在網(wǎng)上看到了北極星2003寫的這篇文章,代碼寫的很好,注釋也很清楚,方便了我這個(gè)大菜鳥的學(xué)習(xí),對(duì)他的無私奉獻(xiàn)非常非常感謝。
強(qiáng)制刪除文件的思路就是,把SECTION_OBJECT_POINTERS結(jié)構(gòu)的DataSectionObject和ImageSectionObject兩個(gè)域清空即可刪除正在運(yùn)行的文件。如果不清空就不能刪除運(yùn)行中的文件。正在運(yùn)行的文件的這兩個(gè)域值不為0而文件系統(tǒng)正在根據(jù)這兩個(gè)域決定該文件是否可以刪除。如果文件系統(tǒng)檢測(cè)這兩個(gè)值為0,就理解為文件沒有被使用,可以刪除。接下去,就是直接發(fā)IRP,初始化IRP,設(shè)置IRP堆棧信息,設(shè)置完成例程,派發(fā)IRP。
一、獲得文件內(nèi)核句柄
RtlInitUnicodeString ( &FileName, L” \\DosDevices\\C:\\test.exe” ) ;
InitializeObjectAttributes ( &objectAttributes, &FileName,\
OBJ_KERNEL_HANDLE|OBJ_CASE_INSENSITIVE, \
NULL, NULL ) ;
ntStatus = IoCreateFile ( &hFile,FILE_READ_ATTRIBUTES, &objectAttributes, &ioStatus, \
0,FILE_ATTRIBUTE_NORMAL,FILE_SHARE_DELETE,FILE_OPEN,0,NULL,0,\
CreateFileTypeNone,NULL, IO_NO_PARAMETER_CHECKING);
打開文件應(yīng)該傳入這個(gè)文件的路徑。但是實(shí)際上這個(gè)函數(shù)IoCreateFile并不直接接受一個(gè)字符串。使用者必須首先填寫一個(gè)OBJECT_ATTRIBUTES 結(jié)構(gòu)。
用到一個(gè)宏:InitializeObjectAttributes用來初始化對(duì)象屬性
我們是對(duì)c:\test.exe,這是個(gè)固定的文件了,屬性應(yīng)該也固定了,為什么還要初始化屬性呢?
其實(shí)這里的初始化屬性,主要是為了包含文件的對(duì)象路徑,然后在指明該代碼對(duì)該文件的一些要求,如獲得內(nèi)核句柄,不區(qū)分文件名的大小寫,而不是對(duì)文件的操作。即將FileName,OBJ_KERNEL_HANDLE|OBJ_CASE_INSENSITIVE,全放入objectAttributes這個(gè)結(jié)構(gòu)中。
typedef struct _OBJECT_ATTRIBUTES {
ULONG Length;
HANDLE RootDirectory;
PUNICODE_STRING ObjectName;
ULONG Attributes;
PVOID SecurityDescriptor;
PVOID SecurityQualityOfService;
} OBJECT_ATTRIBUTES, *POBJECT_ATTRIBUTES;
要說明2點(diǎn):
1、objectAttributes結(jié)構(gòu)中的ObjectName要求的是對(duì)象的路徑名,因此不能寫成c:\test,
c:是一個(gè)符號(hào)鏈接對(duì)象,內(nèi)核模式下,符號(hào)鏈接要寫成\\??\\C:或者\\DosDevices\\C:
因此對(duì)象路徑名為:\\DosDevices\\C:\\test.exe或\\??\\C:\\test.exe
2、InitializeObjectAttributes 只需要填寫OBJ_CASE_INSENSITIVE| OBJ_KERNEL_HANDLE即可
OBJ_CASE_INSENSITIVE意味著名字字符串是 不區(qū)分大小寫的
OBJ_KERNEL_HANDLE表明打開的文件句柄一個(gè)“內(nèi)核句柄”
二、發(fā)送IRP去除文件的只讀屬性
對(duì)文件的任何操作,最終都是通過IRP請(qǐng)求,然后文件系統(tǒng)驅(qū)動(dòng)對(duì)該IRP進(jìn)行處理,完成對(duì)文件的指定操作。
驅(qū)動(dòng)程序,則可以自己創(chuàng)建IRP,初始化IRP,設(shè)置IRP堆棧信息,設(shè)置完成例程,派發(fā)IRP。這里我們采用的就是這種方法。
三、發(fā)送IRP刪除文件
Windows API中的DeleteFile實(shí)現(xiàn)文件刪除功能的內(nèi)部實(shí)現(xiàn):
DeleteFile 通過 IRP_MJ_SET_INFORMATION請(qǐng)求的IRP,并且將pIrpStack->Parameters.SetFile.FileInformationClass設(shè)為FileDispositionInformation且((PFILE_DISPOSITION_INFORMATION)Irp->AssociatedIrp.SystemBuffer)->DeleteFile設(shè)為TRUE來達(dá)到刪除文件。
所以我們有:
FILE_DISPOSITION_INFORMATION FileInformation;
FileInformation.DeleteFile = TRUE;
// 初始化IRP
Irp->AssociatedIrp.SystemBuffer = &FileInformation;
…
// 設(shè)置IRP堆棧
irpSp->Parameters.SetFile.FileInformationClass = FileDispositionInformation;
…
由上,我們可以刪除這個(gè)文件,但是如果文件在運(yùn)行,則不能刪除,需要加上如下代碼:
// 如果沒有這4行,就無法刪除正在運(yùn)行的文件
PSECTION_OBJECT_POINTERS pSectionObjectPointer;
pSectionObjectPointer = fileObject->SectionObjectPointer;
pSectionObjectPointer->ImageSectionObject = 0;
pSectionObjectPointer->DataSectionObject = 0;
對(duì)于如何創(chuàng)建IRP,初始化IRP,設(shè)置IRP堆棧信息,設(shè)置完成例程,派發(fā)IRP,這里先不寫了,等再整理整理后再寫吧。