当前位置：GHOST系统之家>电脑问题 > 网络安全编程：内核下文件读写函数

网络安全编程：内核下文件读写函数

来源：Ghost系统之家浏览：时间：2022-10-24 13:49:01

文件读写程序分为4个函数，分别是DriverUnload()、DriverEntry()、CreateFileTest()和OpenFileTest()。这4个函数的功能非常明确，DriverUnload()是一个卸载例程，DriverEntry()是驱动程序的入口，CreateFileTest()是用来新建文件的，OpenFileTest()是用来打开已建立文件并进行读写的函数。

1. 文件的创建、打开与关闭

对于文件的创建或打开，在内核驱动中都是通过内核函数ZwCreateFile()进行操作的。和Win32API类似，会通过参数接收返回的文件句柄。它的返回值是一个操作是否成功的状态码。ZwCreateFile()函数的定义如下：

参数介绍如下。

FileHandle：用来接收创建文件后的文件句柄。

DesiredAccess： 打开文件操作的描述，读或写，一般指定为 GENERIC_READ 或 GENERIC_WRITE；该参数和CreateFile()函数中的参数相同。

ObjectAttributes： 指向 OBJECT_ATTRIBUTES 结构体的指针，该结构体包含要创建或打开的文件名。

IoStatusBlock： 指向 IO_STATUS_BLOCK 结构体的指针，该结构体用于接收操作结果的状态。

AllocationSize： 该参数指向一个 64 位的整数，用于文件初始化分配时的大小。

FileAttributes： 通常为 FILE_ATTRIBUTE_NORMAL，该参数和 CreateFile()函数中的参数相同。

ShareAccess： 指定文件的共享方式，可以指定为 FILE_SHARE_READ、FILE_SHARE_WRITE 或FILE_SHARE_DELETE，该参数和 CreateFile()函数中的参数相同。

CreateDisposition： 描述本次调用 ZwCreateFile()函数的意图，可以指定为FILE_CREATE、FILE_OPEN、FILE_OPEN_IF 等。

CreateOptions： 通常指定为 FILE_SYNCHRONOUS_IO_NONALERT，表示文件是同步操作，比如在写入文件时，调用ZwWriteFile()函数，在 ZwWriteFile()调用返回时，文件写操作已经完成。

EaBuffer： 该参数表示一个指针，指向可选的扩展属性区，一般为 NULL。

EaLength： 该参数表示扩展属性区的长度，一般为 0。

ZwCreateFile()函数的第 3 个参数是一个指向 OBJECT_ATTRIBUTES 的结构体，该结构体的定义如下：

该结构体通常不需要用户逐个进行初始化，而是使用InitializeObjectAttributes()函数进行初始化，该函数的定义如下：

从InitializeObjectAttributes()函数的定义可以看出，其参数与OBJECT_ATTRIBUTES结构体的成员变量相同。InitializeObjectAttributes()函数的参数说明如下。

InitializeAttributes： 指向 OBJECT_ATTRIBUTES 结构体的指针。

ObjectName： 对象名称，用 UNICODE_STRING 描述，对于 ZwCreateFile()函数而言，该处指定为文件名。

Attributes： 一般设置为 OBJ_CASE_INSENSITIVE，意味着名字字符串不区分大小写。

RootDirectory： 一般设置为 NULL。

SecurityDescriptor： 用于设置安全描述符，一般设置为 NULL。

ObjectName 必须使用 UNICODE_STRING 类型进行描述，UNICODE_STRING是内核对宽字符串封装的一种数据结构，该结构体的定义如下：

结构体成员说明如下。

Length： 字符串的参数，单位是字节，如果是 N 个字符，那幺 Length 的值为 N 个字符的 2 倍。

MaximumLength：整个字符缓冲区的最大长度，单位是字节。

Buffer：缓冲区的指针。

对于 UNICODE_STRING 类型的字符串，通过 KdPrint()也可以进行调试输出，输出的方式类似如下：

UNICODE_STRING类型的字符串在使用前需要进行初始化，初始化的方法有两种：一种是使用内核函数RtlInitUnicodeString()进行初始化，另一种方式是自行申请内存空间来进行初始化。通常情况下都是用第1种方法。RtlInitUnicodeString()函数的定义如下：

参数说明如下。

DestinationString： 要初始化的 UNICODE_STRING 字符串的指针。

SourceString：字符串的内容。

在为InitializeObjectAttributes()函数传递第2个参数时，需要指定的文件名是一个符号链接。在应用层下，描述一个文件的完整路径是“c:\a.txt”；而在内核下，描述的方式为“\??\c:\a.txt”。符号链接在内核模式下以“\??\”（或者是“\DosDevices\”）开头；在用户模式下使用符号链接，则以“\\.\”开头。

上面介绍的ZwCreateFile()函数不但可以创建文件，还可以打开文件。但是由于它的参数过于繁多，因此内核函数中专门提供了一个用于进行文件打开的函数ZwOpenFile()，其定义如下：

ZwOpenFile()函数相当于一个只用来打开文件的精简版的ZwCreateFile()函数，其各参数使用方法与ZwCreateFile()函数相同，这里不重复介绍。

文件句柄的关闭使用内核函数ZwClose()，其定义如下：

该函数只包含一个参数，即被打开文件的句柄。该函数除了可以关闭文件句柄以外，还可以关闭其它类型资源的句柄，比如注册表句柄等。

2. 文件的相关操作

文件相关的操作主要介绍4个内核函数，分别是ZwReadFile()、ZwWriteFile()、ZwQueryInformationFile()和ZwSetInformationFile()。例子代码中实现了对文件的读写操作，判断打开的文件是否为目录，获取文件的长度和设置文件的指针。

首先来看ZwQueryInformationFile()和ZwSetInformationFile()两个函数的定义。ZwQueryInformationFile()函数的定义如下：

参数说明如下。

FileHandle：被打开的文件句柄。

IoStatusBlock：返回设置的状态。

FileInformation： 依据 FileInformationClass 的不同而不同。

Length： FileInformation 数据的长度。

FileInformationClass：描述需获取的属性类型。

ZwSetInformationFile()函数的定义如下：

ZwSetInformationFile()函数的参数与 ZwQueryInformationFile()函数的参数几乎相同，但是两个函数的第 3个参数稍有差别，差别在于对 ZwQueryInformationFile()来说是一个输出参数，对于ZwSetInformationFile()来说是一个输入参数。这里一定要注意。

对于ZwQueryInformationFile()和ZwSetInformationFile()这两个函数来说，第5个参数决定了要读取或设置的属性的类型，第3个参数根据第5个参数来接受或传递相应的值。

两个函数的第5个参数的常用值有3种类型，分别是FileStandardInformation、FileBasicInformation和FilePositionInformation。每种类型分别又对应不同的结构体，这些结构体则是被ZwQueryInformationFile()和ZwSetInformationFile()函数的第3个参数所用。

FileStandardInformation对应的结构体定义如下：

FileBasicInformation对应的结构体定义如下：

FilePositionInformation对应的结构体定义如下：

明白了第3个参数和第5个参数以后，就可以清楚第4个参数的取值了，该取值是第3个参数的大小。

上面的结构体中大量使用了LARGE_INTEGER的数据类型，它其实是一个联合体。LARGE_INTEGER的定义如下：

该结构体主要是用来表示64位的整数类型，通常使用其QuadPart成员。

ZwReadFile()函数的定义如下：

参数说明如下。

FileHandle：打开文件的句柄。

Event： 用于异步完成读取时，一般设置为 NULL。

ApcRoutine： 回调例程，用于异步完成读取时，一般设置为 NULL。

ApcContext： 一般设置为 NULL。