[求助]SHFileOperation函数不会重定向-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]SHFileOperation函数不会重定向

发表于: 2015-2-2 09:25 3608

[求助]SHFileOperation函数不会重定向

soh

2015-2-2 09:25

3608

今天调试NSIS安装文件时碰到一个问题，32位的安装程序在64位系统上跑（Win7 64 bit）
安装流程中，拷贝文件，将能将文件拷贝到 c:\windows\system32\drivers下。
卸载流程中，删除文件时却无法删除该目录下的特定文件，而是删除c:\windows\syswow64\drivers下的文件。
初步看起来，应该是文件系统重定向的问题。

调试发现，删除文件时，调用DeleteFileA API。
而拷贝文件时调用的是 SHFileOperation，然后调用CreateFileA 接口。

首先想到一个问题：
（1）文件系统重定向机制的路径转换是在用户态还是内核态进行的？（我尝试找了些资料，单依然没有明确想法）

猜测安装文件在调用SHFileOperation之前，先关闭了文件系统重定向。设置断点：
bu kernel32!Wow64DisableFsRedirection
bu kernel32!Wow64RevertFsRedirection
发现没有相关操作，那么，如果有关闭重定向操作，应该是在SHFileOperation内进行。但是调试时也没有发现。

由此想请教第二个问题：
（2）SHFileOperation接口是如何避免文件系统重定向的？

请教各位，进一步验证的思路，或者提供相关信息，谢谢。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (2)
orz1ruo 雪币： 16468 活跃值： (2493) 能力值： ( LV9，RANK：147 ) 在线值：发帖 1 回帖 611 粉丝 9 关注私信	orz1ruo 2 楼 SHFileOperation没有关闭的操作吧.帮你顶一下,等待楼下回复.我也有点好奇.. 2015-2-2 10:47 0
Hoogle 雪币： 256 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 118 粉丝 0 关注私信	Hoogle 3 楼你确定不是64位程序调用SHFileOperation吧？那么有可能是32位程序先调用GetSystemDirectory获得C:\Windows\System32；你自己写个测试程序看下SHFileOperation是否有关闭重定位不就知道了。。。。还搞那么麻烦。。。 2015-2-2 12:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

soh

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
orz1ruo 雪币： 16468 活跃值： (2493) 能力值： ( LV9，RANK：147 ) 在线值：发帖 1 回帖 611 粉丝 9 关注私信	orz1ruo 2 楼 SHFileOperation没有关闭的操作吧.帮你顶一下,等待楼下回复.我也有点好奇.. 2015-2-2 10:47 0
Hoogle 雪币： 256 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 118 粉丝 0 关注私信	Hoogle 3 楼你确定不是64位程序调用SHFileOperation吧？那么有可能是32位程序先调用GetSystemDirectory获得C:\Windows\System32；你自己写个测试程序看下SHFileOperation是否有关闭重定位不就知道了。。。。还搞那么麻烦。。。 2015-2-2 12:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复