[求助]请教各位驱动大牛问题一个-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
RootSuLe 雪币： 601 活跃值： (256) 能力值： ( LV11，RANK：190 ) 在线值：发帖 11 回帖 344 粉丝 4 关注私信	RootSuLe 4 2 楼 ObQueryNameString查不到么 2012-4-30 12:24 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 3 楼何为总是问完问题才想到出呢为何总是自己想出才有回答呢 NtQueryObject （ObjectNameInformation）; 解决了还是谢谢LS 2012-4-30 12:57 0
jfztaq 雪币： 193 活跃值： (1215) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 344 粉丝 1 关注私信	jfztaq 4 楼楼主用的是什么工具啊 2012-4-30 12:59 0
yarpee 雪币： 343 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 6 回帖 156 粉丝 0 关注私信	yarpee 1 5 楼贴上一段，仅在XP Professional SP2上测试通过。 typedef struct _OBJECT_DIRECTORY_INFORMATION { UNICODE_STRING Name; UNICODE_STRING TypeName; } OBJECT_DIRECTORY_INFORMATION, POBJECT_DIRECTORY_INFORMATION; typedef NTSTATUS (ZwQueryDirectoryObject)(HANDLE DirectoryHandle, PVOID Buffer, ULONG Length, BOOLEAN ReturnSingleEntry, BOOLEAN RestartScan, PULONG Context, PULONG ReturnLength); VOID PrintBaseNamedObjects() { // 获取ZwQueryDirectoryObject函数地址 UNICODE_STRING ustrQueryFunc; RtlInitUnicodeString(&ustrQueryFunc, L"ZwQueryDirectoryObject"); ZwQueryDirectoryObject pfnQuery = (ZwQueryDirectoryObject)MmGetSystemRoutineAddress(&ustrQueryFunc); if(pfnQuery != NULL) { // 打开"\BaseNameObjects"对象目录 UNICODE_STRING ustrBaseNamedObjects; RtlInitUnicodeString(&ustrBaseNamedObjects, L"\\BaseNamedObjects"); OBJECT_ATTRIBUTES oa; InitializeObjectAttributes(&oa, &ustrBaseNamedObjects, OBJ_CASE_INSENSITIVE, NULL, NULL); HANDLE hDirectory; NTSTATUS status = ZwOpenDirectoryObject(&hDirectory, DIRECTORY_QUERY, &oa); if(NT_SUCCESS(status)) { POBJECT_DIRECTORY_INFORMATION pBuffer = NULL; ULONG ulLength = 0x400; ULONG ulContext = 0; // Search的上下文 // 循环获取"\BaseNameObjects"对象目录下信息 do { if(pBuffer != NULL) { ExFreePool(pBuffer); pBuffer = NULL; ulLength *= 2; // 成倍增加 } pBuffer = (POBJECT_DIRECTORY_INFORMATION)ExAllocatePool(NonPagedPool, ulLength); if(pBuffer != NULL) { status = pfnQuery(hDirectory, pBuffer, ulLength, FALSE, TRUE, &ulContext, NULL); } else { status = STATUS_BUFFER_TOO_SMALL; } } while (STATUS_MORE_ENTRIES == status \|\| STATUS_BUFFER_TOO_SMALL == status); if(NT_SUCCESS(status)) { POBJECT_DIRECTORY_INFORMATION pInfo = pBuffer; // 循环处理每个OBJECT_DIRECTORY_INFORMATION while(pInfo != NULL && pInfo->Name.Length != 0 && pInfo->TypeName.Length != 0) { KdPrint(("Name: %ws, TypeName: %ws.\n", pInfo->Name.Buffer, pInfo->TypeName.Buffer)); ++pInfo; } } if(pBuffer != NULL) { ExFreePool(pBuffer); pBuffer = NULL; } ZwClose(hDirectory); } else { KdPrint(("ZwOpenDirectoryObject Failed!\n")); } } else { KdPrint(("MmGetSystemRoutineAddress Failed!\n")); } } 2012-4-30 13:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (4)
RootSuLe 雪币： 601 活跃值： (256) 能力值： ( LV11，RANK：190 ) 在线值：发帖 11 回帖 344 粉丝 4 关注私信	RootSuLe 4 2 楼 ObQueryNameString查不到么 2012-4-30 12:24 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 3 楼何为总是问完问题才想到出呢为何总是自己想出才有回答呢 NtQueryObject （ObjectNameInformation）; 解决了还是谢谢LS 2012-4-30 12:57 0
jfztaq 雪币： 193 活跃值： (1215) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 344 粉丝 1 关注私信	jfztaq 4 楼楼主用的是什么工具啊 2012-4-30 12:59 0
yarpee 雪币： 343 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 6 回帖 156 粉丝 0 关注私信	yarpee 1 5 楼贴上一段，仅在XP Professional SP2上测试通过。 typedef struct _OBJECT_DIRECTORY_INFORMATION { UNICODE_STRING Name; UNICODE_STRING TypeName; } OBJECT_DIRECTORY_INFORMATION, POBJECT_DIRECTORY_INFORMATION; typedef NTSTATUS (ZwQueryDirectoryObject)(HANDLE DirectoryHandle, PVOID Buffer, ULONG Length, BOOLEAN ReturnSingleEntry, BOOLEAN RestartScan, PULONG Context, PULONG ReturnLength); VOID PrintBaseNamedObjects() { // 获取ZwQueryDirectoryObject函数地址 UNICODE_STRING ustrQueryFunc; RtlInitUnicodeString(&ustrQueryFunc, L"ZwQueryDirectoryObject"); ZwQueryDirectoryObject pfnQuery = (ZwQueryDirectoryObject)MmGetSystemRoutineAddress(&ustrQueryFunc); if(pfnQuery != NULL) { // 打开"\BaseNameObjects"对象目录 UNICODE_STRING ustrBaseNamedObjects; RtlInitUnicodeString(&ustrBaseNamedObjects, L"\\BaseNamedObjects"); OBJECT_ATTRIBUTES oa; InitializeObjectAttributes(&oa, &ustrBaseNamedObjects, OBJ_CASE_INSENSITIVE, NULL, NULL); HANDLE hDirectory; NTSTATUS status = ZwOpenDirectoryObject(&hDirectory, DIRECTORY_QUERY, &oa); if(NT_SUCCESS(status)) { POBJECT_DIRECTORY_INFORMATION pBuffer = NULL; ULONG ulLength = 0x400; ULONG ulContext = 0; // Search的上下文 // 循环获取"\BaseNameObjects"对象目录下信息 do { if(pBuffer != NULL) { ExFreePool(pBuffer); pBuffer = NULL; ulLength *= 2; // 成倍增加 } pBuffer = (POBJECT_DIRECTORY_INFORMATION)ExAllocatePool(NonPagedPool, ulLength); if(pBuffer != NULL) { status = pfnQuery(hDirectory, pBuffer, ulLength, FALSE, TRUE, &ulContext, NULL); } else { status = STATUS_BUFFER_TOO_SMALL; } } while (STATUS_MORE_ENTRIES == status \|\| STATUS_BUFFER_TOO_SMALL == status); if(NT_SUCCESS(status)) { POBJECT_DIRECTORY_INFORMATION pInfo = pBuffer; // 循环处理每个OBJECT_DIRECTORY_INFORMATION while(pInfo != NULL && pInfo->Name.Length != 0 && pInfo->TypeName.Length != 0) { KdPrint(("Name: %ws, TypeName: %ws.\n", pInfo->Name.Buffer, pInfo->TypeName.Buffer)); ++pInfo; } } if(pBuffer != NULL) { ExFreePool(pBuffer); pBuffer = NULL; } ZwClose(hDirectory); } else { KdPrint(("ZwOpenDirectoryObject Failed!\n")); } } else { KdPrint(("MmGetSystemRoutineAddress Failed!\n")); } } 2012-4-30 13:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复