0
我想使用文件的现有句柄或使用文件ID来打开文件的备用数据流。我发现的唯一方法是全名(文件名+ ADS名称)。 我担心在操作过程中文件被重命名。从文件句柄或文件ID打开备用数据流(ADS)
有没有办法做到这一点?
A
回答
1
这是很容易做NtOpenFile或NtCreateFile
例如开放现有的ADS上hFile
NTSTATUS OpenADS(PHANDLE FileHandle, ACCESS_MASK DesiredAccess, HANDLE hFile, PCWSTR Name)
{
IO_STATUS_BLOCK iosb;
UNICODE_STRING ObjectName;
RtlInitUnicodeString(&ObjectName, Name);
OBJECT_ATTRIBUTES oa = { sizeof(oa), hFile, &ObjectName };
return NtOpenFile(FileHandle, DesiredAccess, &oa, &iosb, FILE_SHARE_VALID_FLAGS, FILE_SYNCHRONOUS_IO_NONALERT);
}
其中Name像L":test_stream"(与:开始)
+0
谢谢!你知道是否有方法使用文件ID和流名直接打开ADS?我的意思是不使用ID首先打开文件。 – michael
+0
@michael - no。直接通过id和流名称你不能打开流文件。任何使用'FILE_OPEN_BY_FILE_ID'的方法都需要在'OBJECT_ATTRIBUTES'中有一些打开的文件。你问是否可能从文件句柄打开相对 - 是的 - 可能的,我显示代码。有可能通过文件打开文件** it ** id - 是的。但哟反正这里需要一些已经打开的文件。相对通过文件ID和流名称打开 - 不可能 – RbMm
+0
如果我有卷的句柄,如何使用文件ID和流名称打开ADS(无需首先打开文件)? – michael
相关问题
- 1. 使用ADS隐藏可执行文件(备用数据流)
- 2. 打开文件句柄时出错
- 3. File.ReadAllBytes保持文件句柄打开
- 4. 保持文件句柄打开,或根据需要重新打开?
- 5. 使用打开的句柄删除或重命名文件
- 6. 红宝石文件句柄管理(打开的文件太多)
- 7. 打开文件句柄或分配标准输出
- 8. 使用文件句柄获取文件名(或删除文件)
- 9. 无法从变量打开文件句柄
- 10. 如何从Python文件句柄打开.NET FileStream对象?
- 11. 合并XPS文件留下打开的文件句柄以文档引用
- 12. 文件句柄数组
- 13. 查找当前打开的文件句柄数(不是lsof)
- 14. GlassfishESB filebc组件导致太多打开文件句柄
- 15. 在PHP中打开文件句柄的开销成本?
- 16. 可以在打开的文件句柄上使用Linux inotify吗?
- 17. 在skbio中使用TabularMSA打开文件句柄
- 18. 用open打开的返回文件句柄?
- 19. execv调用后打开文件句柄会发生什么? (C++)
- 20. 如何使用C#在文件上打开写入句柄?
- 21. 是否已使用FILE_FLAG_SEQUENTIAL_SCAN标志打开文件句柄?
- 22. ADOX留下的文件句柄开放
- 23. 写文件(句柄)的内容,以不同的文件句柄
- 24. 许多小文件或一个大文件? (或者开放的开销和关闭文件句柄)
- 25. 分配一个C文件句柄C++文件流
- 26. 打开文件流运API
- 27. C++打开文件流
- 28. 从内存流中打开“文件”?
- 29. 很多打开的文件句柄上删除的文件在詹金斯
- 30. 流或文件不打烊
如果匿名数据流(即“file.ext”与“file.ext :: $ DATA”相同)在没有删除共享的情况下打开,则不能在您上重命名,至少不能从用户模式。如果是这种情况,并且您更愿意使用Windows API而不是直接进行系统调用,那么您可以将工作目录设置为该文件的目录并使用相对开放。 Windows在调用'NtCreateFile'时将使用进程工作目录句柄作为['OBJECT_ATTRIBUTES'](https://msdn.microsoft.com/en-us/library/ff557749)中的'RootDirectory'句柄。 – eryksun