首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 求助问答
    3. 发新帖
未解决 驱动HOOK NtCreateFile 怎么修改文件名Buffer
发表于: 2024-5-5 10:41 2421

未解决 驱动HOOK NtCreateFile 怎么修改文件名Buffer

mb_xecgqtmh 活跃值
2024-5-5 10:41
2421

新手求教各位大佬,打算写个驱动用来过滤文件,在HOOK NtCreateFile后要怎么正确的修改文件名呢,我用ExAllocatePoolWithTag分配内存替换ObjectName的Buffer后,NtCreateFile不能正确执行,全部返回0xC0000005,这是为什么


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (6)
Oday小斯
雪    币: 1133
活跃值: (2951)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
2
ExAllocatePoolWithTag 分配出来的是内核地址,NtCreateFile 调用上下文ETHREAD PreviousMode 权限不一致
2024-5-5 21:37
0
mb_xecgqtmh
雪    币: 200
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
3
Oday小斯 ExAllocatePoolWithTag 分配出来的是内核地址,NtCreateFile 调用上下文ETHREAD PreviousMode 权限不一致
那我应该怎么弄才能正常调用呢,大佬救救我
2024-5-5 23:18
0
Oday小斯
雪    币: 1133
活跃值: (2951)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
4
ZwCreateFile 或者自己改 ETHREAD PreviousMode
2024-5-5 23:57
0
mb_ytalqmdq
雪    币: 2143
活跃值: (2011)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
https://github.com/HyperDbg/HyperDbg/blob/78b01b3035d48652cd918a99a79caf9d33a44ed7/hyperdbg/hprdbghv/code/hooks/syscall-hook/SsdtHook.c#L217
2024-5-6 08:14
0
mb_xecgqtmh
雪    币: 200
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
6
Oday小斯 ZwCreateFile 或者自己改 ETHREAD PreviousMode
解决了,感谢大佬
2024-5-7 12:30
0
卿卿吾吧
雪    币: 147
活跃值: (462)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
得到句柄了直接调api修改呗
2024-6-29 17:28
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
// // 统计代码