文件重定向(hook IRP_MJ_CREATE)

最新推荐文章于 2021-03-02 11:26:22 发布
转载 最新推荐文章于 2021-03-02 11:26:22 发布 · 3k 阅读 · 2

本文介绍如何通过Windows I/O管理器实现文件对象的重定向,包括修改文件名、设置状态码等步骤,并提供了具体的代码示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Windows的I/O管理器提供了一个方便的方法来重定向一个文件对象。通常使用文件过滤驱动(在文件打开和文件创建的操作中)实现该方法。操作方法如下:


1、在IRP_MJ_CREATE的分发函数中,获得FILE_OBJET的FileName属性。
2、用目标文件的完整路径替换原有的文件名字。这个全名,包括卷设备对象的名字(例如,Device/HardDiskVolume0/Directory/MyFile.txt)。可以释放掉原有的FileName.Buffer,同时用自己定义的缓冲区(buffer,以NonPagedPool方式申请)替换它。
3、设置IoStatus的status字段为STATUS_REPARSE,然后设置Information字段为IO_REPARSE.
4、完成该IRP请求。

5、返回STATUS_REPARSE


I/O管理器接收到该返回后,便会触发另一个文件打开操作,并发送一个IRP_MJ_CREATE的请求。
‍而目标文件可以是本地或远程计算机。而若要重定向远程文件打开操作,文件名要遵循以下语法:
"/??/UNC/HostName/Share/File" 或 "/Device/Mup/HostName/Share/File" 或
"/Device/LanmanagerRedirector/HostName/Share/File"(在你的目标文件是CIFS/SMB/LanManager的情况下)
在你的首次打开/创建文件操作是相对于另一个文件对象的时候,没有必有修改FILE_OBJECT的RelatedFileObject域。在重定向时,I/O管理器只考虑FileName域,而不考虑RelatedFileObject域(在I/O管理器收到STATUS_REPARSE后,它便会释放该域)。
I/O管理器为了避免重定向的无限循环,在嵌套循环中加了一些限制:重定向操作的最大嵌套次数是32.
//在IRP_MJ_CREATE例程里添加如下代码:

irpSp = IoGetCurrentIrpStackLocation(Irp);
RtlInitUnicodeString(&cmpFileName, L"//hello.txt");
KdPrint((">>> Create/Open FileName:%ws/n", irpSp->FileObject->FileName.Buffer));

if (RtlCompareUnicodeString(&cmpFileName, &irpSp->FileObject->FileName, FALSE) == 0)
{
	pusFileName = &(irpSp->FileObject->FileName);

	/*方法很简单
	就是把FileObject->FileName.Buffer释放掉
	然后自己ExAllocatePool...分配一个缓冲区用于保存重定向的文件名 这里需要是全文件名
	FileObject->FileName指向新分配的缓冲区
	把新文件名拷贝到FileObject->FileName里
	设置Irp->IoStatus的值如下
	Irp->IoStatus.Status = STATUS_REPARSE;
	Irp->IoStatus.Information = IO_REPARSE;
	返回STATUS_REPARSE
	经测试跨卷访问也可以*/

	RtlInitUnicodeString(&usNewFileName, L"//??//E://123//hello.txt");

	pwNewNameBuffer = ExAllocatePool(PagedPool, usNewFileName.MaximumLength);

	if (pwNewNameBuffer == NULL)
	{
		Irp->IoStatus.Status = STATUS_INSUFFICIENT_RESOURCES;
		Irp->IoStatus.Information = 0;
		IoCompleteRequest( Irp, IO_NO_INCREMENT );
		return STATUS_INSUFFICIENT_RESOURCES;
	}

	ExFreePool( pusFileName->Buffer );
	pusFileName->Buffer = pwNewNameBuffer;
	pusFileName->MaximumLength = usNewFileName.MaximumLength;
	RtlCopyUnicodeString(pusFileName, &usNewFileName);

	Irp->IoStatus.Status = STATUS_REPARSE;
	Irp->IoStatus.Information = IO_REPARSE;
	IoCompleteRequest( Irp, IO_NO_INCREMENT );

	return STATUS_REPARSE;
}



whatday
关注
文件过滤驱动开发
yujiankk的专栏
11-01 8751
文件过滤驱动 一、文件透明加解密 关键字:透明、文件过滤驱动、加密标识,缓存   文件过滤驱动最重要的两点是搞定加密标识和缓存管理 1、透明概念: 透明指的是用户在操作的时候,虽然后台在自动的进行加解密,但是用户根本就不知道加密的存在,就像中间隔了一层透明的玻璃一样。      透明的好处在于不改变用户的操作,一切都和加密之前一样,甚至在有些企业安装加密后都无需通知所有的员工,就像加
Windows App虚拟化 一【Sandbox】
最新发布
huanongying131的博客
12-03 77
test。
Windows文件重定向工具
07-27
Windows文件重定向工具--这样可以用于怕失文件的人员使用了,呵呵,,很不错哦。。。
IRP Hook
LYSM
03-02 1122
谈到irp拦截,基本上有三种方式 在起点拦截 在半路拦截 在终点拦截 下面我们会详细分析这几种方式哪些是有效的,哪种是无效的。 要理解这几种拦截,我们需要看看irp地传送过程。 (注意并不是每种IRP都经过这些步骤,由于设备类型和IRP种类的不同某些步骤会改变或根本不存在。) 一、IRP创建。 由于IRP开始于某个实体调用I/O管理器函数创建它,可以使用下面任何一种函数创建IRP: IoBuildAsynchronousFsdRequest 创建异步IRP(不需要等待其完成)。该函数和下一个函数仅适
自己构造 Create IRP
03-08 1254
NTSTATUS IrpCreate(IN PUNICODE_STRING Name,IN ACCESS_MASK DesiredAccess,IN ULONG FileAttributes,IN ULONG ShareAccess,IN ULONG CreateDisposition,IN ULONG CreateOptions,IN PDEVICE_OBJECT DeviceObject,IN
IRP_MJ_CREATE
weixin_30753873的博客
04-23 476
原文链接:http://laokaddk.blog.51cto.com/368606/125553/ MSDN:https://msdn.microsoft.com/library/windows/hardware/ff548630%28v=vs.85%29.aspx/ The I/O Manager sends the IRP_MJ_CREATE request when a...
驱动开发(9)处理缓冲I/O设备的读写请求
zuishikonghuan的博客
01-03 2873
本博文由优快云博主zuishikonghuan所作,版权归zuishikonghuan所有,转载请注明出处:http://blog.youkuaiyun.com/zuishikonghuan/article/details/50413094 在上面的几篇博文中,介绍了 IRP 与派遣函数,通过例子“磁盘设备的绝对读写”演示了在应用程序中向一个设备发出I/O请求,并实现了驱动程序中处理一个I/O请求——
(转载)反病毒引擎设计 --- 实时监控篇
Kendiv's Box
01-17 7674
反病毒引擎设计之实时监控篇作者:NJUE    文章来源:安全焦点  2004年01月15日        编者按:绪论《反病毒引擎设计之虚拟机查毒篇》我们重点对虚拟机查毒进行了阐述。下面看看如何对病毒实时监控。  目    录3.1实时监控概论3.2病毒实时监控实现技术概论3.3 WIN9X下的病毒实时监控  3.3.1实现技术详解  3.3.2程
IRP HOOK 拦截ring0驱动层的IRP包.ring0 rootkit hook
01-24
IRP HOOK 拦截ring0驱动层的IRP包.ring0 rootkit hook
irp hook来隐藏端口(过vista)
05-16
irp hook来隐藏端口(过vista)
[helloFirst] IRP_MJ_CREATE
autumn20080101的专栏
12-06 702
******************************************************************************* *                                                                             * *   You are seeing this message becaus
读懂常见IRP:IRP_MJ_CLEANUP/IRP_MJ_CLOSE/IRP_MJ_CREATE
07-13 5575
IRP_MJ_CLEANUP保持进程定义上下文信息的驱动器,必须在DispatchCleanup中包含cleanup请求。何时发送: 收到IRP_MJ_CLEANUP意味着请求的目标设备与目标文件的句柄相关(也可能因为io请求后没有释放)入参: 无出参: 无操作: 该IRP在关闭 file object 句柄的进程上下文中发送。因此,驱动器应该释放进程上下文中所指
IRP HOOK
zyorz的博客
05-04 931
流程相比较R3 HOOK,R0的HOOK还是比较简单的(毕竟共享一块内存)直接IoGetDeviceObjectPointer根据名称获取驱动对象,然后更改分发函数数组元素即可HOOK指定IRP分发函数实现NTSTATUS InstallTCPDriverHook() { NTSTATUS ntStatus; UNICODE_STRING deviceTCPUnicode
RootKit之[五] IRP Hook全家福
08-25 1329
 作 者: combojiang时 间: 2008-02-22,16:42链 接: http://bbs.pediy.com/showthread.php?t=60022年过得真快,马上过完了。我们今天一起来汇总看看IRP HOOK的方法。又是长篇大论,别着急,慢慢看。谈到irp拦截,基本上有三种方式,一种是在起点拦截,一种是在半路拦截,一种是在终点拦截。 下面我们会详细分析这几种方式哪些是有效的
关于“IRP_MJ_CREATE ” 的Dispatch中判断FileObject是文件还是目录问题
keilsi的专栏
09-15 1294
当Ring3 CreateFile发起对某个文件对象的请求时,如:C:/Program Files/Microsoft Visual Studio/VC98/LIB/LIBC.lib"。请求进入Ring0,Fs会把该请求生成多个IRP_MJ_CREATE,逐层的打开目录对象,直至
note : when FSD HOOK + IRP_MJ_CREATE, judge pFileObject->Flags
谢绝(无视)留言与私信
09-19 1359
FSD HOOK后,  为了提高效率, 判断 FILE_OBJECT.Flags, 用于比对 IRP_MJ_CREATE 操作的黑名单. BOOLEAN FileObjectFlagIsFileOpen(ULONG_PTR ulFlags) { /// #define FO_SYNCHRONOUS_IO 0x00000002 /// 每秒钟一次的文件
hook后的重定位原理
谢绝(无视)留言与私信
07-08 1083
前言这几天学了ApiHook, 原理大概知道, 忙的没时间想. 消化了几天后, 突然想明白了.ps : 在hook后的代码中使用CRT函数不靠谱, 使用API才好. * 使用CRT函数无法判断这个函数在目标程序中是否一定存在 如果用API, 可以通过LoadLibrary + GetProcAddress来判断winapi是否可以使用试验代码片段;;===================
易语言实现HOOKDLL_QQ依附实例教程
1. HOOKDLL_QQ含义:标题中的"HOOKDLL_QQ"表示使用了钩子(Hook)技术来依附于QQ应用程序的动态链接库(DLL)文件。钩子技术是一种在操作系统底层截获系统或应用程序发出的消息、事件或调用的方法,可以在不改变应用...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值