NTSTATUS status;

	UNICODE_STRING strFileSrc = RTL_CONSTANT_STRING(L"\\??\\C:\\网络调试工具.exe");//几十kb

	UNICODE_STRING strFileDest = RTL_CONSTANT_STRING(L"\\??\\C:\\网络调试工具1.exe");

	UNICODE_STRING strSectionName = RTL_CONSTANT_STRING(L"\\MySection");//可以是符号连接的方法,也可以用\\MySection,如果不加\\会报错

	HANDLE hFileSrc = NULL;

	HANDLE hFileDest = NULL;

	OBJECT_ATTRIBUTES oaSrc;

	OBJECT_ATTRIBUTES oaDest;

	OBJECT_ATTRIBUTES oaSection;

	IO_STATUS_BLOCK iosb;

	FILE_NETWORK_OPEN_INFORMATION fnoi;

	HANDLE hSection = NULL;

	PVOID pAddress = NULL;

	SIZE_T viewsize = 0;

	LARGE_INTEGER li_Section;

	LARGE_INTEGER li_Offset;

	LARGE_INTEGER li_WriteOffset;

	InitializeObjectAttributes(&oaSrc, &strFileSrc, OBJ_KERNEL_HANDLE, NULL, NULL);

	InitializeObjectAttributes(&oaDest, &strFileDest, OBJ_KERNEL_HANDLE, NULL, NULL);

	InitializeObjectAttributes(&oaSection, &strSectionName, OBJ_KERNEL_HANDLE, NULL, NULL);

	status = ZwCreateFile(&hFileSrc, GENERIC_READ, &oaSrc, &iosb, NULL, FILE_ATTRIBUTE_NORMAL, 0, FILE_OPEN, FILE_NON_DIRECTORY_FILE, NULL, 0);

	if (!NT_SUCCESS(status)){

		ZwClose(hFileSrc);

		KdPrint(("hFileSrc: ZwCreateFile failed with error %I32X", status));

		return status;

	}

	status = ZwQueryFullAttributesFile(&oaSrc, &fnoi);

	if (!NT_SUCCESS(status)){

		ZwClose(hFileSrc);

		ZwClose(hSection);

		KdPrint(("ZwQueryFullAttributesFile failed with error %I32X", status));

		return status;

	}

	KdPrint(("文件大小:%I64d", fnoi.AllocationSize.QuadPart));

	li_Section.QuadPart = fnoi.AllocationSize.QuadPart;

	status = ZwCreateSection(&hSection, SECTION_MAP_READ | SECTION_MAP_WRITE, &oaSection, &li_Section, PAGE_READWRITE, SEC_RESERVE, hFileSrc);//只分配在虚拟内存中,不提交到物理内存.参考VirtualAlloc

	if (!NT_SUCCESS(status)){

		ZwClose(hFileSrc);

		ZwClose(hSection);

		KdPrint(("ZwCreateSection failed with error %I32X", status));

		return status;

	}

	li_Offset.QuadPart = 0;

	status = ZwMapViewOfSection(hSection,

								ZwCurrentProcess(),

								&pAddress,//BaseAddress 如果不为NULL,则分配在指定的位置,有可能失败

								0,//为NULL,表示可以分配在虚拟内存的任意位置,请参考windows核心编程里面的VirtualAlloc

								(ULONG)li_Section.LowPart,//文件大小

								&li_Offset,//从文件的那里开始映射,从其实位置开始映射,则li_Offset.QuadPart = 0;

								&viewsize,//对于小文件,SectionOffset 和 ViewSize 都为0

								ViewUnmap,

								MEM_RESERVE | MEM_LARGE_PAGES ,

								PAGE_READWRITE);

	if (!NT_SUCCESS(status)){

		ZwClose(hFileSrc);

		ZwClose(hSection);

		ZwClose(hFileDest);

		ZwUnmapViewOfSection(hSection, pAddress);

		KdPrint(("ZwMapViewOfSection failed with error %I32X", status));

		return status;

	}

	status = ZwCreateFile(&hFileDest,

							GENERIC_READ | GENERIC_WRITE,

							&oaDest,

							&iosb,

							&li_Section,//要创建的文件大小

							FILE_ATTRIBUTE_NORMAL,

							0,

							FILE_CREATE,

							FILE_NON_DIRECTORY_FILE,

							NULL,

							0);

	if (!NT_SUCCESS(status)){

		ZwClose(hFileSrc);

		ZwClose(hSection);

		ZwClose(hFileDest);

		KdPrint(("hFileDest: ZwCreateFile failed with error %I32X", status));

		return status;

	}

	li_WriteOffset.QuadPart = 0;

	ZwWriteFile(hFileDest, NULL, NULL, NULL, &iosb, pAddress, viewsize, &li_WriteOffset, NULL);//参数ByteOffset为0表示从其实地址开始写数据,适用于小文件

	ZwUnmapViewOfSection(ZwCurrentProcess(), pAddress);

	ZwClose(hSection);

	ZwClose(hFileDest);

	ZwClose(hFileSrc);

	return STATUS_SUCCESS;

版权声明:本文为博主原创文章,未经博主允许不得转载。

windows driver 映射小文件的更多相关文章

  1. windows driver 映射大文件

    //如果要做到掉电后仍然可以继续向下操作,可以记录文件的位置重新映射 NTSTATUS status; UNICODE_STRING strFileSrc = RTL_CONSTANT_STRING( ...

  2. 分享CCNTFS小工具,在 macOS 中完全读写、修改、访问Windows NTFS硬盘的文件,无须额外的驱动(原生驱动)更稳定,简单设置即可高速传输外接NTFS硬盘文件

    CCNTFS [ 下载 ] 在 macOS 中完全读写.修改.访问Windows NTFS硬盘的文件,无须额外的驱动(原生驱动)更稳定,安装后进行简单设置即可高速传输外接NTFS硬盘文件,可全程离线使 ...

  3. windows内存映射学习及帮助类实现

    本文通过创建文件内存映射类,学习windows内存映射相关知识:创建内存映射文件后,可以按照内存操作方式操作文件:支持32位程序处理超过4G大小的文件. 感谢http://blog.csdn.net/ ...

  4. Hadoop对小文件的解决方式

    小文件指的是那些size比HDFS的block size(默认64M)小的多的文件.不论什么一个文件,文件夹和block,在HDFS中都会被表示为一个object存储在namenode的内存中, 每一 ...

  5. 如何利用Hadoop存储小文件

    **************************************************************************************************** ...

  6. 驱动开发利器Microsoft Windows Driver Kit 7.1.0下载

    在Windows 2000 与Windows XP 系统采用是WINDDK来开发WINDOWS驱动程序,我手头也有WINDDK,可是从Windows Vista开始之后,一般采用Microsoft W ...

  7. 海量小文件存储与Ceph实践

    海量小文件存储(简称LOSF,lots of small files)出现后,就一直是业界的难题,众多博文(如[1])对此问题进行了阐述与分析,许多互联网公司也针对自己的具体场景研发了自己的存储方案( ...

  8. hadoop小文件合并

    1.背景 在实际项目中,输入数据往往是由许多小文件组成,这里的小文件是指小于HDFS系统Block大小的文件(默认128M), 然而每一个存储在HDFS中的文件.目录和块都映射为一个对象,存储在Nam ...

  9. [转载]解析WINDOWS中的DLL文件---经典DLL解读

    [转载]解析WINDOWS中的DLL文件---经典DLL解读 在Windows世界中,有无数块活动的大陆,它们都有一个共同的名字——动态链接库.现在就走进这些神奇的活动大陆,找出它们隐藏已久的秘密吧! ...

随机推荐

  1. Linux oracle 服务器清理缓存

    清理服务器缓存 echo 1 >/proc/sys/vm/drop_cachesecho 2 >/proc/sys/vm/drop_cachesecho 3 >/proc/sys/v ...

  2. Ajax--数据格式

    1.从服务端接收数据的时候,那些数据必须以浏览器能够理解的格式来发送,服务器端的编程语言智能以如下三种格式返回数据:1)XML; 2)JSON; 3)HTML; 2.解析HTML: --HTML由一些 ...

  3. 104、Java中String类之使用indexOf()等功能查找

    01.代码如下: package TIANPAN; /** * 此处为文档注释 * * @author 田攀 微信382477247 */ public class TestDemo { public ...

  4. 12541:TNS无监听状态

    上次在项目上遇见数据库报这个问题,然后网上几乎都是让重新进行配置数据库.配置多次之后还是无效,最后找到了问题的根源. 使用的是Oracle数据库,用PLSQL登录报的这个错误. 在计算机全局搜索:li ...

  5. CVE-2019-0708—微软RDP远程桌面代码执行漏洞复现

    0x01 2019年9月7日凌晨,msf上更新了0708的漏洞利用程序. 顿时安全群和朋友圈就爆炸了 - 奈何接到HW攻击队任务,又在家过了个中秋,0708才在今天更新. 0x02 环境 Window ...

  6. 牛客周赛11TG B-弹钢琴

    链接:https://ac.nowcoder.com/acm/contest/941/B来源:牛客网 题目描述 春希想听和纱弹钢琴! 为了阻止异变的发生,Pi将钢琴魔改了 钢琴上有 N 个键,每个键有 ...

  7. (转)如何判断VPS是基于哪种虚拟技术?Xen、OpenVZ、Xen HVM、KVM还是VMware

    对于VPS新手来说,怕被无良的奸商给忽悠,下的Xen的却给的OpenVZ的,如何来判断自己买的VPS是那种虚拟技术的,下面VPS侦探整理一些常见的方法. 1.通过系统上的相关目录或文件判断 执行:ls ...

  8. Vue父组件向子组件传值

    父组件向子组件传值 组件实例定义方式,注意:一定要使用props属性来定义父组件传递过来的数据 <script> // 创建 Vue 实例,得到 ViewModel var vm = ne ...

  9. validate表单验证-单独验证

    今天编写一个表单验证程序,我来说一下今天遇到的坑:程序不是通过submit按钮提交验证的,是在自己写的一个方法中提交的,出现了表单无法验证的情况.然后我就了解了一下jquery validate的验证 ...

  10. mysql 结果排序入门