小默

在網上看到了北極星2003寫的這篇文章，代碼寫的很好，注釋也很清楚，方便了我這個大菜鳥的學習，對他的無私奉獻非常非常感謝。

強制刪除文件的思路就是，把SECTION_OBJECT_POINTERS結構的DataSectionObject和ImageSectionObject兩個域清空即可刪除正在運行的文件。如果不清空就不能刪除運行中的文件。正在運行的文件的這兩個域值不為0而文件系統正在根據這兩個域決定該文件是否可以刪除。如果文件系統檢測這兩個值為0，就理解為文件沒有被使用，可以刪除。接下去，就是直接發IRP,初始化IRP,設置IRP堆棧信息，設置完成例程，派發IRP。

一、獲得文件內核句柄

RtlInitUnicodeString ( &FileName, L” \\DosDevices\\C:\\test.exe” ) ;

InitializeObjectAttributes ( &objectAttributes, &FileName,\

OBJ_KERNEL_HANDLE|OBJ_CASE_INSENSITIVE, \

NULL, NULL ) ;  

ntStatus = IoCreateFile ( &hFile,FILE_READ_ATTRIBUTES, &objectAttributes, &ioStatus, \

              0,FILE_ATTRIBUTE_NORMAL,FILE_SHARE_DELETE,FILE_OPEN,0,NULL,0,\

CreateFileTypeNone,NULL, IO_NO_PARAMETER_CHECKING);

打開文件應該傳入這個文件的路徑。但是實際上這個函數IoCreateFile并不直接接受一個字符串。使用者必須首先填寫一個OBJECT_ATTRIBUTES 結構。

用到一個宏：InitializeObjectAttributes用來初始化對象屬性

我們是對c:\test.exe，這是個固定的文件了，屬性應該也固定了，為什么還要初始化屬性呢？

其實這里的初始化屬性，主要是為了包含文件的對象路徑，然后在指明該代碼對該文件的一些要求，如獲得內核句柄，不區分文件名的大小寫，而不是對文件的操作。即將FileName,OBJ_KERNEL_HANDLE|OBJ_CASE_INSENSITIVE，全放入objectAttributes這個結構中。

typedef struct _OBJECT_ATTRIBUTES {

    ULONG Length;

    HANDLE RootDirectory;

    PUNICODE_STRING ObjectName;

    ULONG Attributes;

    PVOID SecurityDescriptor;

    PVOID SecurityQualityOfService;

} OBJECT_ATTRIBUTES, *POBJECT_ATTRIBUTES;

要說明2點：

1、objectAttributes結構中的ObjectName要求的是對象的路徑名，因此不能寫成c:\test,

c:是一個符號鏈接對象，內核模式下，符號鏈接要寫成\\??\\C:或者\\DosDevices\\C:

因此對象路徑名為：\\DosDevices\\C:\\test.exe或\\??\\C:\\test.exe

2、InitializeObjectAttributes 只需要填寫OBJ_CASE_INSENSITIVE| OBJ_KERNEL_HANDLE即可

OBJ_CASE_INSENSITIVE意味著名字字符串是 不區分大小寫的

OBJ_KERNEL_HANDLE表明打開的文件句柄一個“內核句柄”

二、發送IRP去除文件的只讀屬性

對文件的任何操作，最終都是通過IRP請求，然后文件系統驅動對該IRP進行處理，完成對文件的指定操作。

驅動程序，則可以自己創建IRP，初始化IRP,設置IRP堆棧信息，設置完成例程，派發IRP。這里我們采用的就是這種方法。

三、發送IRP刪除文件