内核文件读写操作--非MiniFilter模式

已于 2025-02-06 10:38:38 修改
阅读量147 收藏
点赞数 3
文章标签: java jvm 数据结构
于 2025-02-06 10:36:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wangmin1944/article/details/145467687
版权

        日常驱动开发中文件读写操作十分频繁,经常写不少重复的轮子,这里把生产环境稳定的文件读写操作模版发出来,方便有需要的同学不必重复造轮子。注意,我这里驱动开发使用的是C++17或者更高,所以大部分都是c++代码或者Template模板代码,需要设置c++编译环境才能使用。(注意,这里的代码示例不能在MiniFilter中使用,会造成重入;MiniFilter中文件的读写会在另一个帖子中说明)

文件读操作模板


//读取文件内容(全部/指定偏移与大小),调用者需要释放返回的内存指针
template <typename T>
PVOID ReadFromFile(T* szFilePath, PLARGE_INTEGER uOffset, ULONG uReadLen)
{
    WKD_ASSERT(KeGetCurrentIrql() == PASSIVE_LEVEL);
    UNREFERENCED_PARAMETER(uOffset);
    PVOID pBufPtr = NULL;
    BOOLEAN bMalloc = FALSE;
    NTSTATUS Status = STATUS_SUCCESS;
    HANDLE hFile = NULL;
    ULONG uBufSize = 0;
    OBJECT_ATTRIBUTES objAttrs = { 0 };
    UNICODE_STRING uFilePath;
    IO_STATUS_BLOCK ioStatus;
    auto iModel = sizeof(T);
    if (iModel == 1)
    {
        ANSI_STRING asiPath;
        RtlInitAnsiString(&asiPath, (PCSZ)szFilePath);
        RtlAnsiStringToUnicodeString(&uFilePath, &asiPath, TRUE);
        bMalloc = TRUE;
    }
    else if (iModel == 2)
    {
        RtlInitUnicodeString(&uFilePath, (PCWSTR)szFilePath);
    }

    InitializeObjectAttributes(
        &objAttrs, &uFilePath,
        OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE, NULL, NULL
    );

    Status = ZwCreateFile(
        &hFile, GENERIC_READ, &objAttrs,
        &ioStatus, NULL, FILE_ATTRIBUTE_NORMAL,
        FILE_SHARE_READ, FILE_OPEN,
        FILE_NON_DIRECTORY_FILE | FILE_SYNCHRONOUS_IO_NONALERT,
        NULL, 0);
    if (NT_SUCCESS(Status))
    {
        FILE_STANDARD_INFORMATION fsi = { 0 };
        Status = ZwQueryInformationFile(hFile,
            &ioStatus,
            &fsi,
            sizeof(FILE_STANDARD_INFORMATION),
            FileStandardInformation);

        if (uReadLen == 0)//0:表示读取全部文件,>0 读取指定数量的字节
        {
            uBufSize = fsi.EndOfFile.LowPart;
        }
        else if (uReadLen > 0 && uReadLen <= fsi.EndOfFile.LowPart)
        {
            uBufSize = uReadLen;
        }


        DbgPrint("file size:[%d]\n", uBufSize);


        uOffset->QuadPart = uBufSize;
        pBufPtr = kMalloc(uBufSize + 2);
        if (pBufPtr)
        {
            RtlZeroMemory(&ioStatus, sizeof(ioStatus));
            Status = ZwReadFile(hFile, NULL, NULL, NULL, &ioStatus, pBufPtr, uBufSize, NULL, NULL);
            if (!NT_SUCCESS(Status))
            {
                DbgPrint("ZwReadFile failed:[%08x]\n", Status);
                kFree(pBufPtr);
                pBufPtr = NULL;

            }
        }

        ZwClose(hFile);
    }
    else
    {
        DbgPrint("ZwCreateFile failed:%s\n",szFilePath);

    }
    if (bMalloc)
    {
        RtlFreeUnicodeString(&uFilePath);
    }
    return pBufPtr;
}

调用示例:

//用到的工具函数
    PVOID kMalloc(SIZE_T size)
    {
        PVOID pTmp = (PVOID)ExAllocatePoolWithTag(NonPagedPool, size, 'pmt9');
        if (pTmp)
        {
            RtlZeroMemory(pTmp, size);
        }
        return pTmp;
    }

    VOID kFree(PVOID pMem)
    {
        if (pMem)
        {
            ExFreePoolWithTag(pMem, '0GAT');
            pMem = 0;
        }
    }


    LARGE_INTEGER offset = { 0 };
    PVOID pExeBuf = ReadFromFile("\\??\\c:\\test.txt", &offset, 0);//全部读入
    if (pExeBuf)
    {
       //业务逻辑
       DbgPrint("read:%s\n", pExeBuf);


        //释放内存
        kFree(pExeBuf);
    }

文件写操作模板

//写文件(覆盖写/追加写)
enum _FILE_WRITE_TYPE
{
    _FILE_OVERWRITE,        //覆盖写
    _FILE_APPENDWRITE       //追加写
};

template <typename T, typename C>
NTSTATUS WriteToFile(T* szFilePath, C szBuf, int nLen, _FILE_WRITE_TYPE mType)
{
    WKD_ASSERT(KeGetCurrentIrql() == PASSIVE_LEVEL);

    BOOLEAN bMalloc = FALSE;
    NTSTATUS Status = STATUS_SUCCESS;
    HANDLE hFile = NULL;
    LARGE_INTEGER offset;
    OBJECT_ATTRIBUTES objAttrs = { 0 };
    UNICODE_STRING uFilePath;
    IO_STATUS_BLOCK ioStatus;
    auto iModel = sizeof(T);
    if (iModel == 1)
    {
        ANSI_STRING asiPath;
        RtlInitAnsiString(&asiPath, (PCSZ)szFilePath);
        RtlAnsiStringToUnicodeString(&uFilePath, &asiPath, TRUE);
        bMalloc = TRUE;
    }
    else if (iModel == 2)
    {
        RtlInitUnicodeString(&uFilePath, (PCWSTR)szFilePath);
    }

    InitializeObjectAttributes(
        &objAttrs, &uFilePath,
        OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE, NULL, NULL
    );

    Status = ZwCreateFile(
        &hFile, GENERIC_ALL, &objAttrs,
        &ioStatus, NULL, FILE_ATTRIBUTE_NORMAL,
        FILE_SHARE_READ, (mType == _FILE_APPENDWRITE) ? FILE_OPEN_IF : FILE_SUPERSEDE,
        FILE_NON_DIRECTORY_FILE | FILE_SYNCHRONOUS_IO_NONALERT,
        NULL, 0);
    if (NT_SUCCESS(Status))
    {

        //设置指针偏移
        switch (mType)
        {
        case _FILE_OVERWRITE:
        {
            offset.QuadPart = 0;
            break;
        }
        case _FILE_APPENDWRITE:
        {

            offset.QuadPart = -1;
            break;
        }
        }

        Status = ZwWriteFile(
            hFile, NULL, NULL, NULL,
            &ioStatus, (PVOID)szBuf, nLen,
            &offset, NULL);

        ZwClose(hFile);
    }

    if (bMalloc)
    {
        RtlFreeUnicodeString(&uFilePath);
    }
    return Status;
}

调用示例:

char* fpath = "\\??\\c:\\test.lnk";//注意路径需要拼接"\\??\\"
char* pData = "this is 中文数据";
WriteToFile(fpath, pData, strlen(pData), _FILE_APPENDWRITE);

Minifilter 拦截FileMapping IO事件
zj510的专栏
12-18 3193
Minifilter 拦截FileMapping IO事件IO类型Minifilter拦截FileMapping拦截结论 IO类型 在Windows上一般常见的两种IO: 普通IO, 如通过ReadFile,WriteFile等Windows API进行读写 FileMapping,通过CreateFile打开一个文件,然后通过CreateFileMapping创建FileMapping对象,通...
基于Minifilter文件过滤驱动以及与应用层通讯(付代码)
C++入门到放弃
11-06 6844
实现应用层与驱动程序通讯,控制驱动程序,发送路径,达到指定目录禁止访问的目的。
Mini-filter driver 读写文件
VHeroin的博客
03-27 1186
在kernel中读写文件要比在应用层麻烦一些,但是基本思路大体上还是一致的。 在内核中,也有很多相关的读写文件的API,本文只对 FltCreateFileEx FltReadFile FltWriteFile 进行简单说明。 这三个API和应用层的API CreateFileEx,ReadFile和WriteFile相对应。其作用分别是打开文件,从文件中读取数据和将数据写入文件。下面这个函数实现了文件拷贝操作,即将FullFileName的文件内容拷贝到FullFileName2中。 NTS
内核文件系统看文件读写过程
swartz_lubel的专栏
09-26 440
系统调用 操作系统的主要功能是为管理硬件资源和为应用程序开发人员提供良好的环境,但是计算机系统的各种硬件资源是有限的,因此为了保证每一个进程都能安全的执行。处理器设有两种模式:“用户模式”与“内核模式”。一些容易发生安全问题的操作都被限制在只有内核模式下才可以执行,例如I/O操作,修改基址寄存器内容等。而连接用户模式内核模式的接口称之为系统调用。 应用程序代码运行在用户模式下,当应用
文件系统Minifilter驱动
pyq881120的专栏
09-09 1万+
1.Filter管理器和Minifilter驱动架构   Filter管理器是一个内核模式驱动,它遵照legacy文件系统filter模型并暴露了FSFD中必需的一般功能。利用这些功能,第三方开发者可以写minifilter驱动,这样的驱动比legacyFSFD更易于开发,因
内核驱动文件重定向(SFILTER)
angzhang6187的博客
07-18 759
最近学习了下内核驱动中的文件重定向。现在总结一下,希望对大家有用 最近几天将附加上MINIFILTER重定位代码(已加) 以及附上完整的将指定文件重定位到内存中的实验代码 额 其实不是想吸引眼光 所以强调下只是实验代码 重定向,字面即为对某A文件的操作直接转移到B文件。比如读、写 、设置长度或文件结尾指针等属性、甚至是删除操作。 内核驱动中文件重定向主要用于...
你的MiniFilter安全吗?
热门推荐
钞sir的博客
01-27 1万+
肆意的风压弯了海棠
Minifilter驱动开发框架教程
gitblog_00628的博客
09-12 570
Minifilter驱动开发框架教程 Minifilter 参考《Windows内核安全与驱动开发》的透明加密解密Minifilter 项目地址: https://gitcode.com/gh_mirrors/mi/Minifil...
文件系统Minifilter驱动(八)
it技术学习
03-06 1594
写Callback例程的Pre-oper和Post-oper 一个minifilter驱动可以在它的DriverEntry例程中为它需要过滤的任何类型的I/O操作注册至多一个pre-oper callback例程和至多一个post-oper callback例程.  Minifilter可以选择要过滤哪种类型的I/O. minifilter驱动可以为一个给定类型的I/O操作只注册一个p
Scanner-File-System-Minifilter-Driver.zip_FilterReplyMessage_min
09-24
Scanner File System Minifilter Driver是一种在Windows操作系统中用于文件系统过滤的驱动程序。它属于Microsoft提供的Filter Manager框架的一部分,允许开发者实现对文件系统操作的深度监控和干预。在这个压缩包中...
MiniFilter-master_minifilter_nature2j4_源码.rar
09-29
这个名为"MiniFilter-master_minifilter_nature2j4_源码.rar"的压缩包文件,很可能包含了用于学习和开发MiniFilter驱动程序的源代码。 MiniFilter驱动程序的核心在于微软提供的Filter Manager,它负责管理和调度...
fastfat-File-System-Driver.rar_fastfat_minifilter
09-20
在IT领域,文件系统驱动程序扮演着至关重要的角色,它们是操作系统与存储设备之间的桥梁,负责管理和控制数据的读写操作。其中,Fastfat Minifilter驱动程序是一款针对FAT(File Allocation Table)文件系统的过滤...
idea如何开启代理
win9413的博客
05-07 294
定位到配置菜单后,填写配置。
Java】2025 年 Java 学习路线:从入门到精通
qq_40205510的博客
05-03 2024
Java学习是一场马拉松而短跑,保持持续学习的态度,结合项目实践深化理解,定能在Java生态中找到自己的技术方向。,始终占据编程语言排行榜前三。本文将为初学者和进阶者梳理一条清晰的Java学习路线,涵盖。Java作为一门拥有近30年历史的编程语言,凭借其。的全流程,并提供实用的学习资源推荐。
202533 | SpringBoot集成RocketMQ
weixin_43422022的博客
05-05 810
通过以上代码示例,可以快速实现RocketMQ的各种消息模式集成。根据业务场景选择合适的方式,平衡可靠性与性能需求。解决方法:检查对象是否实现了Serializable。:适用于重要通知、支付结果等需要确认的场景。这样就完成了对象和集合消息的发送与接收!:适合日志收集等允许少量丢失的场景。:吞吐量最高,但不保证可靠性。
JavaWeb:MySQL进阶
最新发布
IT瘾君子的博客
05-07 475
JavaWeb、MySQL进阶、事务、所以,子查询,外连接,内连接
A1031-PAT甲级JAVA题解 Hello World for U
qq_49695680的博客
05-03 453
Given any string of N (≥5) characters, you are asked to form the characters into the shape of . For example, can be printed as: That is, the characters must be printed in the original order, starting top-down from the left vertical line with n1​ charact
Java 8 对称加密代码示例
在那一刻,我们或许会发现自己站在了时间的另一岸,以更加成熟和宽广的胸怀,去拥抱那份隔代相传的深情。
05-06 402
以下是使用Java 8实现RSA对称加密的完整代码示例,包括密钥生成、加密和解密过程。
MiniSpy源码文件过滤驱动:深入Minifilter框架
MiniSpy作为一种基于Minifilter框架开发的文件过滤驱动,其主要功能在于记录文件的所有操作,包括但不限于文件的创建、重命名、打开、关闭、读写等操作。MiniSpy不仅记录系统级的文件操作,同样也能监控用户端应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值