[求助]关于内核对象的路径-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 2 楼 ZwCreateDirectoryObject 2009-3-25 15:41 0
阳光味道雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 42 粉丝 0 关注私信	阳光味道 3 楼我的代码： UNICODE_STRING OsalObjectDir = RTL_CONSTANT_STRING(L"\\BaseNamedObjects\\osal_object_root"); NTSTATUS Status = STATUS_SUCCESS; PWSTR Buffer; OBJECT_ATTRIBUTES oa; HANDLE osalObjectDirHandle; InitializeObjectAttributes( &oa, &OsalObjectDir, OBJ_KERNEL_HANDLE \| OBJ_CASE_INSENSITIVE, NULL, NULL ); Status = ZwCreateDirectoryObject( &osalObjectDirHandle, DIRECTORY_ALL_ACCESS, &oa); if (!NT_SUCCESS(Status)) { Status = ZwOpenDirectoryObject( &osalObjectDirHandle, DIRECTORY_ALL_ACCESS, &oa ); if (!NT_SUCCESS(Status)) { KdPrint(("%#.8X\n", Status)); return Status; } } ZwClose(osalObjectDirHandle); ========================================= 执行也是通过的，但是用winobj看不到我创建的这个目录啊 2009-3-25 15:53 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 4 楼 OBJ_PERMANENT 2009-3-25 16:08 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 5 楼如果在RING3程序上使用，还需要Enable SeCreatePermanentPrivilege 不过这个权限默认admin TOKEN没有，需要duplicate token，或者注入SYSTEM帐户的进程 2009-3-25 16:28 0
阳光味道雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 42 粉丝 0 关注私信	阳光味道 6 楼 thank u so much 现在可以看到了，呵呵呵 2009-3-25 16:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 2 楼 ZwCreateDirectoryObject 2009-3-25 15:41 0
阳光味道雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 42 粉丝 0 关注私信	阳光味道 3 楼我的代码： UNICODE_STRING OsalObjectDir = RTL_CONSTANT_STRING(L"\\BaseNamedObjects\\osal_object_root"); NTSTATUS Status = STATUS_SUCCESS; PWSTR Buffer; OBJECT_ATTRIBUTES oa; HANDLE osalObjectDirHandle; InitializeObjectAttributes( &oa, &OsalObjectDir, OBJ_KERNEL_HANDLE \| OBJ_CASE_INSENSITIVE, NULL, NULL ); Status = ZwCreateDirectoryObject( &osalObjectDirHandle, DIRECTORY_ALL_ACCESS, &oa); if (!NT_SUCCESS(Status)) { Status = ZwOpenDirectoryObject( &osalObjectDirHandle, DIRECTORY_ALL_ACCESS, &oa ); if (!NT_SUCCESS(Status)) { KdPrint(("%#.8X\n", Status)); return Status; } } ZwClose(osalObjectDirHandle); ========================================= 执行也是通过的，但是用winobj看不到我创建的这个目录啊 2009-3-25 15:53 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 4 楼 OBJ_PERMANENT 2009-3-25 16:08 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 5 楼如果在RING3程序上使用，还需要Enable SeCreatePermanentPrivilege 不过这个权限默认admin TOKEN没有，需要duplicate token，或者注入SYSTEM帐户的进程 2009-3-25 16:28 0
阳光味道雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 42 粉丝 0 关注私信	阳光味道 6 楼 thank u so much 现在可以看到了，呵呵呵 2009-3-25 16:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复