[求助]PsSetLoadImageNotifyRoutine中遇到的问题-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
寒冰心结雪币： 7640 活跃值： (2231) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 238 粉丝 0 关注私信	寒冰心结 2010-11-19 15:37 2 楼 0 第一个情况. 函数ObReferenceObjectByName不能用来获取Device类型的对象的地址.原因是Device类型有解析函数. IopParseDevice.而IopParseDevice内存在参数检查.其中有一个参数就是我们调用ObReferenceObjectByName()时传递进去的第7个参数:ParseContext.但是很显然.你调用的时候传递的是一个0.所以就错误返回了.正确的办法是用IoGetDeviceObjectPointer来代替. 第二个情况没啥说的吧.查询符号链接.然后拼接起来. 第三个情况..不懂你那FILE_OBJECT那里来的.以及如何调用的...所以未知.
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 2010-11-19 16:33 3 楼 0 FileObject = CONTAINING_RECORD(FullImageName, FILE_OBJECT, FileName); 文件对象这样搞来的，有点牵强，还望大牛解释 ParseContext的结构该怎么填充呢？
寒冰心结雪币： 7640 活跃值： (2231) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 238 粉丝 0 关注私信	寒冰心结 2010-11-19 19:37 4 楼 0 那FullImageName是一个UNICODE_STRING指针好吧.结构内根本无FILE_OBJECT.CONTAINING_RECORD 这宏貌似是取结构体成员时候用的吧. 你这样的取法依据是什么呀?.我在怀疑怎么可以编译的过去?. ParseContext 填充比较麻烦.没研究过.
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 231 关注私信	cvcvxk 10 2010-11-20 08:55 5 楼 0 wrk里有XX if (PsImageNotifyEnabled) { IMAGE_INFO ImageInfo; if ((StartingAddress < MmHighestUserAddress) && (Process->UniqueProcessId) && (Process != PsInitialSystemProcess)) { ImageInfo.Properties = 0; ImageInfo.ImageAddressingMode = IMAGE_ADDRESSING_MODE_32BIT; ImageInfo.ImageBase = StartingAddress; ImageInfo.ImageSize = OutputViewSize; ImageInfo.ImageSelector = 0; ImageInfo.ImageSectionNumber = 0; PsCallImageNotifyRoutines (&ControlArea->FilePointer->FileName, Process->UniqueProcessId, &ImageInfo); } } 不过有时候Call来自其他地方啊~如果系统开启kernel dbg mode并链接上windbg就不太一样了~具体请自行研究
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 2010-11-22 13:07 6 楼 0 CONTAINING_RECORD是把FullImageName当成FILE_OBJECT中的Name来取得FILE_OBJECT的指针依据你楼下的代码
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 2010-11-22 13:08 7 楼 0 V插K，知道ParseContext 怎么填吗？
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 2010-11-22 14:30 8 楼 0 用名字L"\\Device\\HarddiskVolumeX"调用IoGetDeviceObjectPointer得到的是挂在卷设备的最上层的设备，有没有办法直接得到创建这个卷的设备对象？
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 231 关注私信	cvcvxk 10 2010-11-22 23:32 9 楼 0 请求的操作所请求的对象类型与在请求中指定的对象类型不匹配，在我的代码中 RtlInitUnicodeString( &DriverName, pwszDeviceName ); ObReferenceObjectByName( &DriverName, OBJ_CASE_INSENSITIVE, NULL, 0, *IoDriverObjectType, KernelMode, NULL, &DriverObject ); if ( DriverObject == NULL ) { return NULL; } DeviceObject = DriverObject->DeviceObject;
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 2010-11-23 11:58 10 楼 0 这样得到的DeviceObject可能是Volume1，可能是Volume2，或者。。。
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 7 关注私信	Fypher 4 2010-11-23 14:34 11 楼 0 IoVolumeDeviceToDosName的参数中，DeviceObject类型不对的话必蓝无疑。 IoGetDeviceObjectPointer也不好使。果断枚举Driver->Device吧……
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (10)
寒冰心结雪币： 7640 活跃值： (2231) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 238 粉丝 0 关注私信	寒冰心结 2010-11-19 15:37 2 楼 0 第一个情况. 函数ObReferenceObjectByName不能用来获取Device类型的对象的地址.原因是Device类型有解析函数. IopParseDevice.而IopParseDevice内存在参数检查.其中有一个参数就是我们调用ObReferenceObjectByName()时传递进去的第7个参数:ParseContext.但是很显然.你调用的时候传递的是一个0.所以就错误返回了.正确的办法是用IoGetDeviceObjectPointer来代替. 第二个情况没啥说的吧.查询符号链接.然后拼接起来. 第三个情况..不懂你那FILE_OBJECT那里来的.以及如何调用的...所以未知.
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 2010-11-19 16:33 3 楼 0 FileObject = CONTAINING_RECORD(FullImageName, FILE_OBJECT, FileName); 文件对象这样搞来的，有点牵强，还望大牛解释 ParseContext的结构该怎么填充呢？
寒冰心结雪币： 7640 活跃值： (2231) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 238 粉丝 0 关注私信	寒冰心结 2010-11-19 19:37 4 楼 0 那FullImageName是一个UNICODE_STRING指针好吧.结构内根本无FILE_OBJECT.CONTAINING_RECORD 这宏貌似是取结构体成员时候用的吧. 你这样的取法依据是什么呀?.我在怀疑怎么可以编译的过去?. ParseContext 填充比较麻烦.没研究过.
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 231 关注私信	cvcvxk 10 2010-11-20 08:55 5 楼 0 wrk里有XX if (PsImageNotifyEnabled) { IMAGE_INFO ImageInfo; if ((StartingAddress < MmHighestUserAddress) && (Process->UniqueProcessId) && (Process != PsInitialSystemProcess)) { ImageInfo.Properties = 0; ImageInfo.ImageAddressingMode = IMAGE_ADDRESSING_MODE_32BIT; ImageInfo.ImageBase = StartingAddress; ImageInfo.ImageSize = OutputViewSize; ImageInfo.ImageSelector = 0; ImageInfo.ImageSectionNumber = 0; PsCallImageNotifyRoutines (&ControlArea->FilePointer->FileName, Process->UniqueProcessId, &ImageInfo); } } 不过有时候Call来自其他地方啊~如果系统开启kernel dbg mode并链接上windbg就不太一样了~具体请自行研究
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 2010-11-22 13:07 6 楼 0 CONTAINING_RECORD是把FullImageName当成FILE_OBJECT中的Name来取得FILE_OBJECT的指针依据你楼下的代码
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 2010-11-22 13:08 7 楼 0 V插K，知道ParseContext 怎么填吗？
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 2010-11-22 14:30 8 楼 0 用名字L"\\Device\\HarddiskVolumeX"调用IoGetDeviceObjectPointer得到的是挂在卷设备的最上层的设备，有没有办法直接得到创建这个卷的设备对象？
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 231 关注私信	cvcvxk 10 2010-11-22 23:32 9 楼 0 请求的操作所请求的对象类型与在请求中指定的对象类型不匹配，在我的代码中 RtlInitUnicodeString( &DriverName, pwszDeviceName ); ObReferenceObjectByName( &DriverName, OBJ_CASE_INSENSITIVE, NULL, 0, *IoDriverObjectType, KernelMode, NULL, &DriverObject ); if ( DriverObject == NULL ) { return NULL; } DeviceObject = DriverObject->DeviceObject;
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 2010-11-23 11:58 10 楼 0 这样得到的DeviceObject可能是Volume1，可能是Volume2，或者。。。
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 7 关注私信	Fypher 4 2010-11-23 14:34 11 楼 0 IoVolumeDeviceToDosName的参数中，DeviceObject类型不对的话必蓝无疑。 IoGetDeviceObjectPointer也不好使。果断枚举Driver->Device吧……
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复