
{
	KdPrint(("驱动开始卸载!")); 

}
NTSTATUS DriverEntry(PDRIVER_OBJECT driver, PUNICODE_STRING reg_path)
{
	OBJECT_ATTRIBUTES object;
	IO_STATUS_BLOCK io;
	HANDLE hfile;
	UNICODE_STRING log;
	//初始化字符串
	RtlInitUnicodeString(&log, L"\\??\\C:\\1.log");
	//初始化objectattributes 
	InitializeObjectAttributes(&object, &log, OBJ_CASE_INSENSITIVE, NULL, NULL);
	//创建文件
      NTSTATUS NT = ZwCreateFile(&hfile,
		GENERIC_WRITE,
		&object,
		&io,
		NULL,
		FILE_ATTRIBUTE_NORMAL,
		FILE_SHARE_WRITE,
		FILE_OPEN_IF,
		FILE_SYNCHRONOUS_IO_NONALERT,
		NULL,
		0);
	if (NT_SUCCESS(NT))
	{
		KdPrint(("文件打开成功!"));

	}
	else
	{
		KdPrint(("文件打开失败!"));
		ZwClose(hfile);
		driver->DriverUnload = DriverUnload;
		return STATUS_SUCCESS;

	}
	PUCHAR pbuffer = (PUCHAR)ExAllocatePool(PagedPool, BUFFER_SIZE);//在堆中分配内存
	RtlFillMemory(pbuffer, BUFFER_SIZE, 0xaa);
	KdPrint(("我们要写入%d字节", BUFFER_SIZE));
	ZwWriteFile(hfile, NULL, NULL, NULL, &io, pbuffer, BUFFER_SIZE, NULL, NULL);
	KdPrint(("实际写入了%d 字节", io.Information));
	RtlFillMemory(pbuffer, BUFFER_SIZE, 0xbb);
	KdPrint(("我们要追加写入%d字节", BUFFER_SIZE));
	LARGE_INTEGER number;//这个是倒数第二个参数  表示 文件从那里写
	number.QuadPart = 1024i64;
	ZwWriteFile(hfile, NULL, NULL, NULL, &io, pbuffer, BUFFER_SIZE, &number, NULL);
	KdPrint(("这个实际写了%d字节", io.Information));
	ZwClose(hfile);
	driver->DriverUnload = DriverUnload;
	return STATUS_SUCCESS;
}

#include<ntddk.h>
#define BUFFER_SIZE 1024
VOID DriverUnload(PDRIVER_OBJECT driver)
{
	KdPrint(("驱动开始卸载!")); 

}
NTSTATUS DriverEntry(PDRIVER_OBJECT driver, PUNICODE_STRING reg_path)
{
	OBJECT_ATTRIBUTES object;
	IO_STATUS_BLOCK io;
	HANDLE hfile;
	UNICODE_STRING log;
	//初始化字符串
	RtlInitUnicodeString(&log, L"\\??\\C:\\1.log");
	//初始化objectattributes 
	InitializeObjectAttributes(&object, &log, OBJ_CASE_INSENSITIVE, NULL, NULL);
	//创建文件
      NTSTATUS NT = ZwCreateFile(&hfile,
		GENERIC_READ,
		&object,
		&io,
		NULL,
		FILE_ATTRIBUTE_NORMAL,
		FILE_SHARE_READ,
		FILE_OPEN,
		FILE_SYNCHRONOUS_IO_NONALERT,
		NULL,
		0);
	if (NT_SUCCESS(NT))
	{
		KdPrint(("文件打开成功!"));

	}
	else
	{
		KdPrint(("文件打开失败!"));
		ZwClose(hfile);
		driver->DriverUnload = DriverUnload;
		return STATUS_SUCCESS;

	}
	FILE_STANDARD_INFORMATION fsi;
	NT = ZwQueryInformationFile(hfile,
		&io,
		&fsi,
		sizeof(FILE_STANDARD_INFORMATION),
		FileStandardInformation);
	KdPrint(("这次我们想读%d 字节",fsi.EndOfFile.QuadPart));
	PUCHAR pbuffer = (PUCHAR)ExAllocatePool(PagedPool, (LONG)fsi.EndOfFile.QuadPart);//在堆中分配内存
	ZwReadFile(hfile,
		NULL,
		NULL,
		NULL,
		&io,
		pbuffer,
		(LONG)fsi.EndOfFile.QuadPart,
		NULL,
		NULL);
	KdPrint(("这次真正读了%d bytes\n", io.Information));
	ZwClose(hfile);
	ExFreePool(pbuffer);
	driver->DriverUnload = DriverUnload;
	return STATUS_SUCCESS;
}

 

这里是效果图 。。。

在xp下 完美运行 其它 不好说 最好在  搞个快照 看看  

不要脸的 挂个原创 嘿嘿。。

Windows驱动开发文件操作
enjoy5512的博客
07-06 7185
内核态文件操作 内核态字符串操作 内核态动态内存申请/释放
Windows驱动开发技术详解_高清pdf
03-19
Windows驱动开发技术详解》是一本深度探讨Windows操作系统驱动程序开发的专业书籍,旨在帮助读者掌握在Windows环境下构建和调试驱动程序的关键技能。该书详细阐述了驱动开发的基础理论、实践方法以及常见问题的...
【转】Windows平台内核级文访问
03-06 688
1.背景    在windows平台下,应用程序通常使用API函数来进行文访问,创建,打开,读写文。从kernel32的CreateFile/ReadFile/WriteFile函数,到本地系统服务,再到FileSystem及其FilterDriver,经历了很多层次。在每个层次上,都存在着安全防护软,病毒或者后门作监视或者过滤的机会。作为安全产品开发者,我们需要比别人走得更远,因此
打印机驱动开发指南:在Windows环境中的实现详解
最新发布
weixin_35906794的博客
06-29 716
Windows操作系统中,打印机驱动是连接打印机硬与打印任务的桥梁。它负责解释计算机发出的打印指令,转换成打印机能够理解和执行的格式,保证打印输出的正确性和质量。一个高效的打印机驱动能够显著提高打印速度和降低出错率,对于提升用户体验至关重要。DDK(Driver Development Kit)是微软为开发者提供的一个工具集,它包含了用于开发Windows操作系统中设备驱动程序的一系列工具和库。
内核如何操作
一口Linux的专栏
03-05 449
1. 序曲 在用户态,读写文可以通过read和write这两个系统调用来完成(C库函数实际上是对系统调用的封装)。 但是,在内核态没有这样的系统调用,我们又该如何读写文呢? 阅读Linux内核源码,可以知道陷入内核执行的是实际执行的是sys_read和sys_write这两个函数,但是这两个函数没有使用EXPORT_SYMBOL导出,也就是说其他模块不能使用。 在fs/open.c中系统调用具体实现如下(内核版本2.6.34.1): SYSCALL_DEFINE3(open, const ch
WINDOWS核心系统文
深未来技术
12-22 706
 1、ntoskrnl.exe 执行体和内核2、ntkrnlpa.exe(仅用盱32位系统) 执行体和内核3、hal.dll 硬抽象层4、win32k.sys WINDOWS子系统的内核模式部分5、ntdll.dll 内部支持函数以及执行体函数的系统服务分发存根6、kernel32.dll advapi32.dll user32.dll gdi32.dllwindows
内核模式下的文件操作
crkres9527
09-27 511
A、文的创建 B、文的打开 C、获取和修改文属性 D、写文和读文   一、文的创建 InitializeObjectAttributes 初始化  POBJECT_ATTRIBUTES 结构 ZwCreateFile 二、文的打开    ZwCreateFile,ZwOpenFile 三、获取和修改文属性     ZwQueryInformationFile,...
Windows驱动开发技术详解.( 张帆,史彩成)_添加目录完整版
09-05
Windows驱动开发技术详解是一本专注于Windows操作系统下的驱动程序开发的专业技术书籍。本书的作者张帆和史彩成,通过使用微软提供的驱动开发工具包(Driver Development Kit,简称DDK),向读者展示如何从零开始,...
Windows驱动开发技术详解
01-29
Windows驱动开发技术详解》是一本深度探讨Windows驱动程序开发的专业书籍,由具有丰富实战经验的一线工程师撰写。这本书旨在引领读者深入理解驱动的核心概念,揭示操作系统底层的运行机制,帮助开发者快速掌握驱动...
Windows驱动开发技术详解-带标签
03-15
在IT行业中,Windows驱动开发是一项复杂且至关重要的技术工作,它涉及到操作系统内核与硬设备之间的交互。本文将深入探讨Windows驱动开发的核心概念、技术细节以及相关知识点。 首先,驱动程序是操作系统与硬...
Windows驱动开发技术详解 pdf书+源代码
02-25
Windows驱动开发技术详解》是一本深入探讨Windows操作系统驱动程序开发的专业书籍,配合源代码,为读者提供了详尽的学习资源。驱动程序是操作系统与硬之间的桥梁,它使得系统能够识别和控制各种硬设备,从而...
Windows内核 Windows内核
05-10
Windows内核 Windows内核
Windows内核文
hxxjxw的博客
04-20 1488
Windows内核文就存放在C盘的Windows夹下 https://zhidao.baidu.com/question/496485251.html
windows内核情景分析 --- 文系统
maomao171314的专栏
04-04 3805
系统 一台机器上可以安装很多物理介质来存放资料(如磁盘、光盘、软盘、U盘等)。各种物理介质千差万别,都配备有各自的驱动程序,为了统一地访问这些物理介质,windows设计了文系统机制。应用程序要访问存储在那些物理介质上的资料时,无需直接访问,只需借助文系统即可对其有效访问。各种物理介质的存储方式千差万别,文系统则按照‘文’的概念,把要存储的资料以文为单位进行存放,然后,读取的时候也
WINDOWS内核对象
热门推荐
misterliwei的专栏
07-25 1万+
WINDOWS内核对象 一.前言 Windows中有很多像进程对象、线程对象、文对象等等这样的对象,我们称之为Windows内核对象。内核对象是系统地址空间中的一个内存块,由系统创建并维护。内核对象为内核所拥有,而不为进程所拥有,所以不同进程可以访问同一个内核对象。  二.内核对象结构 每个对象都有对象头和对象体组成。所有类型的对象头结构都是相同的,而结构体部
windows 核心文
msebilly的专栏
09-25 908
NTOSKRNL.EXE : 1 CPU  NTKRNLMP.EXE : N CPU SMP NTKRNLPA.EXE : 1 CPU, PAE NTKRPAMP.EXE : N CPU SMP, PAE 其中 Ntoskrnl.exe 与 Ntkrnlmp.exe 同时存在于 i386 文夹下和 DRIVER.CAB 中. 而 Ntkrnlpa.exe 与 Nt
windows内核的文件操作
做好我自己
05-17 1114
简单的看了下内核的文件操作 和 应用层的文件操作的api调用基本上是一致的 只是有些小小的不同 打开文的路径方面,文名一般不用字符串了, 一般都用一个OBJECT_ATTRIBUTE的结构体代替,这个结构中当然包含了一个字符串形式的文路径 文路径也比较怪 因为是用的符合链接对象,所以它一般都是这样的 //??//c://a.dat 的形式注册表的路径一般都是完整路径的,
windows内核编程-文件操作
大草的博客
12-03 2112
windows内核编程-文件操作-日志记录
APIs文档驱动开发
goalidea的博客
01-22 660
APIs文档驱动开发 译自Documentation-driven development for APIs: what is it, how do you do it and why you should do it? 文档驱动开发是API开发的一种方法,首先编写API文档,然后根据每个规范实现API。如果你的系统中有API的任何客户端(例如,前端应用程序),同样也要根据规范实现。这种方法通常也被叫做API优先。 我们通常是这样的思路,即API应该由后端驱动,并且后端可以随时更改API,然后API客户端(
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值