-
-
[求助]奇怪了,应用层打开的文件句柄咋扫描不出来?
-
发表于: 2009-10-3 02:58
-
以前在应用层写句柄枚举什么的挺正常的,现在换了一下到驱动里实现同样功能,就出问题了.
系统进程打开的文件句柄都可以枚举出来,并获得文件名字. 反而应用层的文件句柄搞不定.
驱动流程如下.
1. ZwQuerySystemInformation(SystemHandleInformation.. 获取所有句柄,大概能有4000多个.
2. 判断句柄类型=28 (这个可以在驱动下打开某个文件,比较得出的文件句柄类型)
3. 凡是判断为文件型句柄的,用ZwQueryInformationFile把文件名提取出来
现在奇怪的是,我枚举一下所有的文件句柄,能得到的文件名基本全是系统进程打开的. 应用层程序(我自己随便写一个,打开锁定一个文件),就怎么也枚举不出来.
搞不清咋回事呢? 难道从驱动下枚举打开的文件句柄,针对应用层打开的,有什么诀窍. 我KeStackAttachProcess了也取不出文件名. ZwDuplicateObject复制句柄,再用ZwQueryObject来取文件名,还是不好使. (说的是应用层打开的文件句柄,系统进程打开的一样能取得.)
大虾帮忙解惑一下.
系统进程打开的文件句柄都可以枚举出来,并获得文件名字. 反而应用层的文件句柄搞不定.
驱动流程如下.
1. ZwQuerySystemInformation(SystemHandleInformation.. 获取所有句柄,大概能有4000多个.
2. 判断句柄类型=28 (这个可以在驱动下打开某个文件,比较得出的文件句柄类型)
3. 凡是判断为文件型句柄的,用ZwQueryInformationFile把文件名提取出来
现在奇怪的是,我枚举一下所有的文件句柄,能得到的文件名基本全是系统进程打开的. 应用层程序(我自己随便写一个,打开锁定一个文件),就怎么也枚举不出来.
搞不清咋回事呢? 难道从驱动下枚举打开的文件句柄,针对应用层打开的,有什么诀窍. 我KeStackAttachProcess了也取不出文件名. ZwDuplicateObject复制句柄,再用ZwQueryObject来取文件名,还是不好使. (说的是应用层打开的文件句柄,系统进程打开的一样能取得.)
大虾帮忙解惑一下.
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
