[求助]PsSetLoadImageNotifyRoutine中遇到的问题-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
寒冰心结雪币： 8149 活跃值： (2751) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 239 粉丝 0 关注私信	寒冰心结 2 楼第一个情况. 函数ObReferenceObjectByName不能用来获取Device类型的对象的地址.原因是Device类型有解析函数. IopParseDevice.而IopParseDevice内存在参数检查.其中有一个参数就是我们调用ObReferenceObjectByName()时传递进去的第7个参数:ParseContext.但是很显然.你调用的时候传递的是一个0.所以就错误返回了.正确的办法是用IoGetDeviceObjectPointer来代替. 第二个情况没啥说的吧.查询符号链接.然后拼接起来. 第三个情况..不懂你那FILE_OBJECT那里来的.以及如何调用的...所以未知. 2010-11-19 15:37 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 3 楼 FileObject = CONTAINING_RECORD(FullImageName, FILE_OBJECT, FileName); 文件对象这样搞来的，有点牵强，还望大牛解释 ParseContext的结构该怎么填充呢？ 2010-11-19 16:33 0
寒冰心结雪币： 8149 活跃值： (2751) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 239 粉丝 0 关注私信	寒冰心结 4 楼那FullImageName是一个UNICODE_STRING指针好吧.结构内根本无FILE_OBJECT.CONTAINING_RECORD 这宏貌似是取结构体成员时候用的吧. 你这样的取法依据是什么呀?.我在怀疑怎么可以编译的过去?. ParseContext 填充比较麻烦.没研究过. 2010-11-19 19:37 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 5 楼 wrk里有XX if (PsImageNotifyEnabled) { IMAGE_INFO ImageInfo; if ((StartingAddress < MmHighestUserAddress) && (Process->UniqueProcessId) && (Process != PsInitialSystemProcess)) { ImageInfo.Properties = 0; ImageInfo.ImageAddressingMode = IMAGE_ADDRESSING_MODE_32BIT; ImageInfo.ImageBase = StartingAddress; ImageInfo.ImageSize = OutputViewSize; ImageInfo.ImageSelector = 0; ImageInfo.ImageSectionNumber = 0; PsCallImageNotifyRoutines (&ControlArea->FilePointer->FileName, Process->UniqueProcessId, &ImageInfo); } } 不过有时候Call来自其他地方啊~如果系统开启kernel dbg mode并链接上windbg就不太一样了~具体请自行研究 2010-11-20 08:55 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 6 楼 CONTAINING_RECORD是把FullImageName当成FILE_OBJECT中的Name来取得FILE_OBJECT的指针依据你楼下的代码 2010-11-22 13:07 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 7 楼 V插K，知道ParseContext 怎么填吗？ 2010-11-22 13:08 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 8 楼用名字L"\\Device\\HarddiskVolumeX"调用IoGetDeviceObjectPointer得到的是挂在卷设备的最上层的设备，有没有办法直接得到创建这个卷的设备对象？ 2010-11-22 14:30 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 9 楼请求的操作所请求的对象类型与在请求中指定的对象类型不匹配，在我的代码中 RtlInitUnicodeString( &DriverName, pwszDeviceName ); ObReferenceObjectByName( &DriverName, OBJ_CASE_INSENSITIVE, NULL, 0, *IoDriverObjectType, KernelMode, NULL, &DriverObject ); if ( DriverObject == NULL ) { return NULL; } DeviceObject = DriverObject->DeviceObject; 2010-11-22 23:32 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 10 楼这样得到的DeviceObject可能是Volume1，可能是Volume2，或者。。。 2010-11-23 11:58 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 8 关注私信	Fypher 4 11 楼 IoVolumeDeviceToDosName的参数中，DeviceObject类型不对的话必蓝无疑。 IoGetDeviceObjectPointer也不好使。果断枚举Driver->Device吧…… 2010-11-23 14:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
寒冰心结雪币： 8149 活跃值： (2751) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 239 粉丝 0 关注私信	寒冰心结 2 楼第一个情况. 函数ObReferenceObjectByName不能用来获取Device类型的对象的地址.原因是Device类型有解析函数. IopParseDevice.而IopParseDevice内存在参数检查.其中有一个参数就是我们调用ObReferenceObjectByName()时传递进去的第7个参数:ParseContext.但是很显然.你调用的时候传递的是一个0.所以就错误返回了.正确的办法是用IoGetDeviceObjectPointer来代替. 第二个情况没啥说的吧.查询符号链接.然后拼接起来. 第三个情况..不懂你那FILE_OBJECT那里来的.以及如何调用的...所以未知. 2010-11-19 15:37 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 3 楼 FileObject = CONTAINING_RECORD(FullImageName, FILE_OBJECT, FileName); 文件对象这样搞来的，有点牵强，还望大牛解释 ParseContext的结构该怎么填充呢？ 2010-11-19 16:33 0
寒冰心结雪币： 8149 活跃值： (2751) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 239 粉丝 0 关注私信	寒冰心结 4 楼那FullImageName是一个UNICODE_STRING指针好吧.结构内根本无FILE_OBJECT.CONTAINING_RECORD 这宏貌似是取结构体成员时候用的吧. 你这样的取法依据是什么呀?.我在怀疑怎么可以编译的过去?. ParseContext 填充比较麻烦.没研究过. 2010-11-19 19:37 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 5 楼 wrk里有XX if (PsImageNotifyEnabled) { IMAGE_INFO ImageInfo; if ((StartingAddress < MmHighestUserAddress) && (Process->UniqueProcessId) && (Process != PsInitialSystemProcess)) { ImageInfo.Properties = 0; ImageInfo.ImageAddressingMode = IMAGE_ADDRESSING_MODE_32BIT; ImageInfo.ImageBase = StartingAddress; ImageInfo.ImageSize = OutputViewSize; ImageInfo.ImageSelector = 0; ImageInfo.ImageSectionNumber = 0; PsCallImageNotifyRoutines (&ControlArea->FilePointer->FileName, Process->UniqueProcessId, &ImageInfo); } } 不过有时候Call来自其他地方啊~如果系统开启kernel dbg mode并链接上windbg就不太一样了~具体请自行研究 2010-11-20 08:55 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 6 楼 CONTAINING_RECORD是把FullImageName当成FILE_OBJECT中的Name来取得FILE_OBJECT的指针依据你楼下的代码 2010-11-22 13:07 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 7 楼 V插K，知道ParseContext 怎么填吗？ 2010-11-22 13:08 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 8 楼用名字L"\\Device\\HarddiskVolumeX"调用IoGetDeviceObjectPointer得到的是挂在卷设备的最上层的设备，有没有办法直接得到创建这个卷的设备对象？ 2010-11-22 14:30 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 9 楼请求的操作所请求的对象类型与在请求中指定的对象类型不匹配，在我的代码中 RtlInitUnicodeString( &DriverName, pwszDeviceName ); ObReferenceObjectByName( &DriverName, OBJ_CASE_INSENSITIVE, NULL, 0, *IoDriverObjectType, KernelMode, NULL, &DriverObject ); if ( DriverObject == NULL ) { return NULL; } DeviceObject = DriverObject->DeviceObject; 2010-11-22 23:32 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 10 楼这样得到的DeviceObject可能是Volume1，可能是Volume2，或者。。。 2010-11-23 11:58 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 8 关注私信	Fypher 4 11 楼 IoVolumeDeviceToDosName的参数中，DeviceObject类型不对的话必蓝无疑。 IoGetDeviceObjectPointer也不好使。果断枚举Driver->Device吧…… 2010-11-23 14:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复