一. 在驅動中使用文件
在Windows執行體中,通過文件對象來代表文件,該文件對象是一種由對象管理器管理的執行體對象。例如:目錄也是由文件對象代表的。
內核組件通過對象名來引用文件,即在文件的全路徑前面加\DosDevices。(在Windows 2000及后續操作系統中,\??等同于\DosDevices)。例如,文件C:\WINDOWS\example.txt的對象名為\DosDevices\C:\WINDOWS\example.txt。你需要用對象名來打開文件以獲取句柄。
對象名在下面會講述。
使用文件步驟:
- 打開文件返回文件句柄。
- 調用合適的ZwXxxFile 函數以完成對文件的操作。
- 調用ZwClose函數關閉打開的文件句柄。
當打開一個指向文件的文件句柄時,Windows執行體就創建了一個文件對象來代表該文件,同時返回一個代表該對象的文件句柄。因此,對于單個文件來說,會存在多個文件對象的情況。同樣,由于用戶模式的應用程序可能會復制文件句柄,因此,對于同一個文件對象,也會存在多個文件句柄。只有當所有指向一個文件對象的文件句柄都關閉后,Windows執行體才會刪除該文件對象。
二. 對象名
內核模式的對象可以是具名的或者是無名的。對象名是一個Unicode字符串,不管是用戶模式還是內核模式,都可以額用它來引用對象。例如,\KernelObjects\LowMemoryCondition是一個指示在系統中總的可用內存偏低的標準事件對象名稱。
用戶模式和內核模式都利用對象名來打開指向對象的句柄。所有的后續操作都需要用該打開的句柄來完成。
如果對象是無名的,用戶模式的組件無法打開指向該對象的句柄。內核模式則不同,它可以通過指針或句柄來引用無名對象。
具名對象被組織成層狀結構。每個對象的命名同其父對象有關系。每個組件的對象名以反斜杠開頭。例如,\KernelObjects對象是\KernelObjects\LowMemoryCondition對象的父對象。
只有某些類型的對象才擁有子對象。下面列出其中的一部分:
1. 目錄對象。對象管理器利用目錄對象管理對象,例如,\KernelObjects是一個目錄對象,它用來維護標準事件對象。目錄對象不與真實的磁盤目錄相對應。這里,目錄的意思不是普通我們講的文件夾目錄的意思。
2. 磁盤驅動設備對象。這與磁盤文件(含常規目錄)相對應。
3. 代表目錄的文件對象。對應指定目錄下的所有文件,此處的目錄同常規理解的目錄相同。
4. WDM驅動設備對象,具有自己的命名空間,可以用在驅動定義的方式中。
文件具有對象名,其命名與\DosDevices有關。例如,文件C:\Directory\File的對象名為\DosDevices\C:\Directory\File。
下表描述了一組典型的對象名
|
對象名
|
描述
|
|
\DosDevices
|
對象目錄
|
|
\DosDevices\C:
|
代表C盤的設備對象
|
|
\DosDevices\C:\Directory
|
代表名為C:\Director的文件對象
|
|
\DosDevices\C:\Directory\File
|
代表名為C:\Directo\Filer的文件對象
|
驅動可以在指定的對象目錄中創建具名對象
三. 打開指向文件的句柄
按如下步驟來打開指向文件的句柄:
1. 定義各一個OBJECT_ATTRIBUTES結構體變量,然后調用InitializeObjectAttributes函數初始化該變量。關鍵是設置改變量的ObjectName字段為文件對象名。
2. 調用IoCreateFile, ZwCreateFile, 或者 ZwOpenFile,傳遞上面定義的結構體變量,成功就會返回執行該文件的句柄。
注:驅動一般用ZwCreateFile和ZwOpenFile,IoCreateFile很少使用
當調用ZwCreateFile,ZwOpenFile或IoCreateFile時,Windows執行體創建一個代表該文件的新的文件對象,并返回一個指向該對象的句柄。文件對象一直存在,知道你關閉了所有指向它的文件句柄。
四. 使用文件句柄操作文件
下表列出了驅動中常用的利用文件句柄操作文件的函數
|
操作
|
函數
|
|
讀文件
|
ZwReadFile
|
|
寫文件
|
ZwWriteFile
|
|
讀文件熟悉
|
ZwQueryInformationFile
|
|
設置文件熟悉
|
ZwSetInformationFile
|
五. 驅動中使用文件代碼示例
/**//** @file
*Copyright(C): Information Technology Co Ltd., All rights reserved.
*@n
*@n 文件: MyKFile.h
*@n 功能: 處理內核文件的操作
*@n 作者: aurain(zhangqiushui@gmail.com) 2009-12-31
*/
#ifndef __MYKFILE_H__
#define __MYKFILE_H__
#include "debug.h"
/**//**
* 創建或打開文件
* @param lpFileHandle 返回打開的文件句柄指針
* @param usFileName 需要打開的文件路徑,使用對象路徑,如\\??\\c:\test.txt
* @param dwDesiredAccess 申請權限,可以用|(或)組合以下操作
寫文件內容-FILE_WRITE_DATA,設置文件熟悉-FILE_WRITE_ATTRIBUTES,通用寫-GENERIC_WRITE
讀文件內容-FILE_READ_DATA,設置文件熟悉-FILE_READE_ATTRIBUTES,通用寫-GENERIC_READ
刪除文件-DELETE
全部權限-GENERIC_ALL
同步打開文件-SYNCHRONIZE
* @param dwShareAccess 共享方式(是指本代碼打開這個文件時,允許別的代碼同時打開這個文件所具有的權限
可以用|(或)組合以下操作
共享讀-FILE_SHARE_READ
共享寫-FILE_SHARE_WRITE
共享刪除-FILE_SHARE_DELETE
* @param dwCreateDisposition 創建或打開文件的目的
新建文件-FILE_CREATE
打開文件-FILE_OPEN
打開或新建-FILE_OPEN_IF
覆蓋-FILE_OVERWRITE
新建或覆蓋-FILE_OVERWRITE_IF
新建或取代-FILE_SUPERSEDE
* @param dwCreateOptions 打開文件時選項設置
一般用FILE_NOT_DIRECTORY_FILE | FILE_SYNCHRONOUS_IO_NONALERT
* @return 讀取成功: STATUS_SUCCESS;讀取失敗:NTSTATUS error code
*/
__inline
NTSTATUS MyCreateFile(OUT PHANDLE lpFileHandle,
IN PUNICODE_STRING usFileName,
IN ULONG dwDesiredAccess,
IN ULONG dwShareAccess,
IN ULONG dwCreateDisposition,
IN ULONG dwCreateOptions)
{
NTSTATUS ntStatus = STATUS_UNSUCCESSFUL;
OBJECT_ATTRIBUTES oaName;
IO_STATUS_BLOCK iosBlock;
if (lpFileHandle != NULL && usFileName != NULL && usFileName->Buffer != NULL)
{
if (PASSIVE_LEVEL != KeGetCurrentIrql())
{
return ntStatus;
}
InitializeObjectAttributes(&oaName,
usFileName,
OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE,
NULL,
NULL);
ntStatus = ZwCreateFile(lpFileHandle,
dwDesiredAccess,
&oaName,
&iosBlock,
NULL,
FILE_ATTRIBUTE_NORMAL,
dwShareAccess,
dwCreateDisposition,
dwCreateOptions,
NULL,
0);
if (!NT_SUCCESS(ntStatus))
{
DEBUG_ERROR(("[MyCreateFile]ZwCreateFile(%ws)failed with error:%08x\r\n", usFileName->Buffer, ntStatus));
return ntStatus;
}
}
return ntStatus;
}
/**//**
* 關閉打開的文件句柄
* @param hFile 文件句柄
* @return 讀取成功: STATUS_SUCCESS;讀取失敗:NTSTATUS error code
*/
__inline
NTSTATUS MyCloseFile(IN HANDLE hFile)
{
return ZwClose(hFile);
}
/**//**
* 讀取文件內容
* @param hFile 文件句柄
* @param pBuffer 緩沖區
* @param ulBufferSize 緩沖區大小
* @param pulBytesRead 實際讀取的大小
* @return 讀取成功: STATUS_SUCCESS;讀取失敗:NTSTATUS error code
*/
__inline
NTSTATUS MyReadFile(IN HANDLE hFile,
IN PVOID pBuffer,
IN ULONG ulBufferSize,
OUT PULONG pulBytesRead)
{
IO_STATUS_BLOCK iosBlock;
NTSTATUS ntStatus = STATUS_UNSUCCESSFUL;
if (hFile == NULL || pBuffer == NULL)
{
return ntStatus;
}
if( PASSIVE_LEVEL < KeGetCurrentIrql())
{
DEBUG_ERROR(("All kernel file operating functions must running on PASSIVE_LEVEL\r\n"));
return ntStatus;
}
*pulBytesRead = 0;
ntStatus = ZwReadFile(hFile,
NULL,
NULL,
NULL,
&iosBlock,
pBuffer,
ulBufferSize,
NULL,
NULL);
if (NT_SUCCESS(ntStatus))
{
//獲取實際讀取到的大小
*pulBytesRead = (ULONG)iosBlock.Information;
}
else
{
DEBUG_ERROR(("[MyReadFile]ZwReadFile failed with:%08x\r\n", ntStatus));
}
return ntStatus;
}
/**//**
* 向文件寫入內容
* @param hFile 文件句柄
* @param pBuffer 緩沖區
* @param ulBufferSize 緩沖區大小
* @param pulBytesWrite 實際寫入的大小
* @return 讀取成功: STATUS_SUCCESS;讀取失敗:NTSTATUS error code
*/
__inline
NTSTATUS MyWriteFile(IN HANDLE hFile,
IN PVOID pBuffer,
IN ULONG ulBufferSize,
OUT PULONG pulBytesWrite)
{
IO_STATUS_BLOCK iosBlock;
NTSTATUS ntStatus = STATUS_UNSUCCESSFUL;
if (hFile == NULL || pBuffer == NULL)
{
return ntStatus;
}
// All kernel file operating functions must running on PASSIVE_LEVEL
if (PASSIVE_LEVEL != KeGetCurrentIrql())
{
return ntStatus;
}
*pulBytesWrite = 0;
ntStatus = ZwWriteFile(hFile,
NULL,
NULL,
NULL,
&iosBlock,
pBuffer,
ulBufferSize,
NULL,
NULL);
if (NT_SUCCESS(ntStatus))
{
*pulBytesWrite = (ULONG)iosBlock.Information;
}
else
{
DEBUG_ERROR(("[MyWriteFile]ZwWriteFile failed with:%08x\r\n", ntStatus));
}
return ntStatus;
}
#endif
posted on 2009-12-31 15:27
水 閱讀(10247)
評論(1) 編輯 收藏 引用 所屬分類:
windows驅動