在内核模式下读取文件

Question

我正在构建一个驱动程序，我想读取一些文件。 有没有办法使用“ZwReadFile()”或类似的函数来读取 逐行查看文件的内容，以便我可以循环处理它们。

MSDN 中的文档指出：- ZwReadFile 开始从给定的 ByteOffset 或当前文件位置读取到给定的缓冲区。它在下列条件之一下终止读取操作：

1. 由于已读取 Length 参数指定的字节数，因此缓冲区已满。因此，在没有溢出的情况下，不能将更多数据放入缓冲区。
2. 在读取操作期间到达文件末尾，因此文件中没有更多数据要传输到缓冲区中。

谢谢。

Answer 1

不，没有。您必须创建一个包装器才能实现您想要的。

但是，鉴于内核模式代码有可能导致系统崩溃而不是其运行的进程崩溃，您必须确保诸如用户模式中已知的长行等问题不会导致问题。

如果数据量（并且将保持）低于注册表值可以保存的阈值，则您应该使用它。特别是 REG_MULTI_SZ ，它具有您正在寻找的属性（“逐行”数据存储）。

Answer 2

在这种情况下，除非性能至关重要（例如“实时”），否则我会将过滤传递给用户模式服务或应用程序。将文件名发送给应用程序进行处理。用户模式应用程序更容易测试和调试。它也不会蓝屏或挂起您的盒子。