Как удалить файл из режима ядра?

Question

Как удалить файл из режима ядра?

У меня есть минифильтр (режим ядра). Я хочу удалить файл с определенным путем (\Device\HarddiskVolume1\file.txt или C:\file.txt) из режима ядра

Есть ли способ сделать это?

ОБНОВЛЕНИЕ: 20150130

Я пытаюсь использовать рутину ZwDeleteFile, как сказал Гарри Джонстон. Вот мои коды:

RtlInitUnicodeString(&gRedirectFullFilePath, "\\Device\\HarddiskVolume1\\test.txt"); // This file existed
InitializeObjectAttributes(&ObjectAttribute, &gRedirectFullFilePath, OBJ_CASE_INSENSITIVE, NULL, NULL); 
status = ZwDeleteFile(&ObjectAttribute);

Но это сломало мою систему. Что-то не так с моими кодами? => исправлено (это ответ)

Спасибо!

-1

c windows driver minifilter kernel-mode

Источник

user4311859 29 янв '15 в 10:58

4 ответа

Решение

Использование FltSetInformationFile() функция с FileDispositionInformation учебный класс.

1

Источник

user229410 29 янв '15 в 11:09

Обычными способами невозможно удалить файл из режима ядра, то есть из драйвера устройства.

Такая практика или идея крайне не рекомендуется.

1

Источник

user3171693 29 янв '15 в 11:07

Есть много способов сделать это, как показано в минифильтре DeleteSample от Microsoft.

Флаг FILE_DELETE_ON_CLOSE, который вы можете использовать в выбранной вами подпрограмме CreateFile.
Устанавливая FileDispositionInformation
Также обратите внимание на недавно введенный FILE_DISPOSITION_INFORMATION_EX

Все должно быть более понятно после изучения образца. Также обратите внимание, что вы можете выполнять транзакции, а также удалять файл по его идентификатору.

Удачи.

0

Источник

user1340606 26 янв '18 в 19:38

Другие вопросы по тегам c windows driver minifilter kernel-mode

user886887 29 янв '15 в 21:44 2015-01-29 21:44 · Accepted Answer · 2015-01-29 21:44

Подпрограмма ZwDeleteFile:

Подпрограмма ZwDeleteFile удаляет указанный файл.

3

Источник

user886887 29 янв '15 в 21:44