Win64 驱动内核编程-5.内核里操作文件】的更多相关文章

Win64 驱动内核编程-5.内核里操作文件

内核里操作文件 RING0 操作文件和 RING3 操作文件在流程上没什么大的区别,也是"获得文件句柄->读/写/删/改->关闭文件句柄"的模式.当然了,只能用内核 API,不能用 WIN32API.在讲解具体的代码之前,先讲解一下文件系统的流程,让大家对整个文件系统有个大概的了解. 假设我们要读写一个文件,无论在 RING3 调用 ReadFile,还是在 RING0 调用 NtReadFile,它们最终会转换为 IRP,发送到 文件系统驱动(具体哪个驱动和分区类型相关,…

Win64 驱动内核编程-7.内核里操作进程

在内核里操作进程 在内核里操作进程,相信是很多对 WINDOWS 内核编程感兴趣的朋友第一个学习的知识点.但在这里,我要让大家失望了,在内核里操作进程没什么特别的,就标准方法而言,还是调用那几个和进程相关的 NATIVE API 而已(当然了,本文所说的进程操作,还包括对线程和 DLL 模块的操作).本文包括 10 个部分:分别是:枚举进程.暂停进程.恢复进程.结束进程.枚举线程.暂停线程.恢复线程.结束线程.枚举 DLL 模块.卸载 DLL 模块. 1.枚举进程.进程就是活动起来的程序.每一个…

Win64 驱动内核编程-6.内核里操作注册表

内核里操作注册表 RING0 操作注册表和 RING3 的区别也不大,同样是"获得句柄->执行操作->关闭句柄"的模式,同样也只能使用内核 API 不能使用 WIN32API.不过内核里有一套 RTL 函数,把 Zw系列的注册表函数进行了封装,也就是说,只剩下"执行操作"这一步了. 接下来说说注册表的本质.注册表其实是文件,它存储在 c:\windows\system32\config 这个目录下(打开目录,看到那几个带锁图标的文件就是.为什么带锁?因为…

Win64 驱动内核编程-4.内核里操作字符串

内核里操作字符串 字符串本质上就是一段内存,之所以和内存使用分开讲,是因为内核里的字符串太有花 样了,细数下来竟然有 4 种字符串!这四种字符串,分别是:CHAR*.WCHAR*.ANSI_STRING.UNICODE_STRING.当然,内核里使用频率最多的是 UNICODE_STRING,其次是 WCHAR*,再次是 CHAR*,而 ANSI_STRING,则几乎没见过有什么内核函数使用. 但其实这四种字符串也不是完全独立的,ANSI_STRING可以看成是CHAR*的安全性扩展,UNICO…

Win64 驱动内核编程-3.内核里使用内存

内核里使用内存 内存使用,无非就是申请.复制.设置.释放.在 C 语言里,它们对应的函数是:malloc.memcpy.memset.free:在内核编程里,他们分别对应 ExAllocatePool.RtlMoveMemory. RtlFillMemory.ExFreePool.它们的原型分别是: 需要注意的是,RtlFillMemory 和 memset 的原型不同.ExAllocatePool 和 malloc 的原型也不同.前者只是参数前后调换了一下位置,但是后者则多了一个参数:Pool…

Win64 驱动内核编程-8.内核里的其他常用

内核里的其他常用 1.遍历链表.内核里有很多数据结构,但它们并不是孤立的,内核使用双向链表把它们像糖 葫芦一样给串了起来.所以遍历双向链表能获得很多重要的内核数据.举个简单的例子,驱 动对象 DriverObject 就是使用双向链表给串起来的,遍历这个链表就可以枚举内核里所有的驱动.示例代码如下 //传入驱动自身的 DriverObject VOID EnumDriver(PDRIVER_OBJECT pDriverObject) { PKLDR_DATA_TABLE_ENTRY entry…

destruct析构函数里操作文件出现的问题

这几天要给后台加一个记录操作日志的功能,可是项目已经开发完了不可能再去改以前的代码了,那有什么快捷的方法呢? 项目使用的ThinkPHP3.23 ,为了方便权限控制,后台控制器结构为:普通控制器 extends  pubController  ,pubController extends Controller. 所以,可不可以在pubController 里用__destruct 析构函数 记录日志呢? 大家都知道,析构函数会在到某个对象的所有引用都被删除或者当对象被显式销毁时执行. 所以应该没…

IO编程(2)-操作文件和目录

操作文件和目录 如果我们要操作文件.目录,可以在命令行下面输入操作系统提供的各种命令来完成.比如dir.cp等命令. 如果要在Python程序中执行这些目录和文件的操作怎么办?其实操作系统提供的命令只是简单地调用了操作系统提供的接口函数,Python内置的os模块也可以直接调用操作系统提供的接口函数. 打开Python交互式命令行,我们来看看如何使用os模块的基本功能: >>> import os >>> os.name # 操作系统名字 'posix' 如果是posi…

bash编程 将一个目录里所有文件存为一个array 并分割为三等分——利用bash array切片

files=(a b c d e f g h i j k l m n o p)cnt="${#files[@]}"let cnt1="($cnt+2)/3"let cnt2="$cnt1*2"let cnt3="$cnt-$cnt2"files_part1=( "${files[@]:0:$cnt1}" )files_part2=( "${files[@]:$cnt1:$cnt1}" )…

WIN64内核编程-的基础知识

WIN64内核编程基础班(作者:胡文亮)   https://www.dbgpro.com/x64driver 我们先从一份"简历"说起: 姓名:X86或80x86 性别:? 出生年月:1978 出生地点:美国 所属公司:主要是INTEL和AMD 主要历史(摘自维基百科):x86架构于1978年推出的Intel 8086中央处理器中首度出 现,它是从Intel 8008处理器中发展而来的,而8008则是发展自Intel 4004的.8086 在三年后为IBM PC所选用,之后x86便成…