[求助]由Handle得到文件完整路径的问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
better 雪币： 331 活跃值： (57) 能力值： ( LV7，RANK：100 ) 在线值：发帖 33 回帖 324 粉丝 3 关注私信	better 2 2 楼 "Handle得到文件完整路径的问题" 感觉在ring3下也没啥思路…… 2008-11-25 10:04 0
NeteLife 雪币： 395 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	NeteLife 3 楼试试 ZwQueryInformationFile API 2008-11-25 16:11 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 4 楼 ZwQueryObject 2008-11-25 20:37 0
zuike 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	zuike 5 楼在Ring3下： GetWindowThreadProcessID(Handle,@ProcessID); 通过ProcessID,遍历下进程,很容易就知道文件完整路径了。 2008-11-25 21:11 0
fmicromath 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 62 粉丝 0 关注私信	fmicromath 6 楼只能得到没有盘符的路径 2008-11-25 21:52 0
better 雪币： 331 活跃值： (57) 能力值： ( LV7，RANK：100 ) 在线值：发帖 33 回帖 324 粉丝 3 关注私信	better 2 7 楼 Ring3下 MSDN上有个完整的例子，用CreateFileMapping……实现的 2008-11-25 22:25 0
NeteLife 雪币： 395 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	NeteLife 8 楼其实google可以解决很多问题。 NTSTATUS FileDeviceNameToDosName( IN PUNICODE_STRING pusDeviceFileName, OUT PWSTR buf OPTIONAL, IN ULONG ulBufSize OPTIONAL, OUT PULONG pulSize OPTIONAL ) { NTSTATUS s = STATUS_SUCCESS; UNICODE_STRING usDrive; WCHAR szDrive[] = L"\\DosDevices\\A:"; OBJECT_ATTRIBUTES oa; HANDLE hLink = NULL; BOOLEAN bSucceeded = FALSE; RtlInitUnicodeString(&usDrive, szDrive); for (szDrive[12] = L'A'; szDrive[12] <= L'Z'; ++szDrive[12]) { WCHAR szName[MAX_PATH]; UNICODE_STRING usName; ULONG cbSize; // 获取DOS盘符的符号链接对象 InitializeObjectAttributes(&oa, &usDrive, OBJ_CASE_INSENSITIVE, NULL, NULL); s = ZwOpenSymbolicLinkObject(&hLink, SYMBOLIC_LINK_QUERY, &oa); if (!NT_SUCCESS(s)) continue; // 查询符号链接对象对应的名称 usName.Buffer = szName; usName.Length = 0; usName.MaximumLength = sizeof(szName); s = ZwQuerySymbolicLinkObject(hLink, &usName, &cbSize); if (NT_SUCCESS(s)) { ULONG ulCnt = usName.Length / sizeof (WCHAR); if (0 == _wcsnicmp(pusDeviceFileName->Buffer, usName.Buffer, ulCnt) && L'\\' == pusDeviceFileName->Buffer[ulCnt]) { // 找到！ ULONG ulSizeNeeded = 2 + pusDeviceFileName->Length / sizeof(WCHAR) - ulCnt; if (ARGUMENT_PRESENT(pulSize)) *pulSize = ulSizeNeeded; bSucceeded = TRUE; if (NULL == buf \|\| 0 == ulBufSize) { s = STATUS_BUFFER_TOO_SMALL; } else { wcscpy(buf, &usDrive.Buffer[12]); wcsncat(buf, pusDeviceFileName->Buffer + ulCnt, ulBufSize / sizeof(WCHAR) - 2); } } } NtClose(hLink); hLink = NULL; if (bSucceeded) break; } if (!bSucceeded) s = STATUS_UNSUCCESSFUL; return s; } 2008-11-26 10:39 0
fmicromath 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 62 粉丝 0 关注私信	fmicromath 9 楼 thanks all, 我最后还是用了楚狂人的办法，基本没问题，不过在我的一个有raid0动态卷的虚拟机上，结果从盘符查到的设备名都与Query的不同 2008-11-29 21:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

better

雪币： 331

活跃值： (57)

能力值：

( LV7，RANK：100 )

在线值：

发帖

33

回帖

324

粉丝

3

关注

私信

better 2: 2 楼

"Handle得到文件完整路径的问题"
感觉在ring3下也没啥思路……

2008-11-25 10:04

0

NeteLife

雪币： 395

活跃值： (34)

能力值：

( LV2，RANK：10 )

在线值：

发帖

0

回帖

14

粉丝

0

关注

私信

NeteLife: 3 楼

试试 ZwQueryInformationFile API

2008-11-25 16:11

0

海风月影

雪币： 7309

活跃值： (3788)

能力值： (RANK：1130 )

在线值：

发帖

93

回帖

2308

粉丝

119

关注

私信

海风月影 22: 4 楼

ZwQueryObject

2008-11-25 20:37

0

zuike

雪币： 204

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

0

回帖

22

粉丝

0

关注

私信

zuike: 5 楼

在Ring3下：
GetWindowThreadProcessID(Handle,@ProcessID);
通过ProcessID,遍历下进程,很容易就知道文件完整路径了。

2008-11-25 21:11

0

fmicromath

雪币： 203

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

15

回帖

62

粉丝

0

关注

私信

fmicromath: 6 楼

只能得到没有盘符的路径

2008-11-25 21:52

0

better

雪币： 331

活跃值： (57)

能力值：

( LV7，RANK：100 )

在线值：

发帖

33

回帖

324

粉丝

3

关注

私信

better 2: 7 楼

Ring3下
MSDN上有个完整的例子，用CreateFileMapping……实现的

2008-11-25 22:25

0

NeteLife

雪币： 395

活跃值： (34)

能力值：

( LV2，RANK：10 )

在线值：

发帖

0

回帖

14

粉丝

0

关注

私信

NeteLife: 8 楼

其实google可以解决很多问题。

NTSTATUS 
FileDeviceNameToDosName( 
                 IN PUNICODE_STRING pusDeviceFileName, 
                 OUT PWSTR buf OPTIONAL, 
                 IN ULONG ulBufSize OPTIONAL, 
                 OUT PULONG pulSize OPTIONAL
                 ) 
{ 
  NTSTATUS s = STATUS_SUCCESS; 
  UNICODE_STRING usDrive; 
  WCHAR szDrive[] = L"\\DosDevices\\A:"; 
  OBJECT_ATTRIBUTES oa; 
  HANDLE hLink = NULL; 
  BOOLEAN bSucceeded = FALSE; 
  
  RtlInitUnicodeString(&usDrive, szDrive); 
  for (szDrive[12] = L'A'; szDrive[12] <= L'Z'; ++szDrive[12]) 
  { 
    WCHAR szName[MAX_PATH]; 
    UNICODE_STRING usName; 
    ULONG cbSize; 
    
    // 获取DOS盘符的符号链接对象  
    InitializeObjectAttributes(&oa, &usDrive, OBJ_CASE_INSENSITIVE, NULL, NULL); 
    s = ZwOpenSymbolicLinkObject(&hLink, SYMBOLIC_LINK_QUERY, &oa); 
    
    if (!NT_SUCCESS(s)) 
      continue; 
    
    // 查询符号链接对象对应的名称  
    usName.Buffer = szName; 
    usName.Length = 0; 
    usName.MaximumLength = sizeof(szName); 
    
    s = ZwQuerySymbolicLinkObject(hLink, &usName, &cbSize); 
    
    if (NT_SUCCESS(s)) 
    { 
      ULONG ulCnt = usName.Length / sizeof (WCHAR); 
      
      if (0 == _wcsnicmp(pusDeviceFileName->Buffer, usName.Buffer, ulCnt)
        && L'\\' == pusDeviceFileName->Buffer[ulCnt]) 
      { 
        
        // 找到！  
        ULONG ulSizeNeeded = 2 + pusDeviceFileName->Length / sizeof(WCHAR) - ulCnt; 
        
        if (ARGUMENT_PRESENT(pulSize)) 
          *pulSize = ulSizeNeeded; bSucceeded = TRUE; 
        
        if (NULL == buf || 0 == ulBufSize) 
        { 
          s = STATUS_BUFFER_TOO_SMALL;

        } else  { 
          wcscpy(buf, &usDrive.Buffer[12]); 
          wcsncat(buf, pusDeviceFileName->Buffer + ulCnt, ulBufSize / sizeof(WCHAR) - 2); 
        } 
      } 
    } 
    
    NtClose(hLink); 
    
    hLink = NULL; 
    
    if (bSucceeded) 
      break; 
  } 
  
  if (!bSucceeded) 
    s = STATUS_UNSUCCESSFUL; 
  return s; 
}

2008-11-26 10:39

0