ZwReadFile失败，异常代码0xC0000005，求指点-CSDN论坛

ZwReadFile失败，异常代码0xC0000005，求指点

硬件/嵌入开发 > 驱动开发/核心开发

收藏回复

[问题点数：100分]

⋅ZwReadFile失败，异常代码0xC0000005，求指点 更多帖子 关注私信空间博客 哈尔滨-猫猫 等级 本版专家分：0 结帖率 0%: 首先，我HOOK了SSDT的ZwReadFile函数，替换为我的_ZwReadFile，实现对系统所有进程读文件操作的过滤目的。当检测当前进程为w3wp.exe或者为ReadFileTest.exe（由于我获取进程名只获取到16个字节，所以少获取了一个'e'，判断时，使用了ReadFileTest.ex）进程时，将判断这两个进程读的文件头10个字节，是否为我指定的内容，如果是，则执行相关解密操作。

其次，在进程进入我的_ZwReadFile时，是可以正常读取文件内容的，然后我想判断一下此次读的文件的头10个字节是否为我指定的内容，由于刚刚已经读到了文件结尾，下一次读时需要将文件位置设置为0，以便再次从文件头中读取文件头10个字节的内容。

于是，有如下代码：
bool IsEncrypt(HANDLE FileHandle)
{
IO_STATUS_BLOCK ioStatus;
ULONG dwReaded = 0;
FILE_POSITION_INFORMATION current_fpi;
FILE_POSITION_INFORMATION fpi;
NTSTATUS status;

InterlockedIncrement(&g_uCount);
//获取当前文件位置信息，以便读取文件头后，恢复当前文件指针位置
status = ZwQueryInformationFile(FileHandle, &ioStatus, &current_fpi, sizeof(FILE_POSITION_INFORMATION), FilePositionInformation);
DbgPrint("%ld", current_fpi.CurrentByteOffset);
if (NT_SUCCESS(status))
{
DbgPrint("ZwQueryInformationFile successful");
}
else
{
DbgPrint("ZwQueryInformationFile failed");
}

//移动文件指针位置到文件头部
fpi.CurrentByteOffset.QuadPart = 0i64;
DbgPrint("%ld", fpi.CurrentByteOffset);
//设置文件指针位置信息
status = ZwSetInformationFile(FileHandle, &ioStatus, &fpi, sizeof(FILE_POSITION_INFORMATION), FilePositionInformation);
if (NT_SUCCESS(status))
{
DbgPrint("ZwSetInformationFile successful");
}
else
{
DbgPrint("ZwSetInformationFile failed");
}

char *szFileHeader = (char*)ExAllocatePool(NonPagedPool, 10);
ULONG length = 10;

NTSTATUS status1 =  g_pfnZwReadFile(
FileHandle,
NULL,
NULL,
NULL,
&ioStatus,
szFileHeader,
length,
NULL,
NULL);
if (NT_SUCCESS(status1))
{
DbgPrint("Read File Header successful");
}
else
{
//此处将会被执行，读取文件失败。。。
DbgPrint("Read File Header  failed : %d, %d, %d", status1, ioStatus.Status, ioStatus.Information);
}

//恢复文件指针位置
ZwSetInformationFile(FileHandle, &ioStatus, &current_fpi, sizeof(FILE_POSITION_INFORMATION), FilePositionInformation);
InterlockedDecrement(&g_uCount);

DbgPrint("FileHeader : %s", szFileHeader);
if (!strcmp(szFileHeader, "QQ:7278449"))
{
return TRUE;
}
ExFreePool(szFileHeader);
return FALSE;
}

NTSTATUS NTAPI _ZwReadFile(
   IN HANDLE  FileHandle,
   IN HANDLE  Event  OPTIONAL,
   IN PIO_APC_ROUTINE  ApcRoutine  OPTIONAL,
   IN PVOID  ApcContext  OPTIONAL,
   OUT PIO_STATUS_BLOCK  IoStatusBlock,
   OUT PVOID  Buffer,
   IN ULONG  Length,
   IN PLARGE_INTEGER  ByteOffset  OPTIONAL,
   IN PULONG  Key  OPTIONAL
   )
{
NTSTATUS status;
char szProcessName[256] = {0};
GetProcessName((ULONG)PsGetCurrentProcessId(), szProcessName);

InterlockedIncrement(&g_uCount);
status =  g_pfnZwReadFile(
FileHandle,
Event,
ApcRoutine,
ApcContext,
IoStatusBlock,
Buffer,
Length,
ByteOffset,
Key);
InterlockedDecrement(&g_uCount);

if (!strcmp(szProcessName, "w3wp.exe") || !strcmp(szProcessName, "ReadFileTest.ex"))
{
DbgPrint("Current Process Name : %s", szProcessName);
DbgPrint("%s", Buffer);
if (IsEncrypt(FileHandle))
{
DbgPrint("the file is encrypt!!!");
Decrypt((char*)Buffer, Length);
}
}

return status;
}

注：g_pfnZwReadFile为HOOK后，原ZwReadFile函数的指针。
经过一周时间windbg调试+DebugView，也没能找出读文件失败原因，还请大神指点，表示感谢！
可用分全部奉上....

2014-01-02 21:53:55

点赞只看楼主引用举报楼主收起

展开阅读全文

⋅32位程序把64位动态库注入64位程序相关问题 ⋅怎么用c++调用wmi的方法，获得vista的启动项 ⋅如何判断本机有多系统 更多帖子 关注私信空间博客 zgcbj 等级 本版专家分：0: char *szFileHeader = (char*)ExAllocatePool(NonPagedPool, 10);
这个怎么没看到检查成功失败呢？

2014-01-02 22:03:44

点赞只看TA 引用举报 #1得分 0

⋅ZwReadFile失败，异常代码0xC0000005，求指点 更多帖子 关注私信空间博客 哈尔滨-猫猫 等级 本版专家分：0: 这里调试了，成功。本来没用堆内存，用的栈上的缓冲区，如下

2014-01-02 22:06:03

点赞只看TA 引用举报 #2得分 0

⋅ZwReadFile失败，异常代码0xC0000005，求指点 更多帖子 关注私信空间博客 哈尔滨-猫猫 等级 本版专家分：0: char buffer[11] = {0};

2014-01-02 22:06:29

点赞只看TA 引用举报 #3得分 0

⋅ZwReadFile失败，异常代码0xC0000005，求指点 更多帖子 关注私信空间博客 哈尔滨-猫猫 等级 本版专家分：0: 其他人说内核少用栈空间，于是才改的。但问题依旧，应该不是这里的问题（已调试验证过）

2014-01-02 22:07:41

点赞只看TA 引用举报 #4得分 0

⋅32位程序把64位动态库注入64位程序相关问题 ⋅怎么用c++调用wmi的方法，获得vista的启动项 ⋅如何判断本机有多系统 更多帖子 关注私信空间博客 zgcbj 等级 本版专家分：0: 你在 _ZwReadFile的开头是不是已经读到了，为什么又去 IsEncrypt(FileHandle)这里面再读一遍？直接拿buff里面的比不行吗？我不懂了。

2014-01-02 22:13:16

点赞只看TA 引用举报 #5得分 0

⋅ZwReadFile失败，异常代码0xC0000005，求指点 更多帖子 关注私信空间博客 哈尔滨-猫猫 等级 本版专家分：0: 嗯，一开始我也是像你这么想。但是有一种情况，这样不行。
比如上层应用读一个文件，只调用了一次ReadFile就把整个文件读取了，你说的方法，没有问题。

2014-01-02 22:15:38

点赞只看TA 引用举报 #6得分 0

⋅ZwReadFile失败，异常代码0xC0000005，求指点 更多帖子 关注私信空间博客 哈尔滨-猫猫 等级 本版专家分：0: 但，如果上层应用，读一个文件是调用两次以上ReadFile呢？

2014-01-02 22:16:06

点赞只看TA 引用举报 #7得分 0

⋅ZwReadFile失败，异常代码0xC0000005，求指点 更多帖子 关注私信空间博客 哈尔滨-猫猫 等级 本版专家分：0: 这样分多次读取一个文件的情况，从第二次ReadFile开始
缓冲区里就不会包含有该文件的头信息了
所以我在IsEncrypt里特意去读的文件头

2014-01-02 22:19:30

点赞只看TA 引用举报 #8得分 0

⋅32位程序把64位动态库注入64位程序相关问题 ⋅怎么用c++调用wmi的方法，获得vista的启动项 ⋅如何判断本机有多系统 更多帖子 关注私信空间博客 zgcbj 等级 本版专家分：0: 你这一句话两层楼，是为了顶帖子么？好少年啊。
不过，能不能判断 IN PLARGE_INTEGER ByteOffset OPTIONAL
倒数第二个参数，判断位置，如果位置是开头，就读，不是开头就不读。

如果你要求，别管多少次ReadFile，都要判断最开始几个字节，那估计就得像你这样做了。

2014-01-02 22:20:56

点赞只看TA 引用举报 #9得分 0

⋅ZwReadFile失败，异常代码0xC0000005，求指点 更多帖子 关注私信空间博客 哈尔滨-猫猫 等级 本版专家分：0: 不读不行啊，我HOOK了ZwReadFile，我最起码应该保证上层所有读操作能正常进行下去，否则上层很容易蹦掉或者卡死的。

话说DDK帮助里我也研究了一下这个ByteOffset，也尝试了，貌似给这个值NULL，使用的应该是当前文件指针位置，也就有了我保存当前位置，又恢复当前位置的操作。

另外，根据文档，也可以这里直接传递一个PLARGE_INTEGER 大整数指针过去，可以指定文件指针位置，类似如下代码：

2014-01-02 22:27:15

点赞 1 只看TA 引用举报 #10得分 0

1 2

收起

收藏回复

哈尔滨-猫猫

等级：

关注私信 TA的帖子

ZwReadFile函数读出来的是乱码的解决方案: 原因：之前没有使用过ZwReadFile函数，所以用的时候是参考网上的代码写的，但是有些代码将该函数的倒数第二个参数ByteOffset设置成了NULL，该参数是要读取的偏移位置，也就是从这个位置开始读，如果设置为NULL的话，...

ZwReadFile读TXT文件: 开发过程中的小记录 void ReadFile_Port() { HANDLE hFile=NULL; IO_STATUS_BLOCK ioStatus; NTSTATUS ntStatus; OBJECT_ATTRIBUTES object_attributes;... UNICODE_STRING uFileName=RTL_CONSTANT_STRING(L"\\?...

ZwReadFile routine: ZwReadFile routine ZwReadFile 从一个打开的文件中读取内容 Syntax NTSTATUS ZwReadFile( _In_ HANDLE FileHandle, _In_opt_ HANDLE Event, _In_opt_ PIO_APC_ROUTINE ApcRoutine, _In_o

磁盘文件操作_ZwCreateFile_ZwOpenFile_ZwReadFile_ZwWriteFile_ZwSetInformationFile_...: #include"ntddk.h" VOID xiezai1(PDRIVER_OBJECT qudongduixiang) { KdPrint(("驱动卸载历程\n")); return; } NTSTATUS DriverEntry(PDRIVER_OBJECT qudongduixiang, PUNICODE_STRING zhucebiao1) ...

ZwReadFile挂起问题

内核模式下的文件操作_zwcreatefile_zwopenfile_zwreadfile_zwwritefile: 1.文件的创建对文件的创建或者打开都是通过内核函数ZwCreateFile实现的。和Windows API类似，这个内核函数返回一个文件句柄，文件的所有操作都是依靠这个句柄进行操作的。在文件操作完毕后，要关闭这个文件句柄。...

SSDT Restore in ring0的部分代码: NTSTATUS GetModuleBaseInformation(IN PCHAR pModuleName,OUT PSYSTEM_MODULE_INFORMATION psmi) {PSYSTEM_MODULE_INFORMATION psmi2=0;ULONG i;ULONG uCount;PCHAR pName;ULONG dData;PCHAR B

ring3通过METHOD_BUFFERED、METHOD_IN_DIRECT两种常用方式和ring0级交互读文件测试: 为了熟悉ring3和ring0交互过程，写了个简单的程序测试一下，以便加深印象。本文通过测试METHOD_BUFFERED、METHOD_IN_DIRECT方式读某磁盘下固定的文件，关于ring0和ring3通信方式具体见如下链接 ...

VC++实现恢复SSDT: 这个表就是一个把ring3的Win32 API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表，它还包含着一些其它有用的信息，诸如地址索引的基地址、服务函数个数等。　通过修改此表的函数地址可以对常用...

win系统中ReadFile和内核层ZwReadFile到底有什么联系呢？

C/C++ 实现文件透明加解密: 今日遇见一个开超市的朋友，真没想到在高校开超市一个月可以达到月净利润50K，相比起我们程序员的工资，...请见代码详细注释 // 修复涉及后视列表的Win2K兼容性// Fixes Win2K compatibility regarding lookaside

读《毛德操：关于进程挂靠》: WINDOWS 可以创建远程线程，但是linux却不可以，为何？windows是基于对象的，是异步的，在很多情况下都没有进程上下文，试想一下，windows实际上就像一个超大容器，里面有形形色色各种对象，进程是对象，线程是对象...

SSDT表概念详解: 这个表就是一个把 Ring3 的 Win32 API 和 Ring0 的内核 API 联系起来。Ring3下调用的所有函数最终都会先进入到ntdll里面的，比如ReadFile，就会进入ntdll的ZwReadFile SSDT 并不仅仅只包含一个庞大的...

理解和使用NT驱动程序的执行上下文: 理解Windows NT驱动程序最重要的概念之一就是驱动程序运行时所处的“执行上下文”。理解并小心地应用这个概念可以帮助你构建更快、更高效的驱动程序。 NT标准内核模式驱动程序编程的一个重要观念是某个特定的...

windows xp sp3 系统ntdll.dll所有导出的API函数列表大全（整理在此，方便查阅，学习）: NTDLL ntdll.dll是NT操作系统重要的模块。 XP的核心dll——ntdll.dll ordinal hint RVA name 8 0 0001D5A0 CsrAllocateCaptureBuffer 9 1 0001D601 CsrAllocateMessagePointer

Windows 驱动开发基础（九）内核函数: Windows 驱动开发基础系列，转载请标明出处：这里主要介绍3类Windows的内核函数：字符串处理函数，文件操作函数，注册表读写函数。（这些函数都是运行时函数，所以都有Rtl字样） 1 字符串处理函数 ...

R0注入Dll到R3进程: 代码大部分都是CV（ctrl c+ctrl v）的（读书人的事情不能说抄是借鉴），注入参考的是Blackbone的代码，然后稍微改了改，经过测试能够分别注入x32和x64的进程，下面是代码。原理也很简单，首先是附加到目标进程，...

【经验记录】开发中的实际问题记录: 这里作为几个总结，一是自己不小心导致的问题；二是的确有点匪夷所思的。具体产生的原因，未做深入研究，仅做记录。环境： Win7 X64 SP1 ...1、在回调_ObPreProcessCallback中，不能调用ZwOpenProcess...

Ring0文件操作: Ring0文件操作，文件复制，移动，删除，删除使用设置属性，路径硬编码 #include <ntifs.h> #include <ntddk.h> NTSTATUS ntCreateFile(WCHAR *szFileName); NTSTATUS ...

Win32k(3) R0 to R3,键盘鼠标输入: 第三部分 R0 to R3这部分有教主非常精彩和实用的分析，我就不瞎说了。http://bbs.pediy.com/showthread.php?t=104918r3 tor0是常规系统调用倒过来中断或者sysenter的东西：...

第四代机器狗驱动代码: (转)第四代机器狗驱动代码#include#includeULONG * realssdt;#define SEC_IMAGE 0x01000000#pragma pack(1)typedef struct ServiceDescriptorEntry { unsigned int *ServiceTableBase; unsigned int *...

【驱动开发】004 文件操作: note：本文代码参考了《Windows内核安全与驱动开发》这本书一、OBJECT_ATTRIBUTES 对象属性结构。在ntdef.h文件中有该结构的定义： typedef struct _OBJECT_ATTRIBUTES { ULONG Length; HANDLE RootDirectory; ...

ring0 恢复SSDTHook: 原理：用ZwQuerySystemInformation 功能号为11(SystemModuleInformation) 得到所有系统模块的地址遍历搜索得到ntos模块的基地址读Ntos模块到System进程空间中在ntos中找到函数真正地址 ...

1.ring0-内核重载详解（NTOS）: 1.取得NTOS原始的地址：这个可以通过遍历系统模块，找到第一个被加载的模块（NTOS），获得NTOS的路径，基地址，大小： ...代码如下： NTSTATUS GetNtosModuleInfo(WCHAR *pNtosPath,ULONG nSize,

重载内核的一份代码的学习: #include "ntimage.h" //#include <ntddk.h> #pragma pack(1) typedef struct ServiceDescriptorEntry { unsigned int *ServiceTableBase;... unsigned int *ServiceCounterTableBase;... unsigned ...

机器狗四代驱动代码

第四代机器狗驱动代码: #include#includeULONG * realssdt;#define SEC_IMAGE 0x01000000#pragma pack(1)typedef struct ServiceDescriptorEntry { unsigned int *ServiceTableBase; unsigned int *ServiceCounterT

用long类型让我出了次生产事故，写代码还是要小心点: 昨天发现线上试跑期的一个程序挂了，平时都跑的好好的，查了下日志是因为昨天运营跑了一家美妆top级淘品牌店，会员量近千万，一下子就把128G的内存给爆了，当时并行跑了二个任务，没辙先速写一段代码限流，后面再做...

Android编程经典200例: 资源名称：Android编程经典200例内容简介：本书通过200个经典实例全面、系统地介绍了Android平台下的软件开发知识，重点突出、涉及面广、实用性强，在实例的讲解过程中还详细分析了开发思路及侧重点，使读者达到举一反三的效果。全书分为14章，分别为：Android简介、Android简单控件的开发及应用、Android高级控件的开发及应用、手机用户界面、手机通信服务及手机控制、手机的自动服务资源太大，传百度网盘了，链接在附件中，有需要的同学自取。

jdk全部版本下载: java jdk全部资源下载，方便，官网下载太慢，特发此一起下载

相关热词 c# 导入c++类 c#中文字符串乱码 c# 申请行数动态的数组 c#前台拆分join c#文本 c# char 最大值 c# word转换二进制 c#加入分割区 c#集成开发工具 c# 浏览文件的控件