[求助]NtDeviceIoControlFile调用失败-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]NtDeviceIoControlFile调用失败

发表于: 2010-6-2 21:50 4387

[求助]NtDeviceIoControlFile调用失败

dragonltx

2010-6-2 21:50

4387

写了个列举网络连接打开的端口的程序，在DriverEntry中运行可以，

NTSTATUS DriverEntry( PDRIVER_OBJECT pDriverObject,
PUNICODE_STRING pRegistryPath )
{
PDEVICE_OBJECT pdo = NULL;
NTSTATUS s = STATUS_SUCCESS;
UNICODE_STRING usDriverName, usDosDeviceName;

RtlInitUnicodeString( &usDriverName, DRIVER_NAME );
RtlInitUnicodeString( &usDosDeviceName, DEVICE_NAME );

s = IoCreateDevice( pDriverObject, 0, &usDriverName, \
FILE_DRIVER_SSDT, FILE_DEVICE_SECURE_OPEN, \
FALSE, &pdo );

if( STATUS_SUCCESS == s )
{
pDriverObject->MajorFunction[IRP_MJ_CREATE] = SSDTCreate;
pDriverObject->MajorFunction[IRP_MJ_CLOSE]=SSDTClose;
pDriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] \
= SSDTDeviceIoCtl;
pDriverObject->DriverUnload = SSDTUnload;

IoCreateSymbolicLink( &usDosDeviceName, &usDriverName );
}
EnumPort();

但是在

NTSTATUS SSDTDeviceIoCtl( PDEVICE_OBJECT pDeviceObject, PIRP Irp )
{
// ULONG pbuf;
PLOG_BUF old;
NTSTATUS s;
PIO_STACK_LOCATION IrpStack;
PVOID InputBuffer;
PVOID OutputBuffer;
ULONG InputBufferLength;
ULONG OutputBufferLength;
ULONG IoControlCode;

s = Irp->IoStatus.Status = STATUS_SUCCESS;
Irp->IoStatus.Information = 0;

IrpStack = IoGetCurrentIrpStackLocation( Irp );

InputBuffer = IrpStack->Parameters.DeviceIoControl.Type3InputBuffer;
InputBufferLength = IrpStack->Parameters.DeviceIoControl.InputBufferLength;
OutputBuffer = Irp->UserBuffer;
OutputBufferLength = IrpStack->Parameters.DeviceIoControl.OutputBufferLength;
IoControlCode = IrpStack->Parameters.DeviceIoControl.IoControlCode;

///////////////////////////////////////////////
//这里处理分发例程
switch( IoControlCode )
{
case IOCTL_DICFADDR:
EnumPort(); DbgPrint("SSDT: Set DeviceIoControlFile Address Completed!");
break;

列举失败，经过分析发现NtDeviceIoControlFile调用失败！

status = NtDeviceIoControlFile((HANDLE)DupHandle,
NULL,
NULL,
NULL,
&IoStatusBlock,
0x210012, // Command code
&TdiConnInformation,
sizeof(TdiConnInformation),
&TdiConnInfo,
sizeof(TdiConnInfo));

不明白为什么会这样？自己查了很多资料都没找到答案！希望哪位大哥指点下！不胜感激！

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・0

免费・0

支持

最新回复 (3)
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 2 楼路过一下，不知道是不是因为PreviousMode。。。 2010-6-2 21:58 0
dragonltx 雪币： 363 活跃值： (338) 能力值： ( LV15，RANK：310 ) 在线值：发帖 21 回帖 240 粉丝 11 关注私信	dragonltx 6 3 楼大牛能不能具体点！小弟刚学内核编程不久！不胜感激！ 2010-6-2 23:15 0
dragonltx 雪币： 363 活跃值： (338) 能力值： ( LV15，RANK：310 ) 在线值：发帖 21 回帖 240 粉丝 11 关注私信	dragonltx 6 4 楼多谢大牛！确实是PreviousMode的问题，我把里面调用的Nt系列函数改为Zw系列函数之后就没问题了！多谢！ 2010-6-4 21:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

dragonltx

发帖

240

回帖

310

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 2 楼路过一下，不知道是不是因为PreviousMode。。。 2010-6-2 21:58 0
dragonltx 雪币： 363 活跃值： (338) 能力值： ( LV15，RANK：310 ) 在线值：发帖 21 回帖 240 粉丝 11 关注私信	dragonltx 6 3 楼大牛能不能具体点！小弟刚学内核编程不久！不胜感激！ 2010-6-2 23:15 0
dragonltx 雪币： 363 活跃值： (338) 能力值： ( LV15，RANK：310 ) 在线值：发帖 21 回帖 240 粉丝 11 关注私信	dragonltx 6 4 楼多谢大牛！确实是PreviousMode的问题，我把里面调用的Nt系列函数改为Zw系列函数之后就没问题了！多谢！ 2010-6-4 21:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复