强制解锁文件

强制解锁因其他进程占用而无法删除的文件。

1.调用 ZwQuerySystemInformation 的 16 功能号来枚举系统里的句柄

2.打开拥有此句柄的进程并把此句柄复制到自己的进程

3.用 ZwQueryObject 查询句柄的类型和名称

4.如果 发现此句柄的类型是文件句柄, 名称和被锁定的文件一致,就关闭此句柄

5.重复 2、3、4 步,直到遍历完系统里所有的句柄

第4步中因为是要解锁其他进程占用的文件所以有如下细节:

1.用 KeStackAttachProcess“依附”到目标进程

2.用 ObSetHandleAttributes 设置句柄为“可以关闭”

3.用 ZwClose 关闭句柄

4.用 KeUnstackDetachProcess 脱离“依附”目标进程

以下代码适用于Win7  X64,如果想支持全系统,请对应调教。

#include <ntddk.h>

#define kprintf	DbgPrint

#define kmalloc(_s)	ExAllocatePoolWithTag(NonPagedPool, _s, 'SYSQ')

#define kfree(_p)	ExFreePool(_p)

typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO{

USHORT	UniqueProcessId;

USHORT	CreatorBackTraceIndex;

UCHAR	ObjectTypeIndex;

UCHAR	HandleAttributes;

USHORT	HandleValue;

PVOID	Object;

ULONG	GrantedAccess;

} SYSTEM_HANDLE_TABLE_ENTRY_INFO, *PSYSTEM_HANDLE_TABLE_ENTRY_INFO;

typedef struct _SYSTEM_HANDLE_INFORMATION {

    ULONG64 NumberOfHandles;

SYSTEM_HANDLE_TABLE_ENTRY_INFO Handles[1];

} SYSTEM_HANDLE_INFORMATION, *PSYSTEM_HANDLE_INFORMATION;

NTSYSAPI

NTSTATUS

NTAPI

ZwQueryObject

(

HANDLE	Handle,

ULONG	ObjectInformationClass,

PVOID	ObjectInformation,

ULONG	ObjectInformationLength,

PULONG	ReturnLength OPTIONAL

);

NTSYSAPI

NTSTATUS

NTAPI

ZwQuerySystemInformation

(

ULONG	SystemInformationClass,

PVOID	SystemInformation,

ULONG	SystemInformationLength,

PULONG	ReturnLength

);

NTSYSAPI

NTSTATUS

NTAPI

ZwDuplicateObject

(

HANDLE	SourceProcessHandle,

HANDLE	SourceHandle,

HANDLE	TargetProcessHandle OPTIONAL,

PHANDLE 	TargetHandle OPTIONAL,

ACCESS_MASK	DesiredAccess,

ULONG	HandleAttributes,

ULONG	Options

);

NTSYSAPI

NTSTATUS

NTAPI

ZwOpenProcess

(

PHANDLE	ProcessHandle,

ACCESS_MASK	AccessMask,

POBJECT_ATTRIBUTES	ObjectAttributes,

PCLIENT_ID	ClientId

);

typedef enum _OBJECT_INFORMATION_CLASS {

    ObjectBasicInformation,

    ObjectNameInformation,

    ObjectTypeInformation,

    ObjectAllInformation,

    ObjectDataInformation

} OBJECT_INFORMATION_CLASS, *POBJECT_INFORMATION_CLASS;

typedef struct _OBJECT_BASIC_INFORMATION {

  ULONG                   Attributes;

  ACCESS_MASK             DesiredAccess;

  ULONG                   HandleCount;

  ULONG                   ReferenceCount;

  ULONG                   PagedPoolUsage;

  ULONG                   NonPagedPoolUsage;

  ULONG                   Reserved[3];

  ULONG                   NameInformationLength;

  ULONG                   TypeInformationLength;

  ULONG                   SecurityDescriptorLength;

  LARGE_INTEGER           CreationTime;

} OBJECT_BASIC_INFORMATION, *POBJECT_BASIC_INFORMATION;

/*typedef struct _OBJECT_NAME_INFORMATION {

  UNICODE_STRING          Name;

  WCHAR                   NameBuffer[0];

} OBJECT_NAME_INFORMATION, *POBJECT_NAME_INFORMATION;*/

typedef struct _OBJECT_TYPE_INFORMATION {

  UNICODE_STRING          TypeName;

  ULONG                   TotalNumberOfHandles;

  ULONG                   TotalNumberOfObjects;

  WCHAR                   Unused1[8];

  ULONG                   HighWaterNumberOfHandles;

  ULONG                   HighWaterNumberOfObjects;

  WCHAR                   Unused2[8];

  ACCESS_MASK             InvalidAttributes;

  GENERIC_MAPPING         GenericMapping;

  ACCESS_MASK             ValidAttributes;

  BOOLEAN                 SecurityRequired;

  BOOLEAN                 MaintainHandleCount;

  USHORT                  MaintainTypeList;

  POOL_TYPE               PoolType;

  ULONG                   DefaultPagedPoolCharge;

  ULONG                   DefaultNonPagedPoolCharge;

} OBJECT_TYPE_INFORMATION, *POBJECT_TYPE_INFORMATION;

typedef struct _KAPC_STATE

{

LIST_ENTRY ApcListHead[2];

PVOID Process;

BOOLEAN KernelApcInProgress;

BOOLEAN KernelApcPending;

BOOLEAN UserApcPending;

}KAPC_STATE, *PKAPC_STATE;

typedef struct _OBJECT_HANDLE_FLAG_INFORMATION{

BOOLEAN Inherit;

BOOLEAN ProtectFromClose;

}OBJECT_HANDLE_FLAG_INFORMATION, *POBJECT_HANDLE_FLAG_INFORMATION;

NTKERNELAPI

NTSTATUS

ObSetHandleAttributes (HANDLE Handle, POBJECT_HANDLE_FLAG_INFORMATION HandleFlags, KPROCESSOR_MODE PreviousMode);

NTKERNELAPI

VOID

KeStackAttachProcess(PEPROCESS PROCESS, PKAPC_STATE ApcState);

NTKERNELAPI

VOID

KeUnstackDetachProcess(PKAPC_STATE ApcState);

NTKERNELAPI

NTSTATUS

PsLookupProcessByProcessId (IN HANDLE ProcessId,OUT PEPROCESS *Process);

PEPROCESS LookupProcess(HANDLE Pid)

{

PEPROCESS eprocess=NULL;

if( NT_SUCCESS(PsLookupProcessByProcessId(Pid, &eprocess)) )

return eprocess;

else

return NULL;

}

VOID UnicodeStringToCharArray(PUNICODE_STRING dst, char *src)

{

ANSI_STRING string;

if( dst->Length>260 ) return;

RtlUnicodeStringToAnsiString(&string,dst, TRUE);

strcpy(src,string.Buffer);

RtlFreeAnsiString(&string);

}

VOID ForceCloseHandle(PEPROCESS Process, ULONG64 HandleValue)

{

HANDLE h;

KAPC_STATE ks;

OBJECT_HANDLE_FLAG_INFORMATION ohfi;

if( Process==NULL )

return;

if( !MmIsAddressValid(Process) )

return;

KeStackAttachProcess(Process, &ks);

h=(HANDLE)HandleValue;

ohfi.Inherit=0;

ohfi.ProtectFromClose=0;

ObSetHandleAttributes(h, &ohfi, KernelMode);

ZwClose(h);

KeUnstackDetachProcess(&ks);

}

VOID CloseFileHandle(char *szFileName)

{

PVOID Buffer;

ULONG BufferSize = 0x20000, rtl=0;

NTSTATUS Status, qost=0;

NTSTATUS ns = STATUS_SUCCESS;

ULONG64 i=0;

ULONG64 qwHandleCount;

SYSTEM_HANDLE_TABLE_ENTRY_INFO *p;

    OBJECT_BASIC_INFORMATION BasicInfo;

    POBJECT_NAME_INFORMATION pNameInfo;

    ULONG ulProcessID;

    HANDLE hProcess;

    HANDLE hHandle;

    HANDLE hDupObj;

CLIENT_ID cid;

OBJECT_ATTRIBUTES oa;

CHAR szFile[260]={0};

Buffer=kmalloc(BufferSize);

memset(Buffer,0,BufferSize);

Status = ZwQuerySystemInformation(16, Buffer, BufferSize, 0);	//SystemHandleInformation

while(Status == 0xC0000004)	//STATUS_INFO_LENGTH_MISMATCH

{

kfree(Buffer);

BufferSize = BufferSize * 2;

Buffer=kmalloc(BufferSize);

memset(Buffer,0,BufferSize);

Status = ZwQuerySystemInformation(16, Buffer, BufferSize, 0);

}

if (!NT_SUCCESS(Status)) return;

qwHandleCount=((SYSTEM_HANDLE_INFORMATION *)Buffer)->NumberOfHandles;

p=(SYSTEM_HANDLE_TABLE_ENTRY_INFO *)((SYSTEM_HANDLE_INFORMATION *)Buffer)->Handles;

//ENUM HANDLE PROC

for(i=0;i<qwHandleCount;i++)

{

ulProcessID = (ULONG)p[i].UniqueProcessId;

cid.UniqueProcess = (HANDLE)ulProcessID;

cid.UniqueThread = (HANDLE)0;

hHandle = (HANDLE)p[i].HandleValue;

InitializeObjectAttributes( &oa ,NULL ,0 ,NULL ,NULL );

ns = ZwOpenProcess( &hProcess ,PROCESS_DUP_HANDLE ,&oa ,&cid );

if ( !NT_SUCCESS( ns ) )

{

KdPrint(( "ZwOpenProcess : Fail " ));

continue;

}

ns = ZwDuplicateObject( hProcess ,hHandle ,NtCurrentProcess() ,&hDupObj , PROCESS_ALL_ACCESS ,0 ,DUPLICATE_SAME_ACCESS );

if ( !NT_SUCCESS( ns ) )

{

KdPrint(( "ZwDuplicateObject : Fail " ));

continue;

}

//get basic information

ZwQueryObject( hDupObj ,ObjectBasicInformation ,&BasicInfo , sizeof( OBJECT_BASIC_INFORMATION ) ,NULL );

//get name information

pNameInfo = ExAllocatePoolWithTag( PagedPool ,1024 ,'ONON');

RtlZeroMemory( pNameInfo ,1024 );

qost=ZwQueryObject( hDupObj, ObjectNameInformation, pNameInfo, 1024, &rtl );

//get information and close handle

UnicodeStringToCharArray(&(pNameInfo->Name),szFile);

ExFreePool( pNameInfo );

ZwClose(hDupObj);

ZwClose(hProcess);

//if(!_stricmp(szFile,szFileName))

if(strstr(_strlwr(szFile),szFileName))

{

PEPROCESS ep=LookupProcess((HANDLE)(p[i].UniqueProcessId));

ForceCloseHandle(ep,p[i].HandleValue);

ObDereferenceObject(ep);

}

}

}

执行结果:

之前:

启动驱动之后可以成功删除因为其他进程占用而导致的文件无法删除。

宋孖健,13

Win64 驱动内核编程-29.强制解锁文件的更多相关文章

  1. Win64 驱动内核编程-3.内核里使用内存

    内核里使用内存 内存使用,无非就是申请.复制.设置.释放.在 C 语言里,它们对应的函数是:malloc.memcpy.memset.free:在内核编程里,他们分别对应 ExAllocatePool ...

  2. Win64 驱动内核编程-2.基本框架(安装.通讯.HelloWorld)

    驱动安装,通讯,Hello World 开发驱动的简单流程是这样,开发驱动安装程序,开发驱动程序,然后安装程序(或者其他程序)通过通讯给驱动传命令,驱动接到之后进行解析并且执行,然后把执行结果返回. ...

  3. Win64 驱动内核编程-8.内核里的其他常用

    内核里的其他常用 1.遍历链表.内核里有很多数据结构,但它们并不是孤立的,内核使用双向链表把它们像糖 葫芦一样给串了起来.所以遍历双向链表能获得很多重要的内核数据.举个简单的例子,驱 动对象 Driv ...

  4. Win64 驱动内核编程-7.内核里操作进程

    在内核里操作进程 在内核里操作进程,相信是很多对 WINDOWS 内核编程感兴趣的朋友第一个学习的知识点.但在这里,我要让大家失望了,在内核里操作进程没什么特别的,就标准方法而言,还是调用那几个和进程 ...

  5. Win64 驱动内核编程-18.SSDT

    SSDT 学习资料:http://blog.csdn.net/zfdyq0/article/details/26515019 学习资料:WIN64内核编程基础 胡文亮 SSDT(系统服务描述表),刚开 ...

  6. Win64 驱动内核编程-5.内核里操作文件

    内核里操作文件 RING0 操作文件和 RING3 操作文件在流程上没什么大的区别,也是"获得文件句柄->读/写/删/改->关闭文件句柄"的模式.当然了,只能用内核 A ...

  7. Win64 驱动内核编程-14.回调监控文件

    回调监控文件 使用 ObRegisterCallbacks 实现保护进程,其实稍微 PATCH 下内核,这个函数还能实现文件操作监视.但可惜只能在 WIN7X64 上用.因为在 WIN7X64 上 P ...

  8. Win64 驱动内核编程-10.突破WIN7的PatchGuard

    突破WIN7的PatchGuard WIN64 有两个内核保护机制,KPP 和 DSE.KPP 阻止我们 PATCH 内核,DSE 拦截我们加载驱动.当然 KPP 和 DSE 并不是不可战胜的,WIN ...

  9. Win64 驱动内核编程-23.Ring0 InLineHook 和UnHook

    Ring0 InLineHook 和UnHook 如果是要在R0里hook,作者的建议是InLine HOOK,毕竟SSDT HOOK 和 SHADOW SSDT HOOK比较麻烦,不好修改.目前R3 ...

随机推荐

  1. AtCoder Beginner Contest 194

    A I Scream int main() { IOS; int a, b; cin >> a >> b; if(a + b >= 15 && b > ...

  2. 前端笔记:React的form表单全部置空或者某个操作框置空的做法

    1.全部置空的做法,一般在弹出框关闭后,需要重置该form所有表单: this.props.form.resetFields(); 2.针对某个操作框置空的做法 例如,form表单里有一个部门和一个张 ...

  3. spring事务:事务控制方式,使用AOP控制事务,七种事务传播行为,声明事务,模板对象,模板对象原理分析

    知识点梳理 课堂讲义 1)事务回顾 1.1)什么是事务-视频01 事务可以看做是一次大的活动,它由不同的小活动组成,这些活动要么全部成功,要么全部失败. 1.2)事务的作用 事务特征(ACID) 原子 ...

  4. vue 弹窗禁止底层滚动

    原因:底层视图高度超出百分百,加入弹窗后再苹果浏览器隐藏上下栏的情况下遮罩层没有完全遮住底层. 处理:打开弹窗后禁止底层滚动调用stop事件,关闭则开启底层滚动调用move事件. let mo=fun ...

  5. Git修改用户名、邮箱和密码

    $ git config --global --replace-all user.name "要修改的用户名" $ git config --global --replace-al ...

  6. 【linux】制作deb包方法 **

    目录 前言 概念 ** 创建自己的deb包 文件源码 前言 制作deb的方式很多 使用 dpkg-deb 方式 使用 checkinstall 方式 使用 dh_make 方式 修改原有的 deb 包 ...

  7. Android Studio 报错:你的主机中的软件中止了一个已建立的连接

    •解决方案 关闭电脑的移动热点 关闭后,build 就不会报错了. 等 build 好了后,重新打开移动热点,再次 build 一就不会报错.

  8. 写个小程序01 | 注册微信小程序

    出于兴趣和学习目的,我想自己做一个基于"子弹笔记(Bullet Journal)"的小程序.由于个人开发经验很有限,只在课程作业中写过 web 前端,所以也不知道多久能写出来(逃) ...

  9. SpingCloud Alibaba实战(1:微服务与SpringCloud Alibaba)

    1.什么是微服务? 微服务可谓是这几年比较热门的技术,从2017开始逐渐爆火,逐渐大大小小的公司纷纷将微服务技术引入并在实际业务中落地. 微服务的概念最早是在2014年由Martin Fowler和J ...

  10. Prometheus联邦

    联邦使得一个 Prometheus 服务器可以从另一个 Prometheus 服务器提取选定的时序. 1. 使用场景 Prometheus 联邦有不同的使用场景.通常,联邦被用来实现可扩展的 Prom ...