首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 求助问答
    3. 发新帖
未解决 [求助]Device_Path to Dos_Path 内核r0如何转换
发表于: 2020-1-16 22:24 3359

未解决 [求助]Device_Path to Dos_Path 内核r0如何转换

一半人生 活跃值
5
2020-1-16 22:24
3359
RT
我尝试了不少方式:
QueryDosDevice/GetLogDev.....这是三环可用
IoVolumeDeviceToDosName失败
是这种格式\Device\Harddisk0\DR0,而不是 \Device\HarddiskVolume1\
也参考了些许的帖子多少都有毛病。
大家可以给一些思路 \Device\Harddisk0\DR0  --> c:这种转换 r0





[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2020-1-17 08:54 被一半人生编辑 ,原因:
收藏
免费 0
支持
分享
最新回复 (5)
一半人生
雪    币: 6052
活跃值: (12569)
能力值: ( LV12,RANK:312 )
在线值:
发帖
回帖
粉丝
私信
2
符号链接用于获取Nt --> Dos,可是内核态符号如何转呢?
2020-1-17 10:19
0
Thead
雪    币: 407
活跃值: (1811)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
这个设备对应的名字是这个:\??\PhysicalDrive0
2020-1-17 14:28
0
一半人生
雪    币: 6052
活跃值: (12569)
能力值: ( LV12,RANK:312 )
在线值:
发帖
回帖
粉丝
私信
4
Thead 这个设备对应的名字是这个:\??\PhysicalDrive0
1. ObReferenceObjectByName -->\\Driver\\Disk(参数)       2. ObQueryNameString(DEVICE_OBJECT)  ---> 获取上述\\Device\Harddisk\dr0  
Device\Harddisk0\Partition0是\Device\Harddisk0\DR0的符号链接
最后于 2020-1-20 10:28 被一半人生编辑 ,原因:
2020-1-17 15:24
0
一半人生
雪    币: 6052
活跃值: (12569)
能力值: ( LV12,RANK:312 )
在线值:
发帖
回帖
粉丝
私信
5
沉了呢
2020-1-20 10:23
0
comor
雪    币: 568
活跃值: (1614)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
6

从别处看到的应用层的方法,可以放R0,已验证:

1、枚举所有的符号链接:ZwOpenDirectoryObject(L"\\GLOBAL??")->ZwQueryDirectoryObject->(directoryInfo->ObjectName是符号链接,directoryInfo->ObjectTypeName == L"SymbolicLink")?

2、找出符号链接对应的设备名:ZwOpenSymbolicLinkObject->ZwQuerySymbolicLinkObject;

3、做成表,查表。

2020-8-20 14:54
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//