-
-
[求助] 内核中如何准确的区分文件和文件夹创建和打开或是文件是否存在
-
发表于: 2012-8-1 15:30
-
请教 各位 大虾 内核中如何准确的区分 文件和文件夹 创建和打开 或是 文件和文件夹 是否存在
我HOOK 了 NtCreateFile 目前 唯一确定 就是 CreateDisposition==FILE_CREATE 创建
但是 CreateDisposition==FILE_OPEN_IF || CreateDisposition==FILE_OVERWRITE_IF
这2个 参数 同样也具有 创建文件的效果同时也是打开文件 无法准确的区分出来
那么 是否可以通过 ObjectAttributes->ObjectName 在内核中准确的判断 文件和文件夹是否存在
我目前可以想到的就是 NtOpenFile 但又需要 先确认打开的是 文件 还是文件夹
不知道 各位大虾 是否 有 比较 精确的简单的 办法 先感谢大虾 看帖 并且 万分感谢 下面回复的 朋友
不管是否 解决了我的问题 你的热心帮助 都将使我 努力的学习成长
谢谢各位
已解决 WRK中 写的很清楚 呵呵 好东西啊~!!
我HOOK 了 NtCreateFile 目前 唯一确定 就是 CreateDisposition==FILE_CREATE 创建
但是 CreateDisposition==FILE_OPEN_IF || CreateDisposition==FILE_OVERWRITE_IF
这2个 参数 同样也具有 创建文件的效果同时也是打开文件 无法准确的区分出来
那么 是否可以通过 ObjectAttributes->ObjectName 在内核中准确的判断 文件和文件夹是否存在
我目前可以想到的就是 NtOpenFile 但又需要 先确认打开的是 文件 还是文件夹
不知道 各位大虾 是否 有 比较 精确的简单的 办法 先感谢大虾 看帖 并且 万分感谢 下面回复的 朋友
不管是否 解决了我的问题 你的热心帮助 都将使我 努力的学习成长
谢谢各位已解决 WRK中 写的很清楚 呵呵 好东西啊~!!
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
那你就判断CreateDisposition的值啊,
switch (CreateDisposition) { case FILE_OPEN_IF: //如果文件存在,则打开,文件不存在,则创建 //添加你的过滤 break; case FILE_OVERWRITE_IF: //如果文件存在,则覆盖,文件不存在,则创建 //添加你的过滤 break; ..... } 如果CreateDisposition不是你想关注的,直接返回STATUS_UNCUSSESSFUL;就可以了~
|
|
|
|
