hook ZwCreateFile遇到的获取文件名字和文件全路径的困惑??

liutingting2020 2014-08-05 10:02:27
在我的hook ZwCreateFile函数中,我用KdPrint输出

(1)KdPrint(("文件的根目录是: %x \n",ObjectAttributes->RootDirectory));



有时候输出结果是754,有时候输出结果是一连串类似数据流的东东。

(2)KdPrint(("文件名为:%wZ\n",ObjectAttributes->ObjectName));

有时候输出结果为\??\C:\IVU\ivu\123456.txt:|Raec25ph4sudbf0hAaq5ehw34Nf:$DATA

有时候输出结果为:|SummaryInformation:$DATA
...全文
284 5 打赏 收藏 转发到动态 举报
AI 作业
写回复
用AI写文章
5 条回复
切换为时间正序
请发表友善的回复…
发表回复
liutingting2020 2014-08-05
  • 打赏
  • 举报
 回复
引用 2 楼 Huntercao 的回复:
[quote=引用 1 楼 liutingting2020 的回复:] Summary information of files: When you right-click on a file in Explorer and go to the 'Summary' tab, you can add summary information for the file, like title, subject, author, and so on. This summary information is also saved into alternate stream. The stream name in this case is SummaryInformation:$DATA. 文件的摘要信息:当你在资源管理器中右键单击文件,然后转到“摘要”选项卡中,可以添加摘要信息的文件,如标题,主题,作者,等等。本摘要信息也保存在备用流。在这种情况下,数据流的名称是的SummaryInformation:$ DATA。 估计有时候ObjectAttributes->ObjectName中存储的是备用流吧??
看起来是的。[/quote]可以多说点吗?ObjectAttributes中存储的不一定是文件名,有时候也是流信息: 比如我打印出来的数据是: {4c8cc155-6c1e-11d1_8e41-00c04fb9386d}:$DATA
曹大夯 2014-08-05
  • 打赏
  • 举报
 回复
引用 1 楼 liutingting2020 的回复:
Summary information of files: When you right-click on a file in Explorer and go to the 'Summary' tab, you can add summary information for the file, like title, subject, author, and so on. This summary information is also saved into alternate stream. The stream name in this case is SummaryInformation:$DATA. 文件的摘要信息:当你在资源管理器中右键单击文件,然后转到“摘要”选项卡中,可以添加摘要信息的文件,如标题,主题,作者,等等。本摘要信息也保存在备用流。在这种情况下,数据流的名称是的SummaryInformation:$ DATA。 估计有时候ObjectAttributes->ObjectName中存储的是备用流吧??
看起来是的。
liutingting2020 2014-08-05
  • 打赏
  • 举报
 回复
Summary information of files: When you right-click on a file in Explorer and go to the 'Summary' tab, you can add summary information for the file, like title, subject, author, and so on. This summary information is also saved into alternate stream. The stream name in this case is SummaryInformation:$DATA. 文件的摘要信息:当你在资源管理器中右键单击文件,然后转到“摘要”选项卡中,可以添加摘要信息的文件,如标题,主题,作者,等等。本摘要信息也保存在备用流。在这种情况下,数据流的名称是的SummaryInformation:$ DATA。 估计有时候ObjectAttributes->ObjectName中存储的是备用流吧??
liutingting2020 2014-08-05
  • 打赏
  • 举报
 回复
引用 4 楼 Huntercao 的回复:
[quote=引用 3 楼 liutingting2020 的回复:] 可以多说点吗?ObjectAttributes中存储的不一定是文件名,有时候也是流信息: 比如我打印出来的数据是: {4c8cc155-6c1e-11d1_8e41-00c04fb9386d}:$DATA
其实我是来学习的。不太明白你的问题是什么。俺也没有去hook过ZwCreateFile的ObjectAttributes。 我觉得你可以从ZwCreateFile API的文档去分析一下该函数都支持哪些类别的Object。 也许你把ObjectAttributes所有参数都打印出来就明白对应的Object是什么。[/quote]这样哦。都没有其他人回答、
曹大夯 2014-08-05
  • 打赏
  • 举报
 回复
引用 3 楼 liutingting2020 的回复:
可以多说点吗?ObjectAttributes中存储的不一定是文件名,有时候也是流信息: 比如我打印出来的数据是: {4c8cc155-6c1e-11d1_8e41-00c04fb9386d}:$DATA
其实我是来学习的。不太明白你的问题是什么。俺也没有去hook过ZwCreateFile的ObjectAttributes。 我觉得你可以从ZwCreateFile API的文档去分析一下该函数都支持哪些类别的Object。 也许你把ObjectAttributes所有参数都打印出来就明白对应的Object是什么。
python获取文件路径文件夹内所有文件
python获取文件路径文件夹内所有文件 项目内相对路径 在test12.py内 想获取其所在文件夹的所有的表格文件 windows """获取路径""" def list_dir(file_dir): ''' 通过 listdir 得到的是仅当前路径下的文件,不包括子目录中的文件,如果需要得到所有文件需要递归 ''' print('\n\n<><><><><><> listdir <><><
深入理解 ZwCreateFile
前言:任何编码的东西必须充分的了解规则!我试探性的搜索了下关于这个native api的相关的问题,很郁闷的发现,这些问题90%都是没有真正理解了这个函数导致的!有的人连函数干嘛的都不知道就着急的写驱动,真是不可一世!所谓兼收并蓄为的是厚积薄发,其间如履薄冰。说的很贴切!对此我一直支持achills师傅的思想!搞明白了最基本的和必须的东西,一切后续的东西迎刃而解!这个文章我没有过多的写什么东西,因为
HookZwCreateFile
内核驱动编程,想在驱动级上Hook ZwCreateFile(),然后做点其他事情.... 在入口DriverEntry先hook了这个函数 HOOK_SYSCALL(ZwCreateFile, MyZwCreateFile, OriZwCreateFile); HOOK_SYSCALL函数可以获得Zw*函数的地址,然后取得索引,自动的交换SSDT中索引所对应的函数地址和我们hook函数的地
Linux 驱动根据struct file获取路径文件
vfs层获取文件路径
Electron C# dll hook获取活动窗口的进程和路径
layout: post title: Electron C# dll hook获取活动窗口的进程和路径 date: 2019-09-15 15:57:52 +0800 categories: EElectron tags: [“Electron”, “Nodejs”, “C#”, “dll”] notebook: Electron disqus: false gitalk: true desc...
驱动开发/核心开发

21,616

社区成员

21,711

社区内容

发帖
与我相关
我的任务
社区描述
硬件/嵌入开发 驱动开发/核心开发
社区管理员
  • 驱动开发/核心开发社区
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章