ring3 hook ntdll!NtCreateSection,为什么获取的ObjectAttributes经常无效

MagicFuzzX 2012-05-10 04:18:24 


NTSTATUS __stdcall Fake_NtCreateSection(

                    OUT PHANDLE SectionHandle,

                    IN ULONG DesiredAccess,

                    IN POBJECT_ATTRIBUTES ObjectAttributes OPTIONAL,

                    IN PLARGE_INTEGER MaximumSize OPTIONAL,

                    IN ULONG PageAttributes,

                    IN ULONG SectionAttributes,

                    IN HANDLE FileHandle OPTIONAL)

{



  NTSTATUS status;



  status =  NtCreateSection(SectionHandle,DesiredAccess,ObjectAttributes,MaximumSize,PageAttributes,SectionAttributes,FileHandle);

  if (STATUS_SUCCESS != status)

  {

    return status;

  }

  if (SectionHandle == NULL)

  {

    return STATUS_ACCESS_VIOLATION;

  }

  WCHAR szFilePath[MAX_NAME] = {0};

  GetPath(ObjectAttributes,szFilePath);

  DbgPrint("%s: [%s] Enter! %S \n",__MYNAME__,__FUNCTION__,szFilePath);

  return status;

}


调用GetPath的时候,发现ObjectAttributes经常无效,也就是一堆???,那么就无法取得section的名字了,如何解决啊
BOOL GetPath(IN POBJECT_ATTRIBUTES ObjectAttributes,OUT WCHAR* strPath)
{
//ObjectAttributes结构体经常无效???
if (NULL == ObjectAttributes->RootDirectory && NULL == ObjectAttributes->ObjectName)
{
return FALSE;
}

if (NULL != ObjectAttributes->RootDirectory)
{
if (STATUS_SUCCESS != GetFullPathByHandle(ObjectAttributes->RootDirectory, strPath))
{
return FALSE;
}
}
if (NULL != ObjectAttributes && NULL != ObjectAttributes->ObjectName && ObjectAttributes->ObjectName->Length > 0)
{
lstrcatW(strPath,L"\\");
lstrcatW(strPath,ObjectAttributes->ObjectName->Buffer);
}
return TRUE;
}

NTSTATUS GetFullPathByHandle(IN HANDLE ObjectHandle,OUT WCHAR* strFullPath)
{

NTSTATUS status;
BOOL bRet = FALSE;
POBJECT_NAME_INFORMATION pNameInfo = NULL;

while (true)
{
ULONG uResultLength = 0;
pNameInfo = (POBJECT_NAME_INFORMATION)HeapAlloc(GetProcessHeap(), HEAP_ZERO_MEMORY, 0x200);

status = NtQueryObject(ObjectHandle, ObjectNameInformation, pNameInfo, 0x200, &uResultLength);
if (STATUS_INFO_LENGTH_MISMATCH == status ||
STATUS_BUFFER_OVERFLOW == status ||
STATUS_BUFFER_TOO_SMALL == status)
{
pNameInfo = (POBJECT_NAME_INFORMATION)HeapReAlloc(GetProcessHeap(), HEAP_ZERO_MEMORY, pNameInfo, 0x100);
continue;
}
else if (STATUS_SUCCESS == status)
{
lstrcpyW(strFullPath,pNameInfo->Name.Buffer);
break;
}
else
{
break;
}

}

if (NULL != pNameInfo )
{
HeapFree(GetProcessHeap(),0,pNameInfo);
pNameInfo = NULL;
}
return status;
}
...全文
146 4 打赏 收藏 转发到动态 举报
写回复
用AI写文章
4 条回复
切换为时间正序
请发表友善的回复…
发表回复
Good_Boy_SY 2012-05-11
  • 打赏
  • 举报
 回复
木有名字啊。。。亲~
Lactoferrin 2012-05-10
  • 打赏
  • 举报
 回复
没名字你怎么取
MagicFuzzX 2012-05-10
  • 打赏
  • 举报
 回复
[Quote=引用 1 楼 的回复:]

本来就经常没名字
[/Quote]

ring3下如何取路径呢,ring0的那些ob*都不能用啊~
Lactoferrin 2012-05-10
  • 打赏
  • 举报
 回复
本来就经常没名字
易语言使用hook逆向技术实现WX常用功能操作专题课程
本课程主要是讲解了WX的PC版中使用hook技术来达到目前一些流行需求的目的。主要用的工具是ce,od,易语言,本课程只做技术分享交流,请勿用于非法用途。
HOOK技术
什么是HOOK? 用自己写的函数替换目标的函数,以后系统调用目标函数的时候就会调用我们自己的函数,就可以在自己的函数去监控程序执行的逻辑,进行参数的检查,过滤等,进一步拦截、修改、放行。 HOOK发生的在...
SSDT Hook
看看大概的调用情况 ...当 Kernel32.dll 中的 API 通过 Ntdll.dll 时,会完成参数的检查再调用一个中断(int 2Eh 或者 SysEnter 指令),从而实现从 Ring3 进入 Ring0 层 并且将所要调用的服务号(也就是在 S
VT笔记(2)突破patchguard保护完成X64Hook
MSR hook MSR (Model Specific Registers)是CPU 的一组64 位寄存器,可以分别通过RDMSR 和WRMSR 两条指令进行读和写的操作,前提要在ECX 中写入MSR 的地址(MSR地址就像一个宏STAR,LSTAR,CSTAR,SFMASK)。对于...
在Windows 2003中HOOK ZwCreateProcessEx
创建时间:2005-03-09文章属性:原创文章提交:suei8423 (suei8423_at_163.com)作者:ZwelL工作需要,想控制进程的创建,于是HOOK了ZwCreateProcess,后来发现xp和2003中创建进程的都用NtCreateProcessEx(参见[1])...
硬件/系统

2,640

社区成员

17,239

社区内容

发帖
与我相关
我的任务
社区描述
VC/MFC 硬件/系统
社区管理员
  • 硬件/系统社区
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章