强制解锁文件

强制解锁因其他进程占用而无法删除的文件。

1.调用 ZwQuerySystemInformation 的 16 功能号来枚举系统里的句柄

2.打开拥有此句柄的进程并把此句柄复制到自己的进程

3.用 ZwQueryObject 查询句柄的类型和名称

4.如果 发现此句柄的类型是文件句柄, 名称和被锁定的文件一致,就关闭此句柄

5.重复 2、3、4 步,直到遍历完系统里所有的句柄

第4步中因为是要解锁其他进程占用的文件所以有如下细节:

1.用 KeStackAttachProcess“依附”到目标进程

2.用 ObSetHandleAttributes 设置句柄为“可以关闭”

3.用 ZwClose 关闭句柄

4.用 KeUnstackDetachProcess 脱离“依附”目标进程

以下代码适用于Win7  X64,如果想支持全系统,请对应调教。

#include <ntddk.h>

#define kprintf	DbgPrint

#define kmalloc(_s)	ExAllocatePoolWithTag(NonPagedPool, _s, 'SYSQ')

#define kfree(_p)	ExFreePool(_p)

typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO{

USHORT	UniqueProcessId;

USHORT	CreatorBackTraceIndex;

UCHAR	ObjectTypeIndex;

UCHAR	HandleAttributes;

USHORT	HandleValue;

PVOID	Object;

ULONG	GrantedAccess;

} SYSTEM_HANDLE_TABLE_ENTRY_INFO, *PSYSTEM_HANDLE_TABLE_ENTRY_INFO;

typedef struct _SYSTEM_HANDLE_INFORMATION {

    ULONG64 NumberOfHandles;

SYSTEM_HANDLE_TABLE_ENTRY_INFO Handles[1];

} SYSTEM_HANDLE_INFORMATION, *PSYSTEM_HANDLE_INFORMATION;

NTSYSAPI

NTSTATUS

NTAPI

ZwQueryObject

(

HANDLE	Handle,

ULONG	ObjectInformationClass,

PVOID	ObjectInformation,

ULONG	ObjectInformationLength,

PULONG	ReturnLength OPTIONAL

);

NTSYSAPI

NTSTATUS

NTAPI

ZwQuerySystemInformation

(

ULONG	SystemInformationClass,

PVOID	SystemInformation,

ULONG	SystemInformationLength,

PULONG	ReturnLength

);

NTSYSAPI

NTSTATUS

NTAPI

ZwDuplicateObject

(

HANDLE	SourceProcessHandle,

HANDLE	SourceHandle,

HANDLE	TargetProcessHandle OPTIONAL,

PHANDLE 	TargetHandle OPTIONAL,

ACCESS_MASK	DesiredAccess,

ULONG	HandleAttributes,

ULONG	Options

);

NTSYSAPI

NTSTATUS

NTAPI

ZwOpenProcess

(

PHANDLE	ProcessHandle,

ACCESS_MASK	AccessMask,

POBJECT_ATTRIBUTES	ObjectAttributes,

PCLIENT_ID	ClientId

);

typedef enum _OBJECT_INFORMATION_CLASS {

    ObjectBasicInformation,

    ObjectNameInformation,

    ObjectTypeInformation,

    ObjectAllInformation,

    ObjectDataInformation

} OBJECT_INFORMATION_CLASS, *POBJECT_INFORMATION_CLASS;

typedef struct _OBJECT_BASIC_INFORMATION {

  ULONG                   Attributes;

  ACCESS_MASK             DesiredAccess;

  ULONG                   HandleCount;

  ULONG                   ReferenceCount;

  ULONG                   PagedPoolUsage;

  ULONG                   NonPagedPoolUsage;

  ULONG                   Reserved[3];

  ULONG                   NameInformationLength;

  ULONG                   TypeInformationLength;

  ULONG                   SecurityDescriptorLength;

  LARGE_INTEGER           CreationTime;

} OBJECT_BASIC_INFORMATION, *POBJECT_BASIC_INFORMATION;

/*typedef struct _OBJECT_NAME_INFORMATION {

  UNICODE_STRING          Name;

  WCHAR                   NameBuffer[0];

} OBJECT_NAME_INFORMATION, *POBJECT_NAME_INFORMATION;*/

typedef struct _OBJECT_TYPE_INFORMATION {

  UNICODE_STRING          TypeName;

  ULONG                   TotalNumberOfHandles;

  ULONG                   TotalNumberOfObjects;

  WCHAR                   Unused1[8];

  ULONG                   HighWaterNumberOfHandles;

  ULONG                   HighWaterNumberOfObjects;

  WCHAR                   Unused2[8];

  ACCESS_MASK             InvalidAttributes;

  GENERIC_MAPPING         GenericMapping;

  ACCESS_MASK             ValidAttributes;

  BOOLEAN                 SecurityRequired;

  BOOLEAN                 MaintainHandleCount;

  USHORT                  MaintainTypeList;

  POOL_TYPE               PoolType;

  ULONG                   DefaultPagedPoolCharge;

  ULONG                   DefaultNonPagedPoolCharge;

} OBJECT_TYPE_INFORMATION, *POBJECT_TYPE_INFORMATION;

typedef struct _KAPC_STATE

{

LIST_ENTRY ApcListHead[2];

PVOID Process;

BOOLEAN KernelApcInProgress;

BOOLEAN KernelApcPending;

BOOLEAN UserApcPending;

}KAPC_STATE, *PKAPC_STATE;

typedef struct _OBJECT_HANDLE_FLAG_INFORMATION{

BOOLEAN Inherit;

BOOLEAN ProtectFromClose;

}OBJECT_HANDLE_FLAG_INFORMATION, *POBJECT_HANDLE_FLAG_INFORMATION;

NTKERNELAPI

NTSTATUS

ObSetHandleAttributes (HANDLE Handle, POBJECT_HANDLE_FLAG_INFORMATION HandleFlags, KPROCESSOR_MODE PreviousMode);

NTKERNELAPI

VOID

KeStackAttachProcess(PEPROCESS PROCESS, PKAPC_STATE ApcState);

NTKERNELAPI

VOID

KeUnstackDetachProcess(PKAPC_STATE ApcState);

NTKERNELAPI

NTSTATUS

PsLookupProcessByProcessId (IN HANDLE ProcessId,OUT PEPROCESS *Process);

PEPROCESS LookupProcess(HANDLE Pid)

{

PEPROCESS eprocess=NULL;

if( NT_SUCCESS(PsLookupProcessByProcessId(Pid, &eprocess)) )

return eprocess;

else

return NULL;

}

VOID UnicodeStringToCharArray(PUNICODE_STRING dst, char *src)

{

ANSI_STRING string;

if( dst->Length>260 ) return;

RtlUnicodeStringToAnsiString(&string,dst, TRUE);

strcpy(src,string.Buffer);

RtlFreeAnsiString(&string);

}

VOID ForceCloseHandle(PEPROCESS Process, ULONG64 HandleValue)

{

HANDLE h;

KAPC_STATE ks;

OBJECT_HANDLE_FLAG_INFORMATION ohfi;

if( Process==NULL )

return;

if( !MmIsAddressValid(Process) )

return;

KeStackAttachProcess(Process, &ks);

h=(HANDLE)HandleValue;

ohfi.Inherit=0;

ohfi.ProtectFromClose=0;

ObSetHandleAttributes(h, &ohfi, KernelMode);

ZwClose(h);

KeUnstackDetachProcess(&ks);

}

VOID CloseFileHandle(char *szFileName)

{

PVOID Buffer;

ULONG BufferSize = 0x20000, rtl=0;

NTSTATUS Status, qost=0;

NTSTATUS ns = STATUS_SUCCESS;

ULONG64 i=0;

ULONG64 qwHandleCount;

SYSTEM_HANDLE_TABLE_ENTRY_INFO *p;

    OBJECT_BASIC_INFORMATION BasicInfo;

    POBJECT_NAME_INFORMATION pNameInfo;

    ULONG ulProcessID;

    HANDLE hProcess;

    HANDLE hHandle;

    HANDLE hDupObj;

CLIENT_ID cid;

OBJECT_ATTRIBUTES oa;

CHAR szFile[260]={0};

Buffer=kmalloc(BufferSize);

memset(Buffer,0,BufferSize);

Status = ZwQuerySystemInformation(16, Buffer, BufferSize, 0);	//SystemHandleInformation

while(Status == 0xC0000004)	//STATUS_INFO_LENGTH_MISMATCH

{

kfree(Buffer);

BufferSize = BufferSize * 2;

Buffer=kmalloc(BufferSize);

memset(Buffer,0,BufferSize);

Status = ZwQuerySystemInformation(16, Buffer, BufferSize, 0);

}

if (!NT_SUCCESS(Status)) return;

qwHandleCount=((SYSTEM_HANDLE_INFORMATION *)Buffer)->NumberOfHandles;

p=(SYSTEM_HANDLE_TABLE_ENTRY_INFO *)((SYSTEM_HANDLE_INFORMATION *)Buffer)->Handles;

//ENUM HANDLE PROC

for(i=0;i<qwHandleCount;i++)

{

ulProcessID = (ULONG)p[i].UniqueProcessId;

cid.UniqueProcess = (HANDLE)ulProcessID;

cid.UniqueThread = (HANDLE)0;

hHandle = (HANDLE)p[i].HandleValue;

InitializeObjectAttributes( &oa ,NULL ,0 ,NULL ,NULL );

ns = ZwOpenProcess( &hProcess ,PROCESS_DUP_HANDLE ,&oa ,&cid );

if ( !NT_SUCCESS( ns ) )

{

KdPrint(( "ZwOpenProcess : Fail " ));

continue;

}

ns = ZwDuplicateObject( hProcess ,hHandle ,NtCurrentProcess() ,&hDupObj , PROCESS_ALL_ACCESS ,0 ,DUPLICATE_SAME_ACCESS );

if ( !NT_SUCCESS( ns ) )

{

KdPrint(( "ZwDuplicateObject : Fail " ));

continue;

}

//get basic information

ZwQueryObject( hDupObj ,ObjectBasicInformation ,&BasicInfo , sizeof( OBJECT_BASIC_INFORMATION ) ,NULL );

//get name information

pNameInfo = ExAllocatePoolWithTag( PagedPool ,1024 ,'ONON');

RtlZeroMemory( pNameInfo ,1024 );

qost=ZwQueryObject( hDupObj, ObjectNameInformation, pNameInfo, 1024, &rtl );

//get information and close handle

UnicodeStringToCharArray(&(pNameInfo->Name),szFile);

ExFreePool( pNameInfo );

ZwClose(hDupObj);

ZwClose(hProcess);

//if(!_stricmp(szFile,szFileName))

if(strstr(_strlwr(szFile),szFileName))

{

PEPROCESS ep=LookupProcess((HANDLE)(p[i].UniqueProcessId));

ForceCloseHandle(ep,p[i].HandleValue);

ObDereferenceObject(ep);

}

}

}

执行结果:

之前:

启动驱动之后可以成功删除因为其他进程占用而导致的文件无法删除。

宋孖健,13

Win64 驱动内核编程-29.强制解锁文件的更多相关文章

  1. Win64 驱动内核编程-3.内核里使用内存

    内核里使用内存 内存使用,无非就是申请.复制.设置.释放.在 C 语言里,它们对应的函数是:malloc.memcpy.memset.free:在内核编程里,他们分别对应 ExAllocatePool ...

  2. Win64 驱动内核编程-2.基本框架(安装.通讯.HelloWorld)

    驱动安装,通讯,Hello World 开发驱动的简单流程是这样,开发驱动安装程序,开发驱动程序,然后安装程序(或者其他程序)通过通讯给驱动传命令,驱动接到之后进行解析并且执行,然后把执行结果返回. ...

  3. Win64 驱动内核编程-8.内核里的其他常用

    内核里的其他常用 1.遍历链表.内核里有很多数据结构,但它们并不是孤立的,内核使用双向链表把它们像糖 葫芦一样给串了起来.所以遍历双向链表能获得很多重要的内核数据.举个简单的例子,驱 动对象 Driv ...

  4. Win64 驱动内核编程-7.内核里操作进程

    在内核里操作进程 在内核里操作进程,相信是很多对 WINDOWS 内核编程感兴趣的朋友第一个学习的知识点.但在这里,我要让大家失望了,在内核里操作进程没什么特别的,就标准方法而言,还是调用那几个和进程 ...

  5. Win64 驱动内核编程-18.SSDT

    SSDT 学习资料:http://blog.csdn.net/zfdyq0/article/details/26515019 学习资料:WIN64内核编程基础 胡文亮 SSDT(系统服务描述表),刚开 ...

  6. Win64 驱动内核编程-5.内核里操作文件

    内核里操作文件 RING0 操作文件和 RING3 操作文件在流程上没什么大的区别,也是"获得文件句柄->读/写/删/改->关闭文件句柄"的模式.当然了,只能用内核 A ...

  7. Win64 驱动内核编程-14.回调监控文件

    回调监控文件 使用 ObRegisterCallbacks 实现保护进程,其实稍微 PATCH 下内核,这个函数还能实现文件操作监视.但可惜只能在 WIN7X64 上用.因为在 WIN7X64 上 P ...

  8. Win64 驱动内核编程-10.突破WIN7的PatchGuard

    突破WIN7的PatchGuard WIN64 有两个内核保护机制,KPP 和 DSE.KPP 阻止我们 PATCH 内核,DSE 拦截我们加载驱动.当然 KPP 和 DSE 并不是不可战胜的,WIN ...

  9. Win64 驱动内核编程-23.Ring0 InLineHook 和UnHook

    Ring0 InLineHook 和UnHook 如果是要在R0里hook,作者的建议是InLine HOOK,毕竟SSDT HOOK 和 SHADOW SSDT HOOK比较麻烦,不好修改.目前R3 ...

随机推荐

  1. django框架如何解决跨域问题

    跨域问题的由来 由于浏览器具有同源策略的限制. 限制:在发送Ajax请求时,如果当前浏览器的URL是a.com,页面中向b.com发送Ajax请求,请求可以正常访问,但数据回到浏览器时,浏览器会阻止. ...

  2. js输入框只能输入数字

    1.只允许输入数字 <input type="text"  onkeyup="this.value=this.value.replace(/\D/g,'')&quo ...

  3. Django之cookie 与session组件

    一.会话跟踪技术 1.1 什么是会话跟踪 我们需要先了解一下什么是会话!可以把会话理解为客户端与服务器之间的一次会晤,在一次会晤中可能会包含多次请求和响应.例如你给10086打个电话,你就是客户端,而 ...

  4. 解决linux sudo apt-get install xx是2出现无法定位软件包方法

    解决办法: 在etc/apt/sources.list最后一行添加 deb http://archive.ubuntu.com/ubuntu/ trusty main universe restric ...

  5. 19. 一文搞懂 Go Modules 前世今生及入门使用

    Hi,大家好. 我是明哥,在自己学习 Golang 的这段时间里,我写了详细的学习笔记放在我的个人微信公众号 <Go编程时光>,对于 Go 语言,我也算是个初学者,因此写的东西应该会比较适 ...

  6. 周期串(JAVA语言)

    package 第三章习题; /*  * 如果一个字符可以由某个长度为k的字符串重复多次得到,则称该串以k为周期.  * 例如:abcabcabcabc 以3为周期(注意:它也以6和12为周期)  * ...

  7. D8016 “/ZI”和“/Gy-”命令行选项不兼容

    老版本vs项目升级到vs2017后遇到编译报错: /ZI选项在: /Gy- 选项在: 修改'/ZI'选项为'无' 或者 '/Gy-' 修改为'/Gy'

  8. 攻防世界 reverser secret-galaxy-300

    secret-galaxy-300 school-ctf-winter-2015 运行程序 完全没有flag的身影呀 ida查看字符串 也没有相关信息 动态调试,看运行后内存信息 发现了一串字符 al ...

  9. 【java框架】SpringBoot(5)--SpringBoot整合分布式Dubbo+Zookeeper

    1.理论概述 1.1.分布式 分布式系统是若干独立计算机的集合,这些计算机对于用户来讲就像单个系统. 由多个系统集成成一个整体,提供多个功能,组合成一个板块,用户在使用上看起来是一个服务.(比如淘宝网 ...

  10. Android Studio之圆形按钮设计

    •效果展示图 •实现方法 点击 app/src/main/res 找到 drawable 文件夹,右击->New->Drawable Resource File. 创建一个 $drawab ...