-
-
[求助]PsSetCreateProcessNotifyRoutine中的callback中打开进程文失败的问题
-
发表于: 2011-12-29 14:14
-
我在callback例程中获取了进程的NT路径,然后我想打开这个进程的文件计算md5,但是我用ZwCreateFile打开这个文件(正在运行)的时候就失败了,返回STATUS_SHARING_VIOLATION
传给ustrSrcFile的数据为
\\Device\\HarddiskVolume1\\WINDOWS\\system32\\notepad.exe
但是为什么打开失败
InitializeObjectAttributes(&objAttr, ustrSrcFile,
OBJ_CASE_INSENSITIVE|OBJ_KERNEL_HANDLE,
NULL, NULL);
ntstatus = ZwCreateFile(&handle,
GENERIC_ALL|SYNCHRONIZE,
&objAttr,
&ioStatusBlock,
NULL,
FILE_ATTRIBUTE_NORMAL,
FILE_SHARE_READ|FILE_SHARE_WRITE|FILE_SHARE_DELETE,
FILE_OPEN,
FILE_NON_DIRECTORY_FILE | FILE_RANDOM_ACCESS|FILE_SYNCHRONOUS_IO_NONALERT,
NULL,
0);
if (!NT_SUCCESS(ntstatus))
{
KdPrint(("CalcProcessMd5 Routine ZwCreateFile Failed 0x%08lx\n",ntstatus));
__leave;
}
传给ustrSrcFile的数据为
\\Device\\HarddiskVolume1\\WINDOWS\\system32\\notepad.exe
但是为什么打开失败
|
|
|---|---|
|
|
|
|
|
 那怎么办呢
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
我打开notepad后,在DriverEntry里面还是可以正确计算出MD5的
 ,这是为什么啊
|
|
|
|
|
|
 什么源代码啊
|
|
|
|
|
|
传说中的未导出函数。。。。 好像我在minifilter处理IRP的函数中,也无法获取当前发起IRP的进程的MD5 纠结啊 |
|
|
|
|
|
也就是说,比如我创建了一个notepad进程,那么我驱动就到了notepad进程的上下文里面,此时也就是说notepad进程打开自己的文件失败了??
解决方法就是自己发IRP?或者是V校的那个未导出函数?
|
|
|
解决了 GENERIC_ALL-->SYNCHRONIZE|FILE_READ_DATA ,就可以了 |
|
|
|
