-
-
[求助]NtUserBuildHwndList的一点小问题
-
发表于: 2011-4-6 17:42
-
昨天一直在纠结这个问题~ NtUserBuildHwndList在内核中直接调用总是返回0xC0000008(无效句柄)这个错误,麻烦好心人帮我看看~
这里是我的调用代码
其中ThreadId是我hook PspCreateThread中得到的,用process Exlorer验证过,绝对没问题……
按照reactOS里的源码,我如此传参调用NtUserBuildHwndList无论如何也不可能返回0xC0000008这个错误的……我另外贴上reactOS里的源码吧。实在是纠结了……完全不懂哪里出错了, 在线等哦~
这里是我的调用代码
HWND HwnBuf[256]={0};
ULONG BufSize=256*sizeof(HWND);
ULONG MaxNum=0x100;
status=Addr_NtUserBuildHwndList(0,
0,
FALSE,
ThreadId,
MaxNum,
HwnBuf,
&BufSize);其中ThreadId是我hook PspCreateThread中得到的,用process Exlorer验证过,绝对没问题……
按照reactOS里的源码,我如此传参调用NtUserBuildHwndList无论如何也不可能返回0xC0000008这个错误的……我另外贴上reactOS里的源码吧。实在是纠结了……完全不懂哪里出错了, 在线等哦~
NTSTATUS
APIENTRY
NtUserBuildHwndList(
HDESK hDesktop,
HWND hwndParent,
BOOLEAN bChildren,
ULONG dwThreadId,
ULONG lParam,
HWND* pWnd,
ULONG* pBufSize)
{
NTSTATUS Status;
ULONG dwCount = 0;
if (pBufSize == 0)
return ERROR_INVALID_PARAMETER;
if (hwndParent || !dwThreadId)
{
PDESKTOP Desktop;
PWINDOW_OBJECT Parent, Window;
if(!hwndParent)
{
if(hDesktop == NULL && !(Desktop = IntGetActiveDesktop()))
{
return ERROR_INVALID_HANDLE;
}
if(hDesktop)
{
Status = IntValidateDesktopHandle(hDesktop,
UserMode,
0,
&Desktop);
if(!NT_SUCCESS(Status))
{
return ERROR_INVALID_HANDLE;
}
}
hwndParent = Desktop->DesktopWindow;
}
else
{
hDesktop = 0;
}
if((Parent = UserGetWindowObject(hwndParent)) &&
(Window = Parent->spwndChild))
{
BOOL bGoDown = TRUE;
Status = STATUS_SUCCESS;
while(TRUE)
{
if (bGoDown)
{
if(dwCount++ < *pBufSize && pWnd)
{
_SEH2_TRY
{
ProbeForWrite(pWnd, sizeof(HWND), 1);
*pWnd = Window->hSelf;
pWnd++;
}
_SEH2_EXCEPT(EXCEPTION_EXECUTE_HANDLER)
{
Status = _SEH2_GetExceptionCode();
}
_SEH2_END
if(!NT_SUCCESS(Status))
{
SetLastNtError(Status);
break;
}
}
if (Window->spwndChild && bChildren)
{
Window = Window->spwndChild;
continue;
}
bGoDown = FALSE;
}
if (Window->spwndNext)
{
Window = Window->spwndNext;
bGoDown = TRUE;
continue;
}
Window = Window->spwndParent;
if (Window == Parent)
{
break;
}
}
}
if(hDesktop)
{
ObDereferenceObject(Desktop);
}
}
else
{
PETHREAD Thread;
PTHREADINFO W32Thread;
PLIST_ENTRY Current;
PWINDOW_OBJECT Window;
Status = PsLookupThreadByThreadId((HANDLE)dwThreadId, &Thread);
if(!NT_SUCCESS(Status))
{
return ERROR_INVALID_PARAMETER;
}
if(!(W32Thread = (PTHREADINFO)Thread->Tcb.Win32Thread))
{
ObDereferenceObject(Thread);
DPRINT("Thread is not a GUI Thread!\n");
return ERROR_INVALID_PARAMETER;
}
Current = W32Thread->WindowListHead.Flink;
while(Current != &(W32Thread->WindowListHead))
{
Window = CONTAINING_RECORD(Current, WINDOW_OBJECT, ThreadListEntry);
ASSERT(Window);
if(bChildren || Window->spwndOwner != NULL)
{
if(dwCount < *pBufSize && pWnd)
{
Status = MmCopyToCaller(pWnd++, &Window->hSelf, sizeof(HWND));
if(!NT_SUCCESS(Status))
{
SetLastNtError(Status);
break;
}
}
dwCount++;
}
Current = Current->Flink;
}
ObDereferenceObject(Thread);
}
*pBufSize = dwCount;
return STATUS_SUCCESS;
} [培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
|
|
|---|---|
|
|
|
|
|
|
|
|
嘿嘿,回教主……你指的进程句柄表吧,其实它返回的错误是无效句柄,但是和我传入的参数无关的……按照reactOS的源码,是在第一个分支,验证if(hwndParent || !dwThreadId)里才会返回无效句柄的,那样是和hDesk , hwndParent 的有效性有关,但是我两者都设为0,dwThreadId为非0,所以根本就不会进入第一个分支,更不应该返回无效句柄错误了……这才是我郁闷的地方。
我把那部分代码弄到应用层去,再传给驱动试试……我监视过,应用层的EnumThreadWindows调用是木有问题的,而且传参方式和我的一样的 无论如何,谢教主的回复咯~ 大家都不理我
|
|
|
|
|
|
|
|
|
终于搞定这个问题了~~
根本原因是NtUserBuildHwndList的最后两个参数必须是ring3地址! text:BF830E80 loc_BF830E80: ; CODE XREF: sub_BF830D9F-31j .text:BF830E80 push 4 ; Alignment .text:BF830E82 mov eax, edi .text:BF830E84 shl eax, 2 .text:BF830E87 push eax ; Length .text:BF830E88 push dword ptr [ebp+1Ch] ; Address .text:BF830E8B call ds:ProbeForWrite(x,x,x) //对HwndBuffer验证 .text:BF830E8B .text:BF830E91 mov edx, [ebp+20h] ; pBufSize .text:BF830E94 mov eax, _Win32UserProbeAddress //0x7fff0000 .text:BF830E99 cmp edx, eax .text:BF830E9B jnb loc_BF830D73 ; 若传入的是内核地址,这时将会跳走,然后产生异常 以上就是NtUserBuildHwndList中对参数的验证,对倒数第二个参数使用ProbeForWrite进行检查,显然这必须是一个ring3地址才行。如果检查未通过将产生异常,在异常处理函数里有如下代码: .text:BF830D9F sub_BF830D9F proc near ; DATA XREF: .rdata:BF98B2F8o .text:BF830D9F .text:BF830D9F ; FUNCTION CHUNK AT .text:BF830D38 SIZE 00000050 BYTES .text:BF830D9F ; FUNCTION CHUNK AT .text:BF830EE9 SIZE 00000063 BYTES .text:BF830D9F .text:BF830D9F mov esp, [ebp-18h] .text:BF830DA2 mov edi, 0C0000008h //0xC0000008状态码在这儿 .text:BF830DA7 or dword ptr [ebp-4], 0FFFFFFFFh .text:BF830DAB mov esi, [ebp-20h] .text:BF830DAE jmp loc_BF830EC5 //跳回原函数的收尾部分,edi将赋值给eax,即返回值NTSTATUS 正是以上代码导致了0xC0000008错误码的产生,而不是我上面说的那个检查DesktopHandle的函数。 而接下会对最后一个参数也会进行检查,要求必须小于Win32UserProbeAddress,也就是0x7fff0000,如果这里不满足就会跳走,然后程序会访问0x7fff0000产生一个异常,异常后同样会跳到上面的异常处理代码中,最后产生一个0xC0000008的状态码。 经我测试,把最后两个地址改成ring3的地址就可以成功了,这个地址可以由ring3传来,也可以使用ZwAllocateVirtuelMemory申请,总之是ring3的地址就行了~~ 后面附上我的一个测试代码. 使用方法:打开DbgView,先加载驱动,然后运行exe,点击"Help"->"About",程序将会向驱动发送一个DeviceIoControl,然后就可以查看结果了~ ps:大概只有我这么蛋疼的人才会花这么多时间去解决这么一个蛋疼的问题吧。。。  不过更蛋疼的是为什么NtUserBuildHwndList会先去BuildHwndList,然后才会检查传入的参数啊。。。 发现参数不正确,然后再FreeHwndList,早知如此,何必当初呢?真是蛋疼的很~~ 而且参数不正确的话,为什么返回的是0xC0000008而不是0xC000000D(STATUS_INVALID_PARAMETER)之类呢? |
|
|
哈哈,葱白下你的反汇编功底~ 我也反过那个函数,但是看着看着就趴着睡着了。
我改改,把代码修正下~不过看起来的确是个很蛋疼的问题,谢教主了 
|
|
|
|
|
|
主要还是调试啊。。。
|
|
|
|
|
|
|
|
|
先调试找出现错误的地方,然后IDA分析,IDA可以加载pdb符号的啊。。。
|
|
|
嗯嗯,自己工程生成的PDB是可用……但是我反 win32k.sys这个文件时,那些未导出符号全部用sub_xxxx 这种毫无意义的名称表示,不知道怎么能像windbg一样,那些函数名一类的,全部能解析出来……蛋疼啊~它说它会自动搜索符号文件,我咋就没看见它搜索了呢,依旧是sub_fuck
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
教主,我刚调戏了一下,其实还有些问题…… hwndBuffer可以不是ring3的缓冲区,但是BufferSize必须是。返回0xC0000008的原因不止是这两个缓冲区的验证哦,还有一个PtiFromThreadId这个函数,因为我是在PspCreateThread后获取的ThreaId,这时PtiFromThreadId内部调用PsGetThreadWin32Thread会失败……然后紧接着PtiFromThreadId的跳转分支就会返回0xC0000008
|
|
|
|
|
|
cmp eax,dword ptr [nt!MmUserProbeAddress (80559a54)] 了了~ 我一直没反过这个函数,一直以为它只会校验一下页属性,对齐一类的~
|
|
|
|
