Win7下文件过滤驱动中手工创建IRP重命名文件的问题

    之前在写一个文件过滤驱动时遇到将文件移动到另一个目录的需求，为了避免重入，首先想到的就是利用IoCreateFileSpecifyDeviceObjectHint获得其句柄并用ZwSetInformationFile将其移动到另一目录，但测试时发现ZwSetInformationFile始终返回STATUS_INVALID_DEVICE_OBJECT_PARAMETER错误。

  

    上网搜了一下，发现有位仁兄也遇到了同样的问题（http://www.eggheadcafe.com/software/aspnet/31694886/rename-fails-on-handle-ob.aspx），跟踪了一下，发现系统用IopGetFileObjectExtension返回的值作为PDEVICE_OBJECT类型传入到IoCreateFileEx中，而实际上IopGetFileObjectExtension返回的是一个指向PDEVICE_OBJECT的指针，即指针的指针。

 

  83e8e14c e8ff84e2ff call nt!IopGetFileObjectExtension (83cb6650) 83e8e151 89442440 mov dword ptr [esp+40h],eax

 

    手工在内存中更改该参数后ZwSetInformationFile返回成功，并且文件也正确移动到了指定的目录。这个错误也许是文件对象扩展的格式更改了，也许是IopOpenLinkOrRenameTarget内部代码更改了没同步，总之，现在只有通过手工创建IRP的方式来绕过这个问题。

 

     利用IRP的方式意味着不能用文件句柄了，只有自己打开文件对象并发送IRP。

 

     首先需要打开要移动的文件，获得文件对象：

status = SfCreateFile(&DosFileName, DELETE|FILE_READ_ATTRIBUTES|SYNCHRONIZE, FILE_ATTRIBUTE_NORMAL, FILE_SHARE_READ | FILE_SHARE_WRITE, FILE_OPEN, FILE_NON_DIRECTORY_FILE | FILE_SYNCHRONOUS_IO_NONALERT, devExt->AttachedToDeviceObject, devExt->StorageStackDeviceObject, FALSE, &objFile);

 

    手工打开及关闭文件的接口：

NTSTATUS SfCreateFile( IN PUNICODE_STRING FileName, IN ACCESS_MASK DesiredAccess, IN ULONG FileAttributes, IN ULONG ShareAccess, IN ULONG CreateDisposition, IN ULONG CreateOptions, IN PDEVICE_OBJECT DeviceObject, IN PDEVICE_OBJECT RealDevice, IN BOOLEAN Paging, OUT PVOID *Object ) { NTSTATUS status; KEVENT event; PIRP Irp; IO_STATUS_BLOCK ioStatus; PIO_STACK_LOCATION irpSp; IO_SECURITY_CONTEXT securityContext; ACCESS_STATE accessState; OBJECT_ATTRIBUTES objectAttributes; PFILE_OBJECT fileObject; AUX_ACCESS_DATA auxData; PAGED_CODE(); RtlZeroMemory(&auxData, sizeof(AUX_ACCESS_DATA)); KeInitializeEvent(&event, SynchronizationEvent, FALSE); Irp = IoAllocateIrp(DeviceObject->StackSize, FALSE); if ( NULL == Irp ) { status = STATUS_INSUFFICIENT_RESOURCES; return status; } InitializeObjectAttributes(&objectAttributes, NULL, OBJ_CASE_INSENSITIVE, 0, NULL); status = ObCreateObject(KernelMode, *IoFileObjectType, &objectAttributes, KernelMode, NULL, sizeof(FILE_OBJECT)+MAX_NAME_SPACE, 0, 0, (PVOID *)&fileObject); if (!NT_SUCCESS(status)) { IoFreeIrp(Irp); return status; } RtlZeroMemory(fileObject, sizeof(FILE_OBJECT)); fileObject->Type = IO_TYPE_FILE; fileObject->Size = sizeof(FILE_OBJECT); fileObject->DeviceObject = RealDevice; fileObject->RelatedFileObject = NULL; fileObject->Flags = FO_SYNCHRONOUS_IO; fileObject->FileName.MaximumLength = MAX_NAME_SPACE; fileObject->FileName.Length = FileName->Length; fileObject->FileName.Buffer = (PWSTR)(((PUCHAR)fileObject) + sizeof(FILE_OBJECT)); RtlCopyMemory(fileObject->FileName.Buffer, FileName->Buffer, FileName->Length);