如何从内核模式设备驱动程序中打开一个文件以及如何读取或写入文件(来自微软官网)

最新推荐文章于 2023-11-19 20:13:42 发布
最新推荐文章于 2023-11-19 20:13:42 发布
阅读量2.6k 收藏
点赞数
分类专栏: windows 驱动 文章标签: 微软 buffer attributes null file object
本文介绍如何在内核模式设备驱动程序中打开、读取和写入文件。通过使用特定对象名称和调用相关函数,如InitializeObjectAttributes与ZwCreateFile等,可以实现对文件的操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

如何从内核模式设备驱动程序中打开一个文件以及如何读取或写入文件
对象名称来引用文件内核模式设备驱动程序对象名称来引用文件。 此名称是 /DosDevices 一起与该文件的完整路径。 是例如 C:/Windows/Examp...
对象名称来引用文件
内核模式设备驱动程序对象名称来引用文件。 此名称是 /DosDevices 一起与该文件的完整路径。 是例如 C:/Windows/Example.txt 文件的对象名称将是 /DosDevices/C:/Windows/Example.txt。 然后通过调用 InitializeObjectAttributes 函数到一个 OBJECT_ATTRIBUTES 结构封装对象名称。

请注意 如果早期加载设备驱动程序则 /DosDevices 命名空间可能不还存在。 因此, /DosDevices 命名空间是设备驱动程序无法访问由于公开没有驱动器号。 唯一保证可用的文件系统的部分是 /SystemRoot 命名空间。 /SystemRoot 命名空间映射到其中的操作系统的安装的文件夹。 是例如此文件夹可能是 C:/Windows 或 D:/Winnt。

下面的代码示例说明如何引用按其对象名称的文件
UNICODE_STRING     uniName;
    OBJECT_ATTRIBUTES  objAttr;

    RtlInitUnicodeString(&uniName, L"//DosDevices//C://WINDOWS//example.txt");  // or L"//SystemRoot//example.txt"
    InitializeObjectAttributes(&objAttr, &uniName,
                               OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE,
                               NULL, NULL);






获得文件句柄

若要 to 文件句柄可以给 ZwCreateFile 函数传递了 OBJECT_ATTRIBUTES 结构。 DesiredAccess 参数可以设置 GENERIC _ READ 、 GENERIC WRITE ,或 GENERIC_ALL ,根据您要执行。 如果将 CreateOptions 参数设置为 FILE_SYNCHRONOUS_IO_NONALERT 或 FILE_SYNCHRONOUS_IO_ALERT ,文件系统跟踪的当前文件位置偏移量。 因此,您可以按顺序读取或更高版本写入该文件。 此外,可以访问该文件在随机位置。

下面的代码示例演示如何获取文件句柄





HANDLE   handle;
    NTSTATUS ntstatus;
    IO_STATUS_BLOCK    ioStatusBlock;

    // Do not try to perform any file operations at higher IRQL levels.
    // Instead, you may use a work item or a system worker thread to perform file operations.

    if(KeGetCurrentIrql() != PASSIVE_LEVEL)
        return STATUS_INVALID_DEVICE_STATE; 

    ntstatus = ZwCreateFile(&handle,
                            GENERIC_WRITE,
                            &objAttr, &ioStatusBlock, NULL,
                            FILE_ATTRIBUTE_NORMAL,
                            0,
                            FILE_OVERWRITE_IF, 
                            FILE_SYNCHRONOUS_IO_NONALERT,
                            NULL, 0);








读取或写入到文件

您现在可以调用 ZwReadFile 函数或 ZwWriteFile 函数。 完成修改文件后,请使用 ZwClose 函数关闭此句柄。

下面的代码示例阐释如何编写到文件





#define  BUFFER_SIZE 30
    CHAR     buffer[BUFFER_SIZE];
    size_t  cb;

    if(NT_SUCCESS(ntstatus)) {
        ntstatus = RtlStringCbPrintfA(buffer, sizeof(buffer), "This is %d test/r/n", 0x0);
     if(NT_SUCCESS(ntstatus)) {
           ntstatus = RtlStringCbLengthA(buffer, sizeof(buffer), &cb);
            if(NT_SUCCESS(ntstatus)) {
                ntstatus = ZwWriteFile(handle, NULL, NULL, NULL, &ioStatusBlock,
                    buffer, cb, NULL, NULL);
            }
     }
        ZwClose(handle);
    }





下面的代码示例说明如何从文件中读取





LARGE_INTEGER      byteOffset;

    ntstatus = ZwCreateFile(&handle,
                            GENERIC_READ,
                            &objAttr, &ioStatusBlock,
                            NULL,
                            FILE_ATTRIBUTE_NORMAL,
                            0,
                            FILE_OPEN, 
                            FILE_SYNCHRONOUS_IO_NONALERT,
                            NULL, 0);
    if(NT_SUCCESS(ntstatus)) {
        byteOffset.LowPart = byteOffset.HighPart = 0;
        ntstatus = ZwReadFile(handle, NULL, NULL, NULL, &ioStatusBlock,
                              buffer, BUFFER_SIZE, &byteOffset, NULL);
        if(NT_SUCCESS(ntstatus)) {
            buffer[BUFFER_SIZE-1] = '/0';
            DbgPrint("%s/n", buffer);
        }
        ZwClose(handle);
    }
Linux内核源码分析--打开块设备文件--open_bdev_excl函数
魏峰海的专栏
10-13 5043
本文主要参考《深入理解Linux内核》,结合2.6.11.1版的内核代码,分析内核文件子系统中的打开设备文件函数,梳理了关于内核块设备文件打开的处理流程。 注意: 1、不描述内核同步、错误处理相关的内容 2、参考信息除具体说明外,包含在《深入理解Linux内核》第三版中 3、源码摘自Linux内核2.6.11.1版 1、open_bdev_excl 函数功能: 打开设备名为path的
Windows内核编程基础篇之文件操作()
知其所以然
09-01 1565
使用OBJECT_ATTRIBUTES    通常来讲,打开文件应该传入文件的路径。但是内核并不接受这一字符串,使用者必须填一个 OBJECT_ATTRIBUTES 结构。这个结构是非透明的。但是这个结构体 被函数 InitializeObjectAttributes 初始化。     下面是对 InitializeObjectAttributes 说明。 函数原型: VOID In
如何从内核模式设备驱动程序打开文件以及如何读取写入文件
jykj_007的专栏
03-29 1414
this article from: http://support.microsoft.com/kb/891805/zh-cn 对象名称来引用文件内核模式设备驱动程序引用到一个文件及其对象的名称。此名称是与该文件的完整路径一起 /DosDevices。例如对于 C:/Windows/Example.txt 文件的对象名称是 /DosDevices/C:/Windows/Example.tx
如何从内核模式设备驱动程序打开一个文件以及如何读取写入文件
socoola的专栏
12-22 523
 http://support.microsoft.com/kb/891805/zh-cn
linux 文件驱动,linux内核驱动中对文件的读
weixin_42302418的博客
04-28 441
有时候需要在kernel--大多是在需要调试的驱动程序--中读文件数据。在kernel中操作文件没有标准库可用,需要利用kernel的一些函数,这些函数主 要有: filp_open() filp_close(), vfs_read() vfs_write(),set_fs(),get_fs()等,这些函数在linux/fs.h和asm/uaccess.h头文件中声明。下面介绍主 要步骤1. 打...
内核模式设备驱动程序打开与读文件的方法
"如何从内核模式设备驱动程序打开文件以及如何读取写入文件" 在微软的操作系统中,内核模式设备驱动程序(Kernel-Mode Device Drivers, KMDDs)运行在操作系统的核心层,它们拥有比用户模式更高的权限,可以直接...
Windows设备驱动程序的开发方法
06-26
本知识点将详细介绍Windows设备驱动程序的开发方法,包括开发环境的搭建、驱动程序的基本结构、编驱动程序所需的基础知识、驱动程序中的链表操作、文件和注册表操作、获取系统时间、创建内核线程、IRP处理和驱动...
FAT32文件系统中的文件读取写入过程
它最初是由微软公司引入,适用于各种存储介质,如硬盘驱动器、闪存驱动器和其他可移动存储设备。 ## 1.2 FAT32文件系统的特点 FAT32文件系统具有以下特点: - **兼容性:** FAT32文件系统广泛应用于不同操作系统...
深入分析SysInternal FileMon内核级文件监控源码
sys文件通常是内核模式驱动程序文件扩展名,vxd可能指的是虚拟设备驱动程序,它是Windows操作系统早期版本中使用的一种驱动程序格式,尽管在后续版本中已经被驱动程序模型(如sys)所取代。exe文件代表可执行程序...
windows内核驱动读文件
10-11
windows内核驱动条件下文件的创建、读、等功能实现源码。适用于驱动调试和运行观察的日志打印输出,比Windbg和reaceview更方便。
windows内核读文件
World-wang
06-19 1420
/////////////////////////////////////////////////////////////////////////////// /// /// Copyright (c) 2014 - /// /// Original filename: FileOperation.cpp /// Project : FileOperation /// Date
Windows内核编程基础篇之文件读/操作
知其所以然
09-02 3247
打开文件后,最重要是的操作在是对文件的读/。读的方法是对称的知识参数输入与输出方向不同。读取文件内容一般用ZwReadFile文件一般用ZwWriteFile。        先看看 ZwReadFile 结构吧: NTSTATUS ZwReadFile( _In_ HANDLE FileHandle, _In_opt_ HANDLE
8.1 Windows驱动开发:内核文件系列函数
最新发布
优快云
11-19 1万+
在应用层下的文件操作只需要调用微软应用层下的`API`函数及`C库`标准函数即可,而如果在内核中读文件则应用层的API显然是无法被使用的,内核层需要使用内核专有API,某些应用层下的API只需要增加Zw开头即可在内核中使用,例如本章要讲解的文件与目录操作相关函数,多数ARK反内核工具都具有对文件的管理功能,实现对文件目录的基本操作功能也是非常有必要的。
Linux内核中读文件/设备的实现方法
Mini_sheep的专栏
05-31 2000
在Linux应用态,我们可以调用Linux系统调用轻松的读文件,但是在Linux内核中,不能直接调用READ/WRITE系统调用来进行读。 下面是Linux内核中读文件/设备的一种方法: struct file *filp; mm_segment_t oldfs; //打开文件,不同的文件系统者设备 filp = filp_open("/db_name", O_RDWR|O_CRE
windows内核的文件操作
做好我自己
05-17 1114
简单的看了下内核的文件操作 和 应用层的文件操作的api调用基本上是一致的 只是有些小小的不同 打开文件的路径方面,文件名一般不用字符串了, 一般都用一个OBJECT_ATTRIBUTE的结构体代替,这个结构中当然包含了一个字符串形式的文件路径 文件路径也比较怪 因为是用的符合链接对象,所以它一般都是这样的 //??//c://a.dat 的形式注册表的路径一般都是完整路径的,
Windows内核编程基础篇之文件操作()
知其所以然
09-01 1740
打开和关闭文件       下面的函数用于打开一个文件。       函数原型: NTSTATUS ZwCreateFile( _Out_ PHANDLE FileHandle, _In_ ACCESS_MASK DesiredAccess, _In_ POBJECT_ATTRIBUTES ObjectAttributes
windows内核编程-文件操作
大草的博客
12-03 2113
windows内核编程-文件操作-日志记录
内核驱动的文件操作
09-17 3064
在内核驱动中创建文件,并进行读。用于保存驱动运行中的信息。方式:可以用两种方式实现该操作。1、 在应用程序中创建文件,驱动运用IOCTL将信息传给应用层,应用程序文件进行读。Tdi_fw就是利用这种方式来记录驱动过滤信息,Tdi_fw的应用程序创建一个线程,循环利用IOCTL来读取驱动信息,并保存到文件。2、 在驱动中完成所有的这些操作。在这里我们主要讨论这种方式。实现:利用ZwCr
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值