在笔者前一篇文章《驱动开发:内核文件读写系列函数》
简单的介绍了内核中如何对文件进行基本的读写操作,本章我们将实现内核下遍历文件或目录这一功能,该功能的实现需要依赖于ZwQueryDirectoryFile
这个内核API函数来实现,该函数可返回给定文件句柄指定的目录中文件的各种信息,此类信息会保存在PFILE_BOTH_DIR_INFORMATION
结构下,通过遍历该目录即可获取到文件的详细参数,如下将具体分析并实现遍历目录功能。
该功能也是ARK工具的最基本功能,如下图是一款通用ARK工具的文件遍历功能的实现效果;
在概述中提到过,目录遍历的核心是ZwQueryDirectoryFile()
系列函数,该函数可返回给定文件句柄指定的目录中文件的各种信息,其微软官方定义如下;
NTSYSAPI NTSTATUS ZwQueryDirectoryFile(
[in] HANDLE FileHandle, // 返回的文件对象的句柄,表示要为其请求信息的目录。
[in, optional] HANDLE Event, // 调用方创建的事件的可选句柄。
[in, optional] PIO_APC_ROUTINE ApcRoutine, // 请求的操作完成时要调用的可选调用方提供的 APC 例程的地址。
[in, optional] PVOID ApcContext, // 如果调用方提供 APC 或 I/O 完成对象与文件对象关联,则为调用方确定的上下文区域的可选指针。
[out] PIO_STATUS_BLOCK IoStatusBlock, // 指向 IO_STATUS_BLOCK 结构的指针,该结构接收最终完成状态和有关操作的信息。
[out] PVOID FileInformation, // 指向接收有关文件的所需信息的输出缓冲区的指针。
[in] ULONG Length, // FileInformation 指向的缓冲区的大小(以字节为单位)。
[in] FILE_INFORMATION_CLASS FileInformationClass, // 要返回的有关目录中文件的信息类型。
[in] BOOLEAN ReturnSingleEntry, // 如果只应返回单个条目,则设置为 TRUE ,否则为 FALSE 。
[in, optional] PUNICODE_STRING FileName, // 文件路径
[in] BOOLEAN RestartScan // 如果扫描是在目录中的第一个条目开始,则设置为 TRUE 。
);
该函数我们需要注意FileInformation
参数,在本例中它被设定为了PFILE_BOTH_DIR_INFORMATION
用于存储当前节点下文件或目录的一些属性,如文件名,文件时间,文件状态等,其次FileInformationClass
参数也是有多种选择的,本例中我们需要遍历文件或目录则设置成FileBothDirectoryInformation
就可以,在循环遍历文件时需要将当前目录.以及上一级目录..排除,而pDir->FileAttributes
则用于判断当前节点是文件还是目录,属性FILE_ATTRIBUTE_DIRECTORY
代表是目录,反之则是文件,实现目录文件遍历完整代码如下所示;
// 署名权
// right to sign one's name on a piece of work
// PowerBy: LyShark
// Email: me@lyshark.com
#include <ntifs.h>
#include <ntstatus.h>
// 遍历文件夹和文件
BOOLEAN MyQueryFileAndFileFolder(UNICODE_STRING ustrPath)
{
HANDLE hFile = NULL;
OBJECT_ATTRIBUTES objectAttributes = { 0 };
IO_STATUS_BLOCK iosb = { 0 };
NTSTATUS status = STATUS_SUCCESS;
// 初始化结构
InitializeObjectAttributes(&objectAttributes, &ustrPath, OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE, NULL, NULL);
// 打开文件得到句柄
status = ZwCreateFile(&hFile, FILE_LIST_DIRECTORY | SYNCHRONIZE | FILE_ANY_ACCESS,
&objectAttributes, &iosb, NULL, FILE_ATTRIBUTE_NORMAL, FILE_SHARE_READ | FILE_SHARE_WRITE,
FILE_OPEN, FILE_DIRECTORY_FILE | FILE_SYNCHRONOUS_IO_NONALERT | FILE_OPEN_FOR_BACKUP_INTENT,
NULL, 0);
if (!NT_SUCCESS(status))
{
return FALSE;
}
// 为节点分配足够的空间
ULONG ulLength = (2 * 4096 + sizeof(FILE_BOTH_DIR_INFORMATION)) * 0x2000;
PFILE_BOTH_DIR_INFORMATION pDir = ExAllocatePool(PagedPool, ulLength);
// 保存pDir的首地址
PFILE_BOTH_DIR_INFORMATION pBeginAddr = pDir;
// 获取信息,返回给定文件句柄指定的目录中文件的各种信息
status = ZwQueryDirectoryFile(hFile, NULL, NULL, NULL, &iosb, pDir, ulLength, FileBothDirectoryInformation, FALSE, NULL, FALSE);
if (!NT_SUCCESS(status))
{
ExFreePool(pDir);
ZwClose(hFile);
return FALSE;
}
// 遍历
UNICODE_STRING ustrTemp;
UNICODE_STRING ustrOne;
UNICODE_STRING ustrTwo;
RtlInitUnicodeString(&ustrOne, L".");
RtlInitUnicodeString(&ustrTwo, L"..");
WCHAR wcFileName[1024] = { 0 };
while (TRUE)
{
// 判断是否是..上级目录或是.本目录
RtlZeroMemory(wcFileName, 1024);
RtlCopyMemory(wcFileName, pDir->FileName, pDir->FileNameLength);
RtlInitUnicodeString(&ustrTemp, wcFileName);
// 是否是.或者是..目录
if ((