4.文件,注册表,线程

4.1文件操作内核并不接受用字符串来表示的文件路径,而是使用一个 OBJECT_ATTRIBUTES 未文档的结构,这个结构总是被 InitializeObjectAttributes 初始化.在内核中,无论是打开文件,注册表键,还是设备,都会这样初始化.

VOID InitializeObjectAttributes(

OUT POBJECT_ATTRIBUTES InitializedAttributes,//要初始化的 OBJECT_ATTRIBUTES结构的指针

IN PUNICODE_STRING ObjectName,//对象名字字符串(文件路径,如果打开的是文件的话)

IN ULONG Attributes,//填写 OBJ_CASE_INSENSITIVE(名字字符串不区分大小写) | OBJ_KERNEL_HANDLE(打开的是内核句柄) 即可方便简洁的打开,内核句柄比应用层句柄使用更方便,可以不受线程和进程的限制,在任何线程中读写,也不需要顾及权限问题.

IN HANDLE RootDirectory,//用于相对打开的情况,目前省略,传入 NULL 接口

IN PSECURITY_DESCRIPTOR SecurityDescriptor//设置安全描述符,如果是打开内核句柄,这里填写 NULL

);

打开文件:

ZwCreateFile(

_Out_ PHANDLE FileHandle,//返回打开文件的句柄指针,如果函数执行成功

_In_ ACCESS_MASK DesiredAccess,//申请的权限, FILE_WRITE_DATA(打开写文件) FILE_READ_DATA(读文件) DELETE(删除文件或改名) FILE_WRITE_ATTRIBUTES(设置写文件属性) FILE_READ_ATTRIBUTES(设置读文件属性),可以用 | 来组合

_In_ POBJECT_ATTRIBUTES ObjectAttributes,//对象描述,是 OBJECT_ATTRIBUTES 结构地址,包涵了要打开的文件名称

_Out_ PIO_STATUS_BLOCK IoStatusBlock,//结构 union 中的 Pointer 很少用,返回结构保存在 Status 中,更多信息在 Information,可能返回 FILE_CREATED(文件被成功的创建) FILE_OPENED(打开) FILE_OVERWRITTEN (覆盖) FILE_SUPERSEDED(替代) FILE_EXISTS (已存在) FILE_DOES_NOT_EXIST(不存在,所以打开失败)

_In_opt_ PLARGE_INTEGER AllocationSize,//指针,指向64位整数,定义文件初始分配的大小,这个参数仅关系到创建或重写文件操作,如果忽略,那么文件长度从0开始,并随着写入而增长.

_In_ ULONG FileAttributes,//控制新建文件属性,一般设置为0或者 FILE_ATTRIBUTE_NORMAL

_In_ ULONG ShareAccess,//共享访问设置,可以为 FILE_SHARE_READ FILE_SHARE_WRITE FILE_SHARE_DELETE,可组合,说明当本程序打开这个文件时其他程序可执行的操作.

_In_ ULONG CreateDisposition,//说明了这次打开的意图,不能组合,FILE_CREATE(新建) FILE_OPEN(打开) FILE_OPEN_IF(打开或新建) FILE_OVERWRITE(覆盖) FILE_OVERWRITE_IF (覆盖或新建) FILE_SUPERSEDE (取代或新建) 联系 IoStatusBlock 参数中的 Information 说明?

_In_ ULONG CreateOptions,//设置是否同步打开或者非同步打开?还有很多详细的说明什么的

_In_reads_bytes_opt_(EaLength) PVOID EaBuffer,

_In_ ULONG EaLength

);

说明太复杂,上个例子:

#include

VOID DriverUnload(PDRIVER_OBJECT driver){

}

NTSTATUS DriverEntry(PDRIVER_OBJECT driver, PUNICODE_STRING reg_path){

//驱动入口

UNICODE_STRING str = RTL_CONSTANT_STRING(L"KeAttachProcess");

DbgPrint("misaka: hello world , this is kernel driver ! %x\r\n", (ULONG)MmGetSystemRoutineAddress(&str));

//创建文件

//要返回的文件句柄

HANDLE file_handle = NULL;

//返回值

NTSTATUS status;

IO_STATUS_BLOCK io_status;

//先初始化含有文件路径的 OBJECT_ATTRIBUTES

OBJECT_ATTRIBUTES object_attributes;

UNICODE_STRING ufile_name = RTL_CONSTANT_STRING(L"\\??\\C:\\a.dat");//使用对象路径

InitializeObjectAttributes(&object_attributes, &ufile_name, OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE, NULL, NULL);

//以 FILE_OPEN_IF 方式打开文件

status = ZwCreateFile(

&file_handle,

GENERIC_READ | GENERIC_WRITE,

&object_attributes,

&io_status,

NULL,

FILE_ATTRIBUTE_NORMAL,

FILE_SHARE_READ,

FILE_OPEN_IF,

FILE_NON_DIRECTORY_FILE | FILE_RANDOM_ACCESS | FILE_SYNCHRONOUS_IO_NONALERT,

NULL,

0

);

if (status == STATUS_SUCCESS){

DbgPrint("misaka: file create success \r\n");

}

else{

DbgPrint("misaka: file create failed %d\r\n",status);

}

ZwClose(file_handle);

driver->DriverUnload = DriverUnload;

return STATUS_SUCCESS;

}

执行结果: