[求助]怎么解锁使用IRP占坑的文件-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]怎么解锁使用IRP占坑的文件

2020-1-27 03:05 4782

[求助]怎么解锁使用IRP占坑的文件

tdsss

2020-1-27 03:05

4782

一些驱动使用发送IRP的方式打开文件(打开时带DELETE标志,或者打开后发送IRP_MJ_SET_INFORMATION执行删除)，但不关闭文件对象，导致文件被锁定而无法使用，别人无论是ZwCreateFile还是IrpCreateFile都无法打开。

代码在zhuhuibeishadiao大牛的博客https://blog.csdn.net/zhuhuibeishadiao/article/details/78050887，，，请问这种情况下，怎么样再次打开文件，或者找到其它被打开的FileObject。

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界

最后于 2020-1-27 03:06 被tdsss编辑，原因：

收藏・2

点赞・0

打赏

最新回复 (19)
hzqst 雪币： 12839 活跃值： (8998) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 540 关注私信	hzqst 3 2020-1-27 08:44 2 楼 0 挂个minifilter，在别人打开的时候截胡
青丝梦雪币： 530 活跃值： (1201) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 132 粉丝 10 关注私信	青丝梦 2020-1-27 13:41 3 楼 0 一般来讲就是抢占先机，在他删除之前过滤他的操作。相当于是打埋伏。
囧囧雪币： 283 活跃值： (3104) 能力值： ( LV5，RANK：75 ) 在线值：发帖 67 回帖 325 粉丝 13 关注私信	囧囧 2020-1-27 14:19 4 楼 0 解决无法打开的思路：先调一下是卡在哪里了，结合逆向NtCreateFile看看，比如共享权限问题，那就给个最小权限去打开，要读写的话发IRP去。它打开FileObject不关闭，你得到FileObject后多反引用一次即可。还是不行的话，遍历系统句柄（对象）--参考unlocker，得到那个文件的文件对象，直接反引用。硬刚非要打开的话，参考调试中到底卡在那里，直接去把文件对象或VPB里对应的标志改掉，应该就能打开了。最后于 2020-1-27 14:20 被囧囧编辑，原因：
tdsss 雪币： 954 活跃值： (118) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 47 粉丝 4 关注私信	tdsss 2020-1-27 15:56 5 楼 0 囧囧解决无法打开的思路：先调一下是卡在哪里了，结合逆向NtCreateFile看看，比如共享权限问题，那就给个最小权限去打开，要读写的话发IRP去。它打开FileObject不关闭，你得到FileObje ... 没有句柄的，只有FileObject，而且你还不知道FileObject的地址。如果尝试打开，会提示STATUS_DELETE_PENDING。最后于 2020-1-27 15:58 被tdsss编辑，原因：
cavan 雪币： 293 活跃值： (239) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 137 粉丝 3 关注私信	cavan 2020-1-27 19:36 6 楼 0 遇见过很多这样的，在XT文件列表中会显示为红色。同求解决办法。最后于 2020-1-27 19:55 被cavan编辑，原因：
tdsss 雪币： 954 活跃值： (118) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 47 粉丝 4 关注私信	tdsss 2020-1-27 23:25 7 楼 0 cavan 遇见过很多这样的，在XT文件列表中会显示为红色。同求解决办法。是的，XT显红色删除不了，AST和WKE也删除不了。有没有大牛可以提供一下解题思路？
Thead 雪币： 407 活跃值： (1607) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 143 粉丝 4 关注私信	Thead 2020-1-28 20:52 8 楼 0 这种情况下，想要删掉这个文件，恐怕要解析文件系统了
咖啡_741298 雪币： 6 活跃值： (2985) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 143 粉丝 1 关注私信	咖啡_741298 2020-1-28 21:01 9 楼 0 tdsss 是的，XT显红色删除不了，AST和WKE也删除不了。有没有大牛可以提供一下解题思路？ 360粉碎呢
hzqst 雪币： 12839 活跃值： (8998) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 540 关注私信	hzqst 3 2020-1-28 22:18 10 楼 0 tdsss 囧囧解决无法打开的思路：先调一下是卡在哪里了，结合逆向NtCreateFile看看，比如共享权限问题，那就给个最小权限去打开，要读写的话发IRP去。它打开F ... 不是跟你说了直接在别人第一次打开的时候截胡
cavan 雪币： 293 活跃值： (239) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 137 粉丝 3 关注私信	cavan 2020-1-28 22:30 11 楼 0 hzqst 不是跟你说了直接在别人第一次打开的时候截胡如果是个rookit，在系统刚开始启动时就这样了怎么搞。。
hzqst 雪币： 12839 活跃值： (8998) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 540 关注私信	hzqst 3 2020-1-28 23:21 12 楼 0 cavan 如果是个rookit，在系统刚开始启动时就这样了怎么搞。。进PE搞
killleer 雪币： 1556 活跃值： (2107) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 10 关注私信	killleer 2020-1-28 23:48 13 楼 0 参考TDSSKILLER
iceway 雪币： 19 活跃值： (1056) 能力值： ( LV2，RANK：10 ) 在线值：发帖 89 回帖 814 粉丝 5 关注私信	iceway 2020-1-29 11:43 14 楼 0 呵呵最后于 2020-2-18 00:51 被iceway编辑，原因：
tdsss 雪币： 954 活跃值： (118) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 47 粉丝 4 关注私信	tdsss 2020-1-30 08:58 15 楼 0 iceway for循环遍历所有FileObject 无法打开文件，你去哪里找FileObject？
tdsss 雪币： 954 活跃值： (118) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 47 粉丝 4 关注私信	tdsss 2020-1-30 23:21 16 楼 0 咦，各路牛皮大神哪里去了？怎么只有一个大神来说单口相声？连思路都没有么？？？
iceway 雪币： 19 活跃值： (1056) 能力值： ( LV2，RANK：10 ) 在线值：发帖 89 回帖 814 粉丝 5 关注私信	iceway 2020-1-31 20:16 17 楼 0 dfsgdsfgfsd 最后于 2020-2-18 00:51 被iceway编辑，原因：
tdsss 雪币： 954 活跃值： (118) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 47 粉丝 4 关注私信	tdsss 2020-2-9 22:34 18 楼 0 iceway for(int i = 0; i < 0xFFFFFFFFFFFFFFFF; i ++) 回复这种乐色内容有意思吗，举报了看雪也不管
iceway 雪币： 19 活跃值： (1056) 能力值： ( LV2，RANK：10 ) 在线值：发帖 89 回帖 814 粉丝 5 关注私信	iceway 2020-2-18 00:46 19 楼 0 tdsss 回复这种乐色内容有意思吗，举报了看雪也不管 SX 最后于 2020-2-18 00:51 被iceway编辑，原因：
supersoar 雪币： 583 活跃值： (147) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 176 粉丝 0 关注私信	supersoar 2020-2-25 07:09 20 楼 0 不太了解。。。。深入NTFS文件系统底层的话不知道能不能破。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

tdsss

发帖

回帖

RANK

关注

私信

他的文章

[推荐]连老外程序员都关注中国的疫情啊

[求助]怎么解锁使用IRP占坑的文件

[求助]山总ARK的内核监控是用什么技术实现的？

[讨论]TP的大手子去EAC了么？据说APEX的保护也用上假CR3了。

[求助]xenuine到底使用了什么手段来阻止了DLL加载？

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
hzqst 雪币： 12839 活跃值： (8998) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 540 关注私信	hzqst 3 2020-1-27 08:44 2 楼 0 挂个minifilter，在别人打开的时候截胡
青丝梦雪币： 530 活跃值： (1201) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 132 粉丝 10 关注私信	青丝梦 2020-1-27 13:41 3 楼 0 一般来讲就是抢占先机，在他删除之前过滤他的操作。相当于是打埋伏。
囧囧雪币： 283 活跃值： (3104) 能力值： ( LV5，RANK：75 ) 在线值：发帖 67 回帖 325 粉丝 13 关注私信	囧囧 2020-1-27 14:19 4 楼 0 解决无法打开的思路：先调一下是卡在哪里了，结合逆向NtCreateFile看看，比如共享权限问题，那就给个最小权限去打开，要读写的话发IRP去。它打开FileObject不关闭，你得到FileObject后多反引用一次即可。还是不行的话，遍历系统句柄（对象）--参考unlocker，得到那个文件的文件对象，直接反引用。硬刚非要打开的话，参考调试中到底卡在那里，直接去把文件对象或VPB里对应的标志改掉，应该就能打开了。最后于 2020-1-27 14:20 被囧囧编辑，原因：
tdsss 雪币： 954 活跃值： (118) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 47 粉丝 4 关注私信	tdsss 2020-1-27 15:56 5 楼 0 囧囧解决无法打开的思路：先调一下是卡在哪里了，结合逆向NtCreateFile看看，比如共享权限问题，那就给个最小权限去打开，要读写的话发IRP去。它打开FileObject不关闭，你得到FileObje ... 没有句柄的，只有FileObject，而且你还不知道FileObject的地址。如果尝试打开，会提示STATUS_DELETE_PENDING。最后于 2020-1-27 15:58 被tdsss编辑，原因：
cavan 雪币： 293 活跃值： (239) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 137 粉丝 3 关注私信	cavan 2020-1-27 19:36 6 楼 0 遇见过很多这样的，在XT文件列表中会显示为红色。同求解决办法。最后于 2020-1-27 19:55 被cavan编辑，原因：
tdsss 雪币： 954 活跃值： (118) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 47 粉丝 4 关注私信	tdsss 2020-1-27 23:25 7 楼 0 cavan 遇见过很多这样的，在XT文件列表中会显示为红色。同求解决办法。是的，XT显红色删除不了，AST和WKE也删除不了。有没有大牛可以提供一下解题思路？
Thead 雪币： 407 活跃值： (1607) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 143 粉丝 4 关注私信	Thead 2020-1-28 20:52 8 楼 0 这种情况下，想要删掉这个文件，恐怕要解析文件系统了
咖啡_741298 雪币： 6 活跃值： (2985) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 143 粉丝 1 关注私信	咖啡_741298 2020-1-28 21:01 9 楼 0 tdsss 是的，XT显红色删除不了，AST和WKE也删除不了。有没有大牛可以提供一下解题思路？ 360粉碎呢
hzqst 雪币： 12839 活跃值： (8998) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 540 关注私信	hzqst 3 2020-1-28 22:18 10 楼 0 tdsss 囧囧解决无法打开的思路：先调一下是卡在哪里了，结合逆向NtCreateFile看看，比如共享权限问题，那就给个最小权限去打开，要读写的话发IRP去。它打开F ... 不是跟你说了直接在别人第一次打开的时候截胡
cavan 雪币： 293 活跃值： (239) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 137 粉丝 3 关注私信	cavan 2020-1-28 22:30 11 楼 0 hzqst 不是跟你说了直接在别人第一次打开的时候截胡如果是个rookit，在系统刚开始启动时就这样了怎么搞。。
hzqst 雪币： 12839 活跃值： (8998) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 540 关注私信	hzqst 3 2020-1-28 23:21 12 楼 0 cavan 如果是个rookit，在系统刚开始启动时就这样了怎么搞。。进PE搞
killleer 雪币： 1556 活跃值： (2107) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 10 关注私信	killleer 2020-1-28 23:48 13 楼 0 参考TDSSKILLER
iceway 雪币： 19 活跃值： (1056) 能力值： ( LV2，RANK：10 ) 在线值：发帖 89 回帖 814 粉丝 5 关注私信	iceway 2020-1-29 11:43 14 楼 0 呵呵最后于 2020-2-18 00:51 被iceway编辑，原因：
tdsss 雪币： 954 活跃值： (118) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 47 粉丝 4 关注私信	tdsss 2020-1-30 08:58 15 楼 0 iceway for循环遍历所有FileObject 无法打开文件，你去哪里找FileObject？
tdsss 雪币： 954 活跃值： (118) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 47 粉丝 4 关注私信	tdsss 2020-1-30 23:21 16 楼 0 咦，各路牛皮大神哪里去了？怎么只有一个大神来说单口相声？连思路都没有么？？？
iceway 雪币： 19 活跃值： (1056) 能力值： ( LV2，RANK：10 ) 在线值：发帖 89 回帖 814 粉丝 5 关注私信	iceway 2020-1-31 20:16 17 楼 0 dfsgdsfgfsd 最后于 2020-2-18 00:51 被iceway编辑，原因：
tdsss 雪币： 954 活跃值： (118) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 47 粉丝 4 关注私信	tdsss 2020-2-9 22:34 18 楼 0 iceway for(int i = 0; i < 0xFFFFFFFFFFFFFFFF; i ++) 回复这种乐色内容有意思吗，举报了看雪也不管
iceway 雪币： 19 活跃值： (1056) 能力值： ( LV2，RANK：10 ) 在线值：发帖 89 回帖 814 粉丝 5 关注私信	iceway 2020-2-18 00:46 19 楼 0 tdsss 回复这种乐色内容有意思吗，举报了看雪也不管 SX 最后于 2020-2-18 00:51 被iceway编辑，原因：
supersoar 雪币： 583 活跃值： (147) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 176 粉丝 0 关注私信	supersoar 2020-2-25 07:09 20 楼 0 不太了解。。。。深入NTFS文件系统底层的话不知道能不能破。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复