1.文件的创建
对文件的创建或者打开都是通过内核函数ZwCreateFile实现的。和Windows API类似,这个内核函数返回一个文件句柄,文件的所有操作都是依靠这个句柄进行操作的。在文件操作完毕后,要关闭这个文件句柄。
NTSTATUS
ZwCreateFile(
OUT PHANDLE FileHandle,
IN ACCESS_MASK DesiredAccess,
IN POBJECT_ATTRIBUTES ObjectAttributes,
OUT PIO_STATUS_BLOCK IoStatusBlock,
IN PLARGE_INTEGER AllocationSize OPTIONAL,
IN ULONG FileAttributes,
IN ULONG ShareAccess,
IN ULONG CreateDisposition,
IN ULONG CreateOptions,
IN PVOID EaBuffer OPTIONAL,
IN ULONG EaLength
);
FileHandle:返回打开文件的句柄
DesiredAccess: 一般指定为GENERIC_READ 或者 GENERIC_WRITE
ObjectAttributes:是OBJECT_ATTRIBUTES结构的地址,该结构包含要打开的文件名。
IoStatusBlock:指向一个IO_STATUS_BLOCK结构体,该结构接收ZwCreateFile操作的结果状态。
AllocationSize:是一个指针,指向一个64位整数,该数指定文件初始分配时的大小、该参数仅关系到创建或重写文件操作。如果忽略它,那么文件长度将从0开始,并随着写入而增长。
FileAttributes:指定新创建文件的属性,一般为0或FILE_ATTRIBUTE_NORMAL
ShareAccess:指定文件的共享方式,0或者FILE_SHARE_READ
CreateDisposition:指定当文件存在或不存在时,该如何处理
CreateOptions:FILE_SYNCHRONOUS_IO_NONALERT,指定控制打开操作和句柄使用的附加标志位。
EaBuffer:一个指针,指向可选的扩展属性区
EaLength:扩展属性区的长度
要创建的文件的文件名是通过第三个参数传入的。这个参数是一个OBJECT_ATTRIBUTES得结构。DDK提供了对OBJECT_ATTRIBUTES初始化的宏:
VOID
InitializeObjectAttributes(
OUT POBJECT_ATTRIBUTES InitializedAttributes,
IN PUNICODE_STRING ObjectName,//文件名
IN ULONG Attributes,//一般为OBJ_CASE_INSENSITIVE,对大小写敏感
IN HANDLE RootDirectory,//一般为NULL
IN PSECURITY_DESCRIPTOR SecurityDescriptor //一般为NULL
);
示例代码:
[cpp] view plaincopy在CODE上查看代码片派生到我的代码片
VOID TetsCreateFile()
{
UNICODE_STRING string;
RtlInitUnicodeString(&string, L"\\??\\C:\\1.log");
OBJECT_ATTRIBUTES objattr;
InitializeObjectAttributes(&objattr, &string, OBJ_CASE_INSENSITIVE, NULL, NULL);
HANDLE hFile;
IO_STATUS_BLOCK iostatus;
NTSTATUS status = ZwCreateFile(&hFile, GENERIC_READ | GENERIC_WRITE, &objattr, &iostatus,
NULL, FILE_ATTRIBUTE_NORMAL, 0, FILE_OPEN_IF, FILE_SYNCHRONOUS_IO_NONALERT, NULL, 0);
if (!NT_SUCCESS(status))
{
KdPrint(("文件创建失败!\n"));
}
else
{
KdPrint(("文件创建成功!\n"));
}
//文件操作
//......
//关闭文件句柄
ZwClose(hFile);
}
除了可以用ZwCreateFile函数打开文件,DDK还为我们提供了一个ZwOpenFile函数用来打开文件,以简化文件的打开操作。
NTSTATUS
ZwOpenFile(
OUT PHANDLE FileHandle,
IN ACCESS_MASK DesiredAccess, //打开权限,一般为GENERIC_ALL
IN POBJECT_ATTRIBUTES ObjectAttributes,
OUT PIO_STATUS_BLOCK IoStatusBlock,
IN ULONG ShareAccess,
IN ULONG OpenOptions//打开选项,一般为FILE_SYNCHRONOUS_IO_NONALERT
);
2.获取或修改文件属性
获取和修改文件属性,包括获取文件大小,获取或修改文件指针位置,获取或修改文件名,获取或修改文件属性(只读属性,隐藏属性),获取或修改文件创建,修改日期。
NTSTATUS
ZwSetInformationFile(
IN HANDLE FileHandle,
OUT PIO_STATUS_BLOCK IoStatusBlock,
IN PVOID FileInformation,
IN ULONG Length,
IN FILE_INFORMATION_CLASS FileInformationClass
);
NTSTATUS
ZwQueryInformationFile(
IN HANDLE FileHandle,
OUT PIO_STATUS_BLOCK IoStatusBlock,
OUT PVOID FileInformation,
IN ULONG Length,
IN FILE_INFORMATION_CLASS FileInformationClass
);
FileInformation:依据FileInformationClass不同而不同。
Length:FileInformation数据的长度
FileInformationClass:描述修改属性的类型
(1) 当FileInformationClass 是FileStandardInformation 时,输入和输出数据是FILE_STANDARD_INFORMATION结构体,描述文件的标准信息。
typedef struct FILE_STANDARD_INFORMATION {
LARGE_INTEGER AllocationSize; //为文件非配的大小
LARGE_INTEGER EndOfFile; //距离文件结尾还有多少字节
ULONG NumberOfLinks; //有多少要个链接文件
BOOLEAN DeletePending; //是否准备删除
BOOLEAN Directory; //是否为目录
} FILE_STANDARD_INFORMATION, *PFILE_STANDARD_INFORMATION;
(2) 当FileInformationClass 是FileBasicInformation 时,输入和输出数据是FILE_BASIC_INFORMATION结构体,描述文件的基本信息。
typedef struct FILE_BASIC_INFORMATION {
LARGE_INTEGER CreationTime;
LARGE_INTEGER LastAccessTime;
LARGE_INTEGER LastWriteTime;
LARGE_INTEGER ChangeTime;
ULONG FileAttributes; //文件属性
} FILE_BASIC_INFORMATION, *PFILE_BASIC_INFORMATION;
(3) 当FileInformationClass 是FileNameInformation 时,输入和输出数据是FILE_NAME_INFORMATION结构体,描述文件名信息。
typedef struct _FILE_NAME_INFORMATION {
ULONG FileNameLength; //文件名长度
WCHAR FileName[1]; //文件名
} FILE_NAME_INFORMATION, *PFILE_NAME_INFORMATION;
(4) 当FileInformationClass 是FilePositionInformation 时,输入和输出数据是FILE_POSITION_INFORMATION结构体,描述文件指针位置信息。
typedef struct FILE_POSITION_INFORMATION {
LARGE_INTEGER CurrentByteOffset; //代表当期文件指针为止
} FILE_POSITION_INFORMATION, *PFILE_POSITION_INFORMATION;
示例代码:
[cpp] view plaincopy在CODE上查看代码片派生到我的代码片
VOID TetsFile()
{
UNICODE_STRING string;
RtlInitUnicodeString(&string, L"\\??\\C:\\1.log");
OBJECT_ATTRIBUTES objattr;
InitializeObjectAttributes(&objattr, &string, OBJ_CASE_INSENSITIVE, NULL, NULL);
HANDLE hFile;
IO_STATUS_BLOCK iostatus;
//打开文件
NTSTATUS status = ZwCreateFile(&hFile, GENERIC_READ, &objattr, &iostatus, NULL,
FILE_ATTRIBUTE_NORMAL, 0, FILE_OPEN, FILE_SYNCHRONOUS_IO_NONALERT, NULL, 0);
if (!NT_SUCCESS(status))
{
KdPrint(("文件打开失败!\n"));
}
else
{
KdPrint(("文件打开成功!\n"));
FILE_BASIC_INFORMATION fbi;
//查询文件基本信息
status = ZwQueryInformationFile(hFile, &iostatus, &fbi, sizeof(FILE_BASIC_INFORMATION), FileBasicInformation);
if (NT_SUCCESS(status))
{
KdPrint(("查询文件属性成功!\n"));
}
//设置文件只读属性
fbi.FileAttributes |= FILE_ATTRIBUTE_READONLY;
status = ZwSetInformationFile(hFile, &iostatus, &fbi, sizeof(FILE_BASIC_INFORMATION),FileBasicInformation);
if (NT_SUCCESS(status))
{
KdPrint(("设置文件只读属性成功!\n"));
}
//关闭文件句柄
ZwClose(hFile);
}
}
3.文件的写操作
NTSTATUS
ZwWriteFile(
IN HANDLE FileHandle,
IN HANDLE Event OPTIONAL, //一般设为NULL
IN PIO_APC_ROUTINE ApcRoutine OPTIONAL, //一般设为NULL
IN PVOID ApcContext OPTIONAL, //一般设为NULL
OUT PIO_STATUS_BLOCK IoStatusBlock, //记录实际写的字节数
IN PVOID Buffer, //从这个缓冲区中开始往文件里写
IN ULONG Length, //准备写多少字节
IN PLARGE_INTEGER ByteOffset OPTIONAL, //从文件的多少偏移开始写
IN PULONG Key OPTIONAL //一般设为NULL
);
IoStatusBlock:IoStatusBlock.Information记录实际写了多少字节。
示例代码:
[cpp] view plaincopy在CODE上查看代码片派生到我的代码片
#define BUFFER_SIZE 1024
#pragma INITCODE
VOID TetsFile()
{
UNICODE_STRING string;
RtlInitUnicodeString(&string, L"\\??\\C:\\1.log");
OBJECT_ATTRIBUTES objattr;
InitializeObjectAttributes(&objattr, &string, OBJ_CASE_INSENSITIVE, NULL, NULL);
HANDLE hFile;
IO_STATUS_BLOCK iostatus;
//打开文件
NTSTATUS status = ZwCreateFile(&hFile, GENERIC_WRITE, &objattr, &iostatus, NULL,
FILE_ATTRIBUTE_NORMAL, FILE_SHARE_WRITE, FILE_OPEN_IF, FILE_SYNCHRONOUS_IO_NONALERT, NULL, 0);
//分配Buffer空间
PUCHAR pBuffer = (PUCHAR)ExAllocatePool(PagedPool, BUFFER_SIZE);
RtlFillMemory(pBuffer, BUFFER_SIZE, 'A');
//写文件
status = ZwWriteFile(hFile, NULL, NULL, NULL, &iostatus, pBuffer, BUFFER_SIZE, NULL, NULL);
LARGE_INTEGER ByteOffset;
ByteOffset.QuadPart = 1024i64; //设置文件指针偏移
RtlFillMemory(pBuffer, BUFFER_SIZE, 'B');
status = ZwWriteFile(hFile, NULL, NULL, NULL, &iostatus, pBuffer, BUFFER_SIZE, &ByteOffset, NULL);
//关闭文件句柄
ZwClose(hFile);
//释放内存
ExFreePool(pBuffer);
}
4.文件的读操作
NTSTATUS
ZwReadFile(
IN HANDLE FileHandle,
IN HANDLE Event OPTIONAL,
IN PIO_APC_ROUTINE ApcRoutine OPTIONAL,
IN PVOID ApcContext OPTIONAL,
OUT PIO_STATUS_BLOCK IoStatusBlock,
OUT PVOID Buffer,
IN ULONG Length,
IN PLARGE_INTEGER ByteOffset OPTIONAL,
IN PULONG Key OPTIONAL
);
如果需要读取整个文件,那么得知道文件的大小,我们可以用ZwQueryInformationFile来实现。
示例代码:
[cpp] view plaincopy在CODE上查看代码片派生到我的代码片
#pragma INITCODE
VOID TetsFile()
{
UNICODE_STRING string;
RtlInitUnicodeString(&string, L"\\??\\C:\\1.log");
OBJECT_ATTRIBUTES objattr;
InitializeObjectAttributes(&objattr, &string, OBJ_CASE_INSENSITIVE, NULL, NULL);
HANDLE hFile;
IO_STATUS_BLOCK iostatus;
//打开文件
NTSTATUS status = ZwCreateFile(&hFile, GENERIC_READ, &objattr, &iostatus, NULL,
FILE_ATTRIBUTE_NORMAL, FILE_SHARE_READ, FILE_OPEN, FILE_SYNCHRONOUS_IO_NONALERT, NULL, 0);
//获得文件的大小
FILE_STANDARD_INFORMATION fsi;
status = ZwQueryInformationFile(hFile, &iostatus, &fsi, sizeof(FILE_STANDARD_INFORMATION), FileStandardInformation);
//分配Buffer空间
PUCHAR pBuffer = (PUCHAR)ExAllocatePool(PagedPool, (LONG)fsi.EndOfFile.QuadPart);
//读文件
status = ZwReadFile(hFile, NULL, NULL, NULL, &iostatus, pBuffer, (LONG)fsi.EndOfFile.QuadPart, NULL, NULL);
KdPrint(("Read %d bytes\n", iostatus.Information));
//关闭文件句柄
ZwClose(hFile);
//释放内存
ExFreePool(pBuffer);
}
