-
-
[求助]拷贝被占用文件出错
-
发表于:
2008-1-9 23:35
4494
-
拷贝被占用文件,比如 Sam 文件,可以通过以 FILE_READ_ATTRIBUTES 方式调用 CreateFile 函数,然后通过驱动修改所得到的 HANDLE 的 GrantedAccess 实现,测试时确实没问题。我想,被占用文件一般是在创建时将 ShareAccess 参数设为 0,如果能更改 File_Object 中的对应项, 应该也能实现。我具体是如下测试的:在驱动中先通过文件名取得 FileObject, 然后将其中的 ReadAccess, SharedRead 项置1(原先是 0), 再以 FILE_READ_DATA 方式调用 ZwCreateFile, 结果却是失败,不知什么原因。
另外,我在系统进程中搜索出 Sam 文件的句柄,然后用如下方式测试:
DuplicateHandle (,SamHandle , , , ,DUPLICATE_SAME_ACCESS), 执行成功了,但 ReadFile 却失败。我用 WinDbg 看了一下,原先文件句柄指向的 Handle_Table_Entry 中 GrantedAccess 为 0x02000003,拷贝后的句柄指向的 Handle_Table_Entry 中 GrantedAccess 为 0x00000003,我明明指定的 DUPLICATE_SAME_ACCESS, 为啥却变了呢?这些值具体代表什么权限,我在网上搜了下也没搜到。望各位高手指点一下。谢谢!!
[课程]Linux pwn 探索篇!
