已经解决 [求助]ObOpenObjectByName 调用失败-编程技术-看雪-安全社区|安全招聘|kanxue.com

已经解决 [求助]ObOpenObjectByName 调用失败

发表于: 2012-8-5 23:19 9239

已经解决 [求助]ObOpenObjectByName 调用失败

caierhuan

2012-8-5 23:19

9239

NTSTATUS __stdcall  MyNtCreateFile(
   OUT PHANDLE          FileHandle,
   IN ACCESS_MASK       DesiredAccess,
   IN POBJECT_ATTRIBUTES ObjectAttributes,
   OUT PIO_STATUS_BLOCK IoStatusBlock,
   IN PLARGE_INTEGER    AllocationSize OPTIONAL,
   IN ULONG             FileAttributes,
   IN ULONG             ShareAccess,
   IN ULONG             CreateDisposition,
   IN ULONG             CreateOptions,
   IN PVOID             EaBuffer OPTIONAL,
   IN ULONG             EaLength )
{

OPEN_PACKET openPacket;
HANDLE hHandle = NULL;
NTSTATUS SStatus;
DUMMY_FILE_OBJECT localFileObject;
KPROCESSOR_MODE requestorMode;

RtlZeroMemory(&openPacket, sizeof( OPEN_PACKET ) );

requestorMode = KeGetPreviousMode();

openPacket.Type = IO_TYPE_OPEN_PACKET;
openPacket.Size = sizeof( OPEN_PACKET );
openPacket.ParseCheck = 0L;
openPacket.AllocationSize.LowPart = 0;openPacket.AllocationSize.LowPart = 0;
openPacket.CreateOptions = FILE_SYNCHRONOUS_IO_NONALERT | FILE_DIRECTORY_FILE;
openPacket.FileAttributes = (USHORT) 0;
openPacket.ShareAccess = (USHORT) FILE_SHARE_READ | FILE_SHARE_WRITE | FILE_SHARE_DELETE;
openPacket.Disposition = FILE_OPEN;
openPacket.Override = FALSE;
openPacket.QueryOnly = FALSE;
openPacket.DeleteOnly = FALSE;
openPacket.Options = 0;
openPacket.RelatedFileObject = (PFILE_OBJECT) NULL;
openPacket.CreateFileType = CreateFileTypeNone;
openPacket.ExtraCreateParameters = NULL;
openPacket.TraversedMountPoint = FALSE;
openPacket.InternalFlags = 0;
openPacket.TopDeviceObjectHint = NULL;

/*
openPacket.Type = IO_TYPE_OPEN_PACKET;
openPacket.Size = sizeof( OPEN_PACKET );
openPacket.CreateOptions = FILE_DELETE_ON_CLOSE;
openPacket.ShareAccess = (USHORT) FILE_SHARE_READ | FILE_SHARE_WRITE | FILE_SHARE_DELETE;
openPacket.Disposition = FILE_OPEN;
openPacket.DeleteOnly = TRUE;
openPacket.TraversedMountPoint = FALSE;
openPacket.LocalFileObject = &localFileObject;

*/
status = ObOpenObjectByName( ObjectAttributes,
                              (POBJECT_TYPE) NULL,
                              requestorMode,
                              NULL,
                              DesiredAccess,
                              &openPacket,
                              &hHandle);

ObOpenObjectByName 执行返回 C0000103 错误

下面注译掉的是 WRK 里面的  OPEN_PACKET 结构填充也是错误

郁闷了  ObjectAttributes InitializeObjectAttributes 初始化一个新的也是错误

求大侠指点迷津感激不尽

已经解决放弃采用 ObOpenObjectByName

原来还可以使用 ZwQueryAttributesFile 来查询的

在此感谢各位热心帮助回帖的大虾牛人你们的帮助令我受益匪浅谢谢·！

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・1

免费・0

支持

最新回复 (11)
何健hj 雪币： 239 活跃值： (133) 能力值： ( LV5，RANK：60 ) 在线值：发帖 51 回帖 234 粉丝 0 关注私信	何健hj 2 楼 OPEN_PACKET 这个结构应该有初始化函数吧 2012-8-5 23:49 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 3 楼 WCHAR wstrVolume[] = L"\\Device\\HarddiskVolume1"; HANDLE hHandle = NULL; RtlInitUnicodeString(&unFileName, wstrVolume); InitializeObjectAttributes(&ObjectAttributes, &unFileName, OBJ_CASE_INSENSITIVE \| OBJ_KERNEL_HANDLE, NULL, NULL); openPacket.Type = IO_TYPE_OPEN_PACKET; openPacket.Size = sizeof( OPEN_PACKET ); openPacket.ParseCheck = 0L; openPacket.AllocationSize.LowPart = 0; openPacket.AllocationSize.LowPart = 0; openPacket.CreateOptions = FILE_SYNCHRONOUS_IO_NONALERT \| FILE_DIRECTORY_FILE; openPacket.FileAttributes = (USHORT) 0; openPacket.ShareAccess = (USHORT) FILE_SHARE_READ \| FILE_SHARE_WRITE \| FILE_SHARE_DELETE; openPacket.Disposition = FILE_OPEN; openPacket.Override = FALSE; openPacket.QueryOnly = FALSE; openPacket.DeleteOnly = FALSE; openPacket.Options = 0; openPacket.RelatedFileObject = (PFILE_OBJECT) NULL; openPacket.CreateFileType = CreateFileTypeNone; openPacket.ExtraCreateParameters = NULL; openPacket.TraversedMountPoint = FALSE; openPacket.InternalFlags = 0; openPacket.TopDeviceObjectHint = NULL; Status = ObOpenObjectByName( &ObjectAttributes, *IoFileObjectType, KernelMode, NULL, WRITE_OWNER \| SYNCHRONIZE, &openPacket, &hHandle ); 2012-8-6 00:01 0
caierhuan 雪币： 279 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 80 粉丝 0 关注私信	caierhuan 4 楼感谢 2为大虾热情帮助 TO 2楼有一个初始化宏我这里无效 TO 3楼你这个是百度上面的代码我早就试验过了是没用的依然错误的再次感谢 2位 2012-8-6 00:09 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 5 楼 OPEN_PACKET的定义，拿出来看看，操作系统相关的~每个版本都不一样的哦，亲~ 比如win7 x86下是这样的~ typedef struct _OPEN_PACKET // 27 elements, 0x70 bytes (sizeof) { /0x000/ INT16 Type; /0x002/ INT16 Size; /0x004/ struct _FILE_OBJECT* FileObject; /0x008/ LONG32 FinalStatus; /0x00C/ ULONG32 Information; /0x010/ ULONG32 ParseCheck; /0x014/ struct _FILE_OBJECT* RelatedFileObject; /0x018/ struct _OBJECT_ATTRIBUTES* OriginalAttributes; /0x01C/ UINT8 _PADDING0_[0x4]; /0x020/ union _LARGE_INTEGER AllocationSize; // 4 elements, 0x8 bytes (sizeof) /0x028/ ULONG32 CreateOptions; /0x02C/ UINT16 FileAttributes; /0x02E/ UINT16 ShareAccess; /0x030/ VOID* EaBuffer; /0x034/ ULONG32 EaLength; /0x038/ ULONG32 Options; /0x03C/ ULONG32 Disposition; /0x040/ struct _FILE_BASIC_INFORMATION* BasicInformation; /0x044/ struct _FILE_NETWORK_OPEN_INFORMATION* NetworkInformation; /0x048/ enum _CREATE_FILE_TYPE CreateFileType; /0x04C/ VOID* MailslotOrPipeParameters; /0x050/ UINT8 Override; /0x051/ UINT8 QueryOnly; /0x052/ UINT8 DeleteOnly; /0x053/ UINT8 FullAttributes; /0x054/ struct _DUMMY_FILE_OBJECT* LocalFileObject; /0x058/ ULONG32 InternalFlags; /0x05C/ struct _IO_DRIVER_CREATE_CONTEXT DriverCreateContext; // 4 elements, 0x10 bytes (sizeof) /0x06C/ UINT8 _PADDING1_[0x4]; }OPEN_PACKET, *POPEN_PACKET; 2012-8-6 05:45 0
guijc 雪币： 558 活跃值： (73) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 106 粉丝 1 关注私信	guijc 6 楼别折腾了，哪个结构未公开的，每个系统都不一样，还是老老实实的用ZwOpenFile获得的句柄，然后ObReferenceObjectByHandle获得内核对象，就好了具体代码可以参考这个帖子：http://bbs.pediy.com/showthread.php?t=153786 2012-8-6 08:49 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 7 楼偶是来学习的，看一看 2012-8-6 09:34 0
caierhuan 雪币： 279 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 80 粉丝 0 关注私信	caierhuan 8 楼太感谢 V大的指点了怎么说来是无法通用了伤心 2012-8-6 15:33 0
caierhuan 雪币： 279 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 80 粉丝 0 关注私信	caierhuan 9 楼感谢大大的指点可我不需要获得对象其实只需要获取句柄就可以了具体需求看这里 http://bbs.pediy.com/showthread.php?t=154143 但是很可惜没有符合我要求的答案查询 WRK 获得通过 ObOpenObjectByName 可以根据文件路径获取文件对象来判断是否已经存在识别打开还是创建的请求当然 ZwOpenFile 直接就可以获取但是调用 ZwOpenFile 需要预先区分文件夹和文件这又是烦恼的问题 2012-8-6 15:39 0
guijc 雪币： 558 活跃值： (73) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 106 粉丝 1 关注私信	guijc 10 楼我给你说，文件和文件夹，在成功打开之前是无法区分的，另外，你不要被“查询 WRK 获得通过 ObOpenObjectByName 可以根据文件路径获取文件对象”这句话中的“文件对象”给欺骗了，其实它也可能是“文件夹对象”，总之想要准确的区分是文件还是文件夹，必须成功打开文件对象以后，根据返回值才可以确定。 2012-8-6 17:00 0
caierhuan 雪币： 279 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 80 粉丝 0 关注私信	caierhuan 11 楼谢谢指点是我没说明白我不需要区分文件和文件夹 ObOpenObjectByName 获取的是对象不管是文件还是文件夹只要存在就能获取一切存在的都可以当作 NtCreateFile 当参数为 CreateDisposition==FILE_OPEN_IF \|\| CreateDisposition==FILE_OVERWRITE_IF 就是打开请求至于后面的那是应为当调用 ZwOpenFile 时需要提前区分文件和文件夹来使用不同的参数这样说看的明白了吧最后感谢你的回复 2012-8-6 17:42 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 12 楼纵观全帖子，完全不知楼主在说啥~~ 2012-8-6 17:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

caierhuan

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (11)
何健hj 雪币： 239 活跃值： (133) 能力值： ( LV5，RANK：60 ) 在线值：发帖 51 回帖 234 粉丝 0 关注私信	何健hj 2 楼 OPEN_PACKET 这个结构应该有初始化函数吧 2012-8-5 23:49 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 3 楼 WCHAR wstrVolume[] = L"\\Device\\HarddiskVolume1"; HANDLE hHandle = NULL; RtlInitUnicodeString(&unFileName, wstrVolume); InitializeObjectAttributes(&ObjectAttributes, &unFileName, OBJ_CASE_INSENSITIVE \| OBJ_KERNEL_HANDLE, NULL, NULL); openPacket.Type = IO_TYPE_OPEN_PACKET; openPacket.Size = sizeof( OPEN_PACKET ); openPacket.ParseCheck = 0L; openPacket.AllocationSize.LowPart = 0; openPacket.AllocationSize.LowPart = 0; openPacket.CreateOptions = FILE_SYNCHRONOUS_IO_NONALERT \| FILE_DIRECTORY_FILE; openPacket.FileAttributes = (USHORT) 0; openPacket.ShareAccess = (USHORT) FILE_SHARE_READ \| FILE_SHARE_WRITE \| FILE_SHARE_DELETE; openPacket.Disposition = FILE_OPEN; openPacket.Override = FALSE; openPacket.QueryOnly = FALSE; openPacket.DeleteOnly = FALSE; openPacket.Options = 0; openPacket.RelatedFileObject = (PFILE_OBJECT) NULL; openPacket.CreateFileType = CreateFileTypeNone; openPacket.ExtraCreateParameters = NULL; openPacket.TraversedMountPoint = FALSE; openPacket.InternalFlags = 0; openPacket.TopDeviceObjectHint = NULL; Status = ObOpenObjectByName( &ObjectAttributes, *IoFileObjectType, KernelMode, NULL, WRITE_OWNER \| SYNCHRONIZE, &openPacket, &hHandle ); 2012-8-6 00:01 0
caierhuan 雪币： 279 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 80 粉丝 0 关注私信	caierhuan 4 楼感谢 2为大虾热情帮助 TO 2楼有一个初始化宏我这里无效 TO 3楼你这个是百度上面的代码我早就试验过了是没用的依然错误的再次感谢 2位 2012-8-6 00:09 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 5 楼 OPEN_PACKET的定义，拿出来看看，操作系统相关的~每个版本都不一样的哦，亲~ 比如win7 x86下是这样的~ typedef struct _OPEN_PACKET // 27 elements, 0x70 bytes (sizeof) { /0x000/ INT16 Type; /0x002/ INT16 Size; /0x004/ struct _FILE_OBJECT* FileObject; /0x008/ LONG32 FinalStatus; /0x00C/ ULONG32 Information; /0x010/ ULONG32 ParseCheck; /0x014/ struct _FILE_OBJECT* RelatedFileObject; /0x018/ struct _OBJECT_ATTRIBUTES* OriginalAttributes; /0x01C/ UINT8 _PADDING0_[0x4]; /0x020/ union _LARGE_INTEGER AllocationSize; // 4 elements, 0x8 bytes (sizeof) /0x028/ ULONG32 CreateOptions; /0x02C/ UINT16 FileAttributes; /0x02E/ UINT16 ShareAccess; /0x030/ VOID* EaBuffer; /0x034/ ULONG32 EaLength; /0x038/ ULONG32 Options; /0x03C/ ULONG32 Disposition; /0x040/ struct _FILE_BASIC_INFORMATION* BasicInformation; /0x044/ struct _FILE_NETWORK_OPEN_INFORMATION* NetworkInformation; /0x048/ enum _CREATE_FILE_TYPE CreateFileType; /0x04C/ VOID* MailslotOrPipeParameters; /0x050/ UINT8 Override; /0x051/ UINT8 QueryOnly; /0x052/ UINT8 DeleteOnly; /0x053/ UINT8 FullAttributes; /0x054/ struct _DUMMY_FILE_OBJECT* LocalFileObject; /0x058/ ULONG32 InternalFlags; /0x05C/ struct _IO_DRIVER_CREATE_CONTEXT DriverCreateContext; // 4 elements, 0x10 bytes (sizeof) /0x06C/ UINT8 _PADDING1_[0x4]; }OPEN_PACKET, *POPEN_PACKET; 2012-8-6 05:45 0
guijc 雪币： 558 活跃值： (73) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 106 粉丝 1 关注私信	guijc 6 楼别折腾了，哪个结构未公开的，每个系统都不一样，还是老老实实的用ZwOpenFile获得的句柄，然后ObReferenceObjectByHandle获得内核对象，就好了具体代码可以参考这个帖子：http://bbs.pediy.com/showthread.php?t=153786 2012-8-6 08:49 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 7 楼偶是来学习的，看一看 2012-8-6 09:34 0
caierhuan 雪币： 279 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 80 粉丝 0 关注私信	caierhuan 8 楼太感谢 V大的指点了怎么说来是无法通用了伤心 2012-8-6 15:33 0
caierhuan 雪币： 279 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 80 粉丝 0 关注私信	caierhuan 9 楼感谢大大的指点可我不需要获得对象其实只需要获取句柄就可以了具体需求看这里 http://bbs.pediy.com/showthread.php?t=154143 但是很可惜没有符合我要求的答案查询 WRK 获得通过 ObOpenObjectByName 可以根据文件路径获取文件对象来判断是否已经存在识别打开还是创建的请求当然 ZwOpenFile 直接就可以获取但是调用 ZwOpenFile 需要预先区分文件夹和文件这又是烦恼的问题 2012-8-6 15:39 0
guijc 雪币： 558 活跃值： (73) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 106 粉丝 1 关注私信	guijc 10 楼我给你说，文件和文件夹，在成功打开之前是无法区分的，另外，你不要被“查询 WRK 获得通过 ObOpenObjectByName 可以根据文件路径获取文件对象”这句话中的“文件对象”给欺骗了，其实它也可能是“文件夹对象”，总之想要准确的区分是文件还是文件夹，必须成功打开文件对象以后，根据返回值才可以确定。 2012-8-6 17:00 0
caierhuan 雪币： 279 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 80 粉丝 0 关注私信	caierhuan 11 楼谢谢指点是我没说明白我不需要区分文件和文件夹 ObOpenObjectByName 获取的是对象不管是文件还是文件夹只要存在就能获取一切存在的都可以当作 NtCreateFile 当参数为 CreateDisposition==FILE_OPEN_IF \|\| CreateDisposition==FILE_OVERWRITE_IF 就是打开请求至于后面的那是应为当调用 ZwOpenFile 时需要提前区分文件和文件夹来使用不同的参数这样说看的明白了吧最后感谢你的回复 2012-8-6 17:42 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 12 楼纵观全帖子，完全不知楼主在说啥~~ 2012-8-6 17:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复