[求助]ZwCreateFile打开驱动设备失败！！-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (15)
thebutterfly 雪币： 291 活跃值： (213) 能力值： ( LV12，RANK：210 ) 在线值：发帖 10 回帖 548 粉丝 2 关注私信	thebutterfly 5 2 楼 ioStatus里面的值是什么？另外，建议你在初始化对象属性的时候指定OBJ_KERNEL_HANDLE标志。 2013-3-16 17:13 0
aiwuxian 雪币： 281 活跃值： (33) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 46 粉丝 0 关注私信	aiwuxian 1 3 楼 i8042prt 这个驱动没加载把CreateDisposition参数用FILE_OPEN_IF 试试 2013-3-16 17:31 0
lg好人雪币： 158 活跃值： (349) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 60 粉丝 1 关注私信	lg好人 4 楼用FILE_OPEN_IF 也不行 ioStatus 没有付值的 2013-3-16 18:38 0
aiwuxian 雪币： 281 活跃值： (33) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 46 粉丝 0 关注私信	aiwuxian 1 5 楼 1.确定i8042prt是否加载了 2.确定i8042prt是否处理了irp_mj_create 2013-3-16 18:47 0
lg好人雪币： 158 活跃值： (349) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 60 粉丝 1 关注私信	lg好人 6 楼 .确定i8042prt 加载了用其他工具能看见用ObReferenceObjectByName 都能获取设备指针 2013-3-16 19:06 0
futosky 雪币： 862 活跃值： (329) 能力值： ( LV9，RANK：165 ) 在线值：发帖 23 回帖 171 粉丝 1 关注私信	futosky 3 7 楼返回值是 STATUS_OBJECT_TYPE_MISMATCH 楼主再检查一下 2013-3-16 19:07 0
lg好人雪币： 158 活跃值： (349) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 60 粉丝 1 关注私信	lg好人 8 楼对返回是这个 STATUS_OBJECT_TYPE_MISMATCH C0000024 2013-3-16 20:01 0
tishion 雪币： 496 活跃值： (291) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 9 楼 ........ ........ ........ ........ CreateFile是打开设备，不是驱动。 i8042prt是PS/2驱动，没有对应的设备。 2013-3-16 21:10 0
lg好人雪币： 158 活跃值： (349) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 60 粉丝 1 关注私信	lg好人 10 楼设备有的因为用用其他工具能看到的，用CreateFile 这个函数而不用ZwCreateFile 是吗？ 2013-3-16 22:02 0
tishion 雪币： 496 活跃值： (291) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 11 楼 CreateFile最终会调用Ntdll!ZwCreateFile 跟你说了，i8042ptr这个驱动没有对应的设备对象，只不过在其设备栈上附加的有键盘或者鼠标驱动。 2013-3-16 22:08 0
lg好人雪币： 158 活跃值： (349) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 60 粉丝 1 关注私信	lg好人 12 楼那怎么得到对象指针呢。这样不能得到对象指针。 NTSTATUS Getkeyi8042prt() { NTSTATUS ntStatus; UNICODE_STRING fileNameUnicodeString; OBJECT_ATTRIBUTES objectAttributes; HANDLE ntFileHandle; IO_STATUS_BLOCK ioStatus; PFILE_OBJECT fileObject; PDEVICE_OBJECT fileSysDevice; HANDLE hSymbolic; RtlInitUnicodeString( &fileNameUnicodeString,L"\\??\\C:\\windows\\System32\\Drivers\\i8042prt.sys"); // RtlInitUnicodeString( &fileNameUnicodeString, L"\\Driver\\i8042prt" ); InitializeObjectAttributes(&objectAttributes, &fileNameUnicodeString, OBJ_CASE_INSENSITIVE\|OBJ_KERNEL_HANDLE, NULL, NULL); ntStatus = ZwCreateFile( &ntFileHandle, FILE_READ_ATTRIBUTES\|SYNCHRONIZE, &objectAttributes, &ioStatus, NULL, FILE_ATTRIBUTE_NORMAL, FILE_SHARE_READ\|FILE_SHARE_WRITE, FILE_OPEN_IF, FILE_NON_DIRECTORY_FILE\| FILE_SYNCHRONOUS_IO_NONALERT, NULL,0); if( !NT_SUCCESS( ntStatus )) { return STATUS_UNSUCCESSFUL; } ntStatus = ObReferenceObjectByHandle( ntFileHandle, FILE_READ_DATA, NULL, KernelMode, &fileObject, NULL ); if( !NT_SUCCESS( ntStatus )) { ObDereferenceObject( fileObject ); return STATUS_UNSUCCESSFUL; } fileSysDevice=IoGetBaseFileSystemDeviceObject( fileObject ); //这里不能得到对象指针 ObDereferenceObject( fileObject ); return ntStatus; } 应该怎么才能得到对象指针 2013-3-16 22:15 0
tishion 雪币： 496 活跃值： (291) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 13 楼 \\Driver\\i8042prt NTSTATUS ObReferenceObjectByName( PUNICODE_STRING ObjectName, ULONG Attributes, PACCESS_STATE AccessState, ACCESS_MASK DesiredAccess, POBJECT_TYPE ObjectType, KPROCESSOR_MODE AccessMode, PVOID ParseContext, PVOID *Object ); 2013-3-16 22:56 0
lg好人雪币： 158 活跃值： (349) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 60 粉丝 1 关注私信	lg好人 14 楼 ObReferenceObjectByName 这个函数用过，有的机器不行不知道是什么原因。 2013-3-16 23:24 0
lg好人雪币： 158 活跃值： (349) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 60 粉丝 1 关注私信	lg好人 15 楼 http://bbs.pediy.com/showthread.php?p=1079664 这个和遇到的情况一样 2013-3-16 23:29 0
tishion 雪币： 496 活跃值： (291) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 16 楼因为这个函数是为公开函数，在早起的nt内核版本中可能还没有这个函数，所以需要考虑兼容性，如果你对兼容性要求较高的话那就换个办法吧。先去挂到KbdClass0设备上，然后再在设备栈中搜索驱动对象，理论上应该改能找到下层的i8042prt驱动对象。 2013-3-17 09:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (15)
thebutterfly 雪币： 291 活跃值： (213) 能力值： ( LV12，RANK：210 ) 在线值：发帖 10 回帖 548 粉丝 2 关注私信	thebutterfly 5 2 楼 ioStatus里面的值是什么？另外，建议你在初始化对象属性的时候指定OBJ_KERNEL_HANDLE标志。 2013-3-16 17:13 0
aiwuxian 雪币： 281 活跃值： (33) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 46 粉丝 0 关注私信	aiwuxian 1 3 楼 i8042prt 这个驱动没加载把CreateDisposition参数用FILE_OPEN_IF 试试 2013-3-16 17:31 0
lg好人雪币： 158 活跃值： (349) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 60 粉丝 1 关注私信	lg好人 4 楼用FILE_OPEN_IF 也不行 ioStatus 没有付值的 2013-3-16 18:38 0
aiwuxian 雪币： 281 活跃值： (33) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 46 粉丝 0 关注私信	aiwuxian 1 5 楼 1.确定i8042prt是否加载了 2.确定i8042prt是否处理了irp_mj_create 2013-3-16 18:47 0
lg好人雪币： 158 活跃值： (349) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 60 粉丝 1 关注私信	lg好人 6 楼 .确定i8042prt 加载了用其他工具能看见用ObReferenceObjectByName 都能获取设备指针 2013-3-16 19:06 0
futosky 雪币： 862 活跃值： (329) 能力值： ( LV9，RANK：165 ) 在线值：发帖 23 回帖 171 粉丝 1 关注私信	futosky 3 7 楼返回值是 STATUS_OBJECT_TYPE_MISMATCH 楼主再检查一下 2013-3-16 19:07 0
lg好人雪币： 158 活跃值： (349) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 60 粉丝 1 关注私信	lg好人 8 楼对返回是这个 STATUS_OBJECT_TYPE_MISMATCH C0000024 2013-3-16 20:01 0
tishion 雪币： 496 活跃值： (291) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 9 楼 ........ ........ ........ ........ CreateFile是打开设备，不是驱动。 i8042prt是PS/2驱动，没有对应的设备。 2013-3-16 21:10 0
lg好人雪币： 158 活跃值： (349) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 60 粉丝 1 关注私信	lg好人 10 楼设备有的因为用用其他工具能看到的，用CreateFile 这个函数而不用ZwCreateFile 是吗？ 2013-3-16 22:02 0
tishion 雪币： 496 活跃值： (291) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 11 楼 CreateFile最终会调用Ntdll!ZwCreateFile 跟你说了，i8042ptr这个驱动没有对应的设备对象，只不过在其设备栈上附加的有键盘或者鼠标驱动。 2013-3-16 22:08 0
lg好人雪币： 158 活跃值： (349) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 60 粉丝 1 关注私信	lg好人 12 楼那怎么得到对象指针呢。这样不能得到对象指针。 NTSTATUS Getkeyi8042prt() { NTSTATUS ntStatus; UNICODE_STRING fileNameUnicodeString; OBJECT_ATTRIBUTES objectAttributes; HANDLE ntFileHandle; IO_STATUS_BLOCK ioStatus; PFILE_OBJECT fileObject; PDEVICE_OBJECT fileSysDevice; HANDLE hSymbolic; RtlInitUnicodeString( &fileNameUnicodeString,L"\\??\\C:\\windows\\System32\\Drivers\\i8042prt.sys"); // RtlInitUnicodeString( &fileNameUnicodeString, L"\\Driver\\i8042prt" ); InitializeObjectAttributes(&objectAttributes, &fileNameUnicodeString, OBJ_CASE_INSENSITIVE\|OBJ_KERNEL_HANDLE, NULL, NULL); ntStatus = ZwCreateFile( &ntFileHandle, FILE_READ_ATTRIBUTES\|SYNCHRONIZE, &objectAttributes, &ioStatus, NULL, FILE_ATTRIBUTE_NORMAL, FILE_SHARE_READ\|FILE_SHARE_WRITE, FILE_OPEN_IF, FILE_NON_DIRECTORY_FILE\| FILE_SYNCHRONOUS_IO_NONALERT, NULL,0); if( !NT_SUCCESS( ntStatus )) { return STATUS_UNSUCCESSFUL; } ntStatus = ObReferenceObjectByHandle( ntFileHandle, FILE_READ_DATA, NULL, KernelMode, &fileObject, NULL ); if( !NT_SUCCESS( ntStatus )) { ObDereferenceObject( fileObject ); return STATUS_UNSUCCESSFUL; } fileSysDevice=IoGetBaseFileSystemDeviceObject( fileObject ); //这里不能得到对象指针 ObDereferenceObject( fileObject ); return ntStatus; } 应该怎么才能得到对象指针 2013-3-16 22:15 0
tishion 雪币： 496 活跃值： (291) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 13 楼 \\Driver\\i8042prt NTSTATUS ObReferenceObjectByName( PUNICODE_STRING ObjectName, ULONG Attributes, PACCESS_STATE AccessState, ACCESS_MASK DesiredAccess, POBJECT_TYPE ObjectType, KPROCESSOR_MODE AccessMode, PVOID ParseContext, PVOID *Object ); 2013-3-16 22:56 0
lg好人雪币： 158 活跃值： (349) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 60 粉丝 1 关注私信	lg好人 14 楼 ObReferenceObjectByName 这个函数用过，有的机器不行不知道是什么原因。 2013-3-16 23:24 0
lg好人雪币： 158 活跃值： (349) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 60 粉丝 1 关注私信	lg好人 15 楼 http://bbs.pediy.com/showthread.php?p=1079664 这个和遇到的情况一样 2013-3-16 23:29 0
tishion 雪币： 496 活跃值： (291) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 16 楼因为这个函数是为公开函数，在早起的nt内核版本中可能还没有这个函数，所以需要考虑兼容性，如果你对兼容性要求较高的话那就换个办法吧。先去挂到KbdClass0设备上，然后再在设备栈中搜索驱动对象，理论上应该改能找到下层的i8042prt驱动对象。 2013-3-17 09:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复