首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [求助]ZwOpenFile 加载 ntoskrnl.exe失败 求助(附代码) 0.00雪花
发表于: 2013-6-15 17:05 1789

[旧帖] [求助]ZwOpenFile 加载 ntoskrnl.exe失败 求助(附代码) 0.00雪花

wantsee 活跃值
2013-6-15 17:05
1789
LONG KernelImageFileBase;
        HANDLE KernelImageFilehandle;
        UNICODE_STRING KernelImageName;
        OBJECT_ATTRIBUTES obj_attr;
        NTSTATUS status;

        GetKernelImageName(&KernelImageName); //得到的路径               //C:\WINDOWS\system32\ntoskrnl.exe

        InitializeObjectAttributes(&obj_attr,&KernelImageName,OBJ_EXCLUSIVE,NULL,NULL);

        status = ZwOpenFile(&KernelImageFilehandle,GENERIC_ALL,&obj_attr,NULL,FILE_SHARE_READ,FILE_SYNCHRONOUS_IO_NONALERT);

        if (STATUS_SUCCESS != status)
        {
                KdPrint(("ZwOpenFile field!\n"));
                return;
        }

        KdPrint(("ZwOpenFile success!\n"));

以上代码执行的时候结果为 ZwOpenFile field,不知道为什么,请大家帮忙看下!谢谢

[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

收藏
免费 0
支持
分享
最新回复 (3)
sunnysab
雪    币: 80
活跃值: (109)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
2
我以前打算用LoadLibrary()调用ntoskrnl.exe中的Kebugcheck()。没能成功。
LoadLibrary() -> GetProcAddress()都是对的,但是调用函数时出现内存错误。

很抱歉,不知道为啥,反正ring0肯定要的。
2013-6-15 21:39
0
SdKfz
雪    币: 1
活跃值: (1174)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
IO_STATUS_BLOCK参数要给
2013-6-16 10:44
0
wantsee
雪    币: 4
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
感谢楼上回复,问题找到了 一个是IO_STATUS_BLOCK 参数,另外还有,路径,需要在前面加上"\??" 完整路径为    \??\C:\WINDOWS\system32\ntoskrnl.exe 不知道为何,不知道哪位能讲讲
2013-6-16 19:35
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//