NtCreateFile获得的设备句柄为什么指向文件对象

最新推荐文章于 2025-05-02 12:45:23 发布
原创 最新推荐文章于 2025-05-02 12:45:23 发布 · 1.5k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

NtCreateFile打开设备时,返回的句柄实际上是FILE_OBJECT,而非DEVICE_OBJECT。在查找设备对象并调用其ParseProcedure(IopParseDevice)后,会创建FILE_OBJECT,其DeviceObject字段指向实际的DEVICE_OBJECT。因此,句柄最终指向的是文件对象。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >


通过NtCreateFile打开设备,获得的句柄实际上指向的是一个文件对象(FILE_OBJECT),而不是设备对象(DEVICE_OBJECT).


设备对象类型的创建过程如下,是有存在ParseProcedure的

RtlInitUnicodeString( &nameString, L"Device" );
    objectTypeInitializer.DefaultNonPagedPoolCharge = sizeof( DEVICE_OBJECT );
    objectTypeInitializer.ParseProcedure = IopParseDevice;
    objectTypeInitializer.CaseInsensitive = TRUE;
    objectTypeInitializer.DeleteProcedure = IopDeleteDevice;
    objectTypeInitializer.SecurityProcedure = IopGetSetSecurityObject;
    objectTypeInitializer.QueryNameProcedure = (OB_QUERYNAME_METHOD)NULL;
    if (!NT_SUCCESS( ObCreateObjectType( &nameString,
                                      &objectTypeInitializer,
                                      (PSECURITY_DESCRIPTOR) NULL,
                                      &IoDeviceObjectType ))) {
        return FALSE;
    }


NtCreateFile打开设备主要通过ObpLookupObjectName来找到设备对象,当找到设备对象时:


 if (ParseProcedure && (!InsertObject || (ParseProcedure == ObpParseSymbolicLink))) {

                。。。。。。。。

                。。。。。。。。

                。。。。。。。。

                Status = (*ParseProcedure)( Object,
                                            (PVOID)ObjectType,
                                            AccessState,
                                            AccessCheckMode,
                                            Attributes,
                                            ObjectName,
                                            &RemainingName,
                                            ParseContext,
                                            SecurityQos,
                                            &Object );

                。。。。。。。。

                。。。。。。。。

                。。。。。。。。

}


因此当找到设备对象时,调用设备对象的ParseProcedure:IopParseDevice。

在IopParseDevice中,对非删除和查询炒作创建文件对象(FILE_OBJECT),文件对象的DeviceObject成员指向实际设备对象,并返回文件对象


 status = ObCreateObject( KernelMode,
                                 IoFileObjectType,
                                 &objectAttributes,
                                 AccessMode,
                                 (PVOID) NULL,
                                 fileObjectSize,
                                 0,
                                 0,
                                 (PVOID *) &fileObject );


fileObject->DeviceObject = parseDeviceObject;


*Object = fileObject;


故最终NtCreateFile获得的设备句柄指向文件对象








wzsy
关注
Windows 句柄泄露学习总结
bcbobo21cn的专栏
03-19 8965
句柄泄露实例分析 http://www.cnblogs.com/Leo_wl/p/5397274.html 在上篇文章.NET对象与Windows句柄(二):句柄分类和.NET句柄泄露的例子中,我们有一个句柄泄露的 例子。例子中多次创建和Dispose了DataReceiver和DataAnalyzer对象,但由于忘记调用DataAnalyzer的 Stop方法,导
14、Windows 内存取证:进程、句柄和令牌深度剖析
最新发布
qsc90123456的博客
06-21 9
本文深入探讨了Windows内存取证中进程句柄、注册表持久性以及远程映射驱动器的检测方法。通过分析句柄的生命周期、内部结构以及使用Volatility等工具进行实战取证,展示了如何从内存中提取恶意活动的关键线索。文中结合实际案例和详细技术流程,帮助取证人员系统性地识别和应对各类安全威胁。
CreateFile第一个参数设备名称
踏踏实实的。。。
06-15 5621
更多精彩内容,请见:http://www.16boke.com 首次利用API函数CreateFile获得设备句柄时,应该会对第一个参数lpFileName的值比较困惑。 HANDLE CreateFile( LPCTSTR lpFileName, // 文件名/设备路径 设备的名称 DWORD dwDesiredAccess, // 访问方式 DWORD dwShareMode,
Windows 驱动中获取指定的设备对象
Vinx Blog
06-07 6798
转载自:http://tudian2007.blog.163.com/blog/static/3156641320137295338938/Windows 驱动中获取指定的设备对象  众所周知应用层要和驱动层通讯的话需要先打开驱动设备对象,因为驱动设备名只是对内核模式中的驱动所识别的,应用层是无法识别的,所以一般驱动都有对应的symboliclink供应用层用使用的,如”\\.\C:”,”\??\C
VBox 启动虚拟机失败 - NtCreateFile
热门推荐
Txwtech
02-20 1万+
VBox启动虚拟机失败-NtCreateFile(\Device\VBoxDrvStub) NtCreateFile(\Device\VBoxDrvStub) failed: 0xc000000034 STATUS_OBJECT_NAME_NOT_FOUND (0 retries)(rc=-101) Make sure the kernel module has been loade...
VirtualBox 绿色版 FAQ NtCreateFile(\Device\VBoxDrvStub) failed:
07-27 1686
2.菜单栏 视图-虚拟显示屏 - 重设为1920*1200。1.设置显存为64MB。
ntcreatefile使用_红队战术:在C#中使用syscall之编写代码
weixin_39956110的博客
12-05 682
前言本文专注于实际编写代码,利用在上一篇文章中学到的内容,实现一个有效的syscall。除了编写代码外,也会介绍如何对“工具”代码进行管理,以及如何为之后与其他工具的集成做准备。在上一篇文章中,我们介绍了一些在C#中使用syscall需要了解的基本概念,其中触及了一些比较深入的主题,例如Windows内部结构及系统调用的概念。还讨论了.NET 框架的工作原理以及如何在C#中利用非托管代码...
文件句柄文件路径
linxin3333520的专栏
12-10 1047
HOOK CreateFile/WriteFile/ReadFile及相应NT函数,实现对文件写等操作的控制,常常需要根据句柄求路径。第一个是网上找的文件映射方式,下面给出两个方式—— BOOL GetFileNameFromHandle(HANDLE hFile,TCHAR pszFileName[MAX_PATH]) { HANDLE hFileMap=NULL; PVOI
NtCreateFile底层原理
05-22
文件对象包含了文件的属性、访问控制信息、文件句柄等。 4. 建立文件连接关系:如果创建文件时指定了共享模式,则需要建立文件连接关系,以允许多个进程同时访问同一个文件。这个过程包括创建一个文件共享对象、...
精选_Ring0内核层下读写文件实现文件复制_源码打包
03-10
2. 获取目标文件句柄:同样地,为目标文件创建一个新的文件对象并获取其句柄。 3. 读取源文件:使用`NtReadFile`读取源文件内容到内核分配的缓冲区。这个过程可能需要多次读取,取决于文件大小。 4. 写入目标文件...
CreateFile函数扩展用法易语言
07-24
CreateFile函数扩展用法易语言源码, CreateFile API用法,属于进阶教程源码
NtCreateFile创建普通文件方法
如鹿渴慕泉水的专栏
04-24 171
NtCreateFile创建普通文件方法
Windows的用户/内核模式切换
maomao171314的专栏
12-23 2126
1. Windows的用户模式-内核模式切换 Windows用户模式和内核模式的交互流程,如图: 以CreateFile 为例,应用程序调用kernel32.dll 的CreateFile来创建文件,CreateFile调用ntdll.dll的存根函数NtCreateFile,然后直接将创建文件的请求转交给内核的NtCreateFile。为了转到内核,ntdll.dll 的KiIntSystemCall或KiFastSystemCall 执行”int 2e”或sysenter指令,切换到内核模式下.
NTCreateAndWriteFile同步模式
如鹿渴慕泉水的专栏
05-02 113
NTCreateAndWriteFile同步模式
Windows NT内核函数大全
qq_42577465的博客
06-06 1937
Nt内核函数大全 NtLoadDriver服务控制管理器加载设备驱动. NtUnloadDriver服务控制管理器支持卸载指定的驱动程序. NtRegisterNewDevice加载新驱动文件. NtQueryIntervalProfile返回数据. NtSetIntervalProfile指定采样间隔. NtStartProfile开始取样. NtStopProfile停止采样...
CreateFile函数详解
cigogo的专栏
07-03 3678
CreateFile The CreateFile function creates or opens the following objects and returns a handle that can be used to accessthe object: files pipes mailslots communications resources disk
CreateFile函数执行的全过程
摔不死的笨鸟的博客
08-04 1341
Kernel32.dll中的CreateFile。 在Kernelbase32.dll中将打开的文件路径添加/??/对应于经过CreateFileInternal后的__GSHandlerCheck。 最终调用NtCreateFile函数。来到了ntdll.dll。
ObjectType HOOK干涉注册表操作
03-22 961
来看ObOpenObjectByName,它会调用ObpLookupObjectByName来打开一个对象对象头(object_header)有一个object type结构object type结构里有一个TypeInfo,结构是OBJECT_TYPE_INITIALIZER typedef struct _OBJECT_TYPE_INITIALIZER {USHORT Length;BOOLE
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值