[求助]怎么解锁使用IRP占坑的文件-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]怎么解锁使用IRP占坑的文件

发表于: 2020-1-27 03:05 5851

[求助]怎么解锁使用IRP占坑的文件

tdsss

2020-1-27 03:05

5851

一些驱动使用发送IRP的方式打开文件(打开时带DELETE标志,或者打开后发送IRP_MJ_SET_INFORMATION执行删除)，但不关闭文件对象，导致文件被锁定而无法使用，别人无论是ZwCreateFile还是IrpCreateFile都无法打开。

代码在zhuhuibeishadiao大牛的博客b3aK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1L8r3!0Y4i4K6u0W2j5%4y4V1L8W2)9J5k6h3&6W2N6q4)9J5c8Y4A6Z5N6h3S2#2K9h3u0W2K9i4y4Z5j5h3c8A6j5h3!0Q4x3V1k6S2M7Y4c8A6j5$3I4W2i4K6u0r3k6r3g2@1j5h3W2D9M7#2)9J5c8U0M7^5x3o6f1H3z5o6R3%4i4@1g2r3i4@1u0o6i4K6S2o6i4@1g2r3i4@1u0o6i4K6S2o6i4@1g2r3i4@1u0o6i4K6S2o6请问这种情况下，怎么样再次打开文件，或者找到其它被打开的FileObject。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

最后于 2020-1-27 03:06 被tdsss编辑，原因：

收藏・3

免费・0

支持

最新回复 (19)
hzqst 雪币： 12876 活跃值： (9342) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 606 关注私信	hzqst 3 2 楼挂个minifilter，在别人打开的时候截胡 2020-1-27 08:44 0
青丝梦雪币： 1553 活跃值： (2904) 能力值： ( LV5，RANK：60 ) 在线值：发帖 9 回帖 154 粉丝 23 关注私信	青丝梦 1 3 楼一般来讲就是抢占先机，在他删除之前过滤他的操作。相当于是打埋伏。 2020-1-27 13:41 0
囧囧雪币： 284 活跃值： (3824) 能力值： ( LV5，RANK：75 ) 在线值：发帖 69 回帖 337 粉丝 14 关注私信	囧囧 4 楼解决无法打开的思路：先调一下是卡在哪里了，结合逆向NtCreateFile看看，比如共享权限问题，那就给个最小权限去打开，要读写的话发IRP去。它打开FileObject不关闭，你得到FileObject后多反引用一次即可。还是不行的话，遍历系统句柄（对象）--参考unlocker，得到那个文件的文件对象，直接反引用。硬刚非要打开的话，参考调试中到底卡在那里，直接去把文件对象或VPB里对应的标志改掉，应该就能打开了。最后于 2020-1-27 14:20 被囧囧编辑，原因： 2020-1-27 14:19 0
tdsss 雪币： 954 活跃值： (123) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 57 粉丝 4 关注私信	tdsss 5 楼囧囧解决无法打开的思路：先调一下是卡在哪里了，结合逆向NtCreateFile看看，比如共享权限问题，那就给个最小权限去打开，要读写的话发IRP去。它打开FileObject不关闭，你得到FileObje ... 没有句柄的，只有FileObject，而且你还不知道FileObject的地址。如果尝试打开，会提示STATUS_DELETE_PENDING。最后于 2020-1-27 15:58 被tdsss编辑，原因： 2020-1-27 15:56 0
cavan 雪币： 273 活跃值： (444) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 144 粉丝 3 关注私信	cavan 6 楼遇见过很多这样的，在XT文件列表中会显示为红色。同求解决办法。最后于 2020-1-27 19:55 被cavan编辑，原因： 2020-1-27 19:36 0
tdsss 雪币： 954 活跃值： (123) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 57 粉丝 4 关注私信	tdsss 7 楼 cavan 遇见过很多这样的，在XT文件列表中会显示为红色。同求解决办法。是的，XT显红色删除不了，AST和WKE也删除不了。有没有大牛可以提供一下解题思路？ 2020-1-27 23:25 0
Thead 雪币： 407 活跃值： (2054) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 143 粉丝 4 关注私信	Thead 8 楼这种情况下，想要删掉这个文件，恐怕要解析文件系统了 2020-1-28 20:52 0
咖啡_741298 雪币： 4 活跃值： (4370) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 152 粉丝 2 关注私信	咖啡_741298 9 楼 tdsss 是的，XT显红色删除不了，AST和WKE也删除不了。有没有大牛可以提供一下解题思路？ 360粉碎呢 2020-1-28 21:01 0
hzqst 雪币： 12876 活跃值： (9342) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 606 关注私信	hzqst 3 10 楼 tdsss 囧囧解决无法打开的思路：先调一下是卡在哪里了，结合逆向NtCreateFile看看，比如共享权限问题，那就给个最小权限去打开，要读写的话发IRP去。它打开F ... 不是跟你说了直接在别人第一次打开的时候截胡 2020-1-28 22:18 0
cavan 雪币： 273 活跃值： (444) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 144 粉丝 3 关注私信	cavan 11 楼 hzqst 不是跟你说了直接在别人第一次打开的时候截胡如果是个rookit，在系统刚开始启动时就这样了怎么搞。。 2020-1-28 22:30 0
hzqst 雪币： 12876 活跃值： (9342) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 606 关注私信	hzqst 3 12 楼 cavan 如果是个rookit，在系统刚开始启动时就这样了怎么搞。。进PE搞 2020-1-28 23:21 0
killleer 雪币： 1556 活跃值： (2332) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 11 关注私信	killleer 13 楼参考TDSSKILLER 2020-1-28 23:48 0
iceway 雪币： 19 活跃值： (1111) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 14 楼呵呵最后于 2020-2-18 00:51 被iceway编辑，原因： 2020-1-29 11:43 0
tdsss 雪币： 954 活跃值： (123) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 57 粉丝 4 关注私信	tdsss 15 楼 iceway for循环遍历所有FileObject 无法打开文件，你去哪里找FileObject？ 2020-1-30 08:58 0
tdsss 雪币： 954 活跃值： (123) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 57 粉丝 4 关注私信	tdsss 16 楼咦，各路牛皮大神哪里去了？怎么只有一个大神来说单口相声？连思路都没有么？？？ 2020-1-30 23:21 0
iceway 雪币： 19 活跃值： (1111) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 17 楼 dfsgdsfgfsd 最后于 2020-2-18 00:51 被iceway编辑，原因： 2020-1-31 20:16 0
tdsss 雪币： 954 活跃值： (123) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 57 粉丝 4 关注私信	tdsss 18 楼 iceway for(int i = 0; i < 0xFFFFFFFFFFFFFFFF; i ++) 回复这种乐色内容有意思吗，举报了看雪也不管 2020-2-9 22:34 0
iceway 雪币： 19 活跃值： (1111) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 19 楼 tdsss 回复这种乐色内容有意思吗，举报了看雪也不管 SX 最后于 2020-2-18 00:51 被iceway编辑，原因： 2020-2-18 00:46 0
supersoar 雪币： 573 活跃值： (277) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 198 粉丝 0 关注私信	supersoar 20 楼不太了解。。。。深入NTFS文件系统底层的话不知道能不能破。 2020-2-25 07:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

tdsss

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
hzqst 雪币： 12876 活跃值： (9342) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 606 关注私信	hzqst 3 2 楼挂个minifilter，在别人打开的时候截胡 2020-1-27 08:44 0
青丝梦雪币： 1553 活跃值： (2904) 能力值： ( LV5，RANK：60 ) 在线值：发帖 9 回帖 154 粉丝 23 关注私信	青丝梦 1 3 楼一般来讲就是抢占先机，在他删除之前过滤他的操作。相当于是打埋伏。 2020-1-27 13:41 0
囧囧雪币： 284 活跃值： (3824) 能力值： ( LV5，RANK：75 ) 在线值：发帖 69 回帖 337 粉丝 14 关注私信	囧囧 4 楼解决无法打开的思路：先调一下是卡在哪里了，结合逆向NtCreateFile看看，比如共享权限问题，那就给个最小权限去打开，要读写的话发IRP去。它打开FileObject不关闭，你得到FileObject后多反引用一次即可。还是不行的话，遍历系统句柄（对象）--参考unlocker，得到那个文件的文件对象，直接反引用。硬刚非要打开的话，参考调试中到底卡在那里，直接去把文件对象或VPB里对应的标志改掉，应该就能打开了。最后于 2020-1-27 14:20 被囧囧编辑，原因： 2020-1-27 14:19 0
tdsss 雪币： 954 活跃值： (123) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 57 粉丝 4 关注私信	tdsss 5 楼囧囧解决无法打开的思路：先调一下是卡在哪里了，结合逆向NtCreateFile看看，比如共享权限问题，那就给个最小权限去打开，要读写的话发IRP去。它打开FileObject不关闭，你得到FileObje ... 没有句柄的，只有FileObject，而且你还不知道FileObject的地址。如果尝试打开，会提示STATUS_DELETE_PENDING。最后于 2020-1-27 15:58 被tdsss编辑，原因： 2020-1-27 15:56 0
cavan 雪币： 273 活跃值： (444) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 144 粉丝 3 关注私信	cavan 6 楼遇见过很多这样的，在XT文件列表中会显示为红色。同求解决办法。最后于 2020-1-27 19:55 被cavan编辑，原因： 2020-1-27 19:36 0
tdsss 雪币： 954 活跃值： (123) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 57 粉丝 4 关注私信	tdsss 7 楼 cavan 遇见过很多这样的，在XT文件列表中会显示为红色。同求解决办法。是的，XT显红色删除不了，AST和WKE也删除不了。有没有大牛可以提供一下解题思路？ 2020-1-27 23:25 0
Thead 雪币： 407 活跃值： (2054) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 143 粉丝 4 关注私信	Thead 8 楼这种情况下，想要删掉这个文件，恐怕要解析文件系统了 2020-1-28 20:52 0
咖啡_741298 雪币： 4 活跃值： (4370) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 152 粉丝 2 关注私信	咖啡_741298 9 楼 tdsss 是的，XT显红色删除不了，AST和WKE也删除不了。有没有大牛可以提供一下解题思路？ 360粉碎呢 2020-1-28 21:01 0
hzqst 雪币： 12876 活跃值： (9342) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 606 关注私信	hzqst 3 10 楼 tdsss 囧囧解决无法打开的思路：先调一下是卡在哪里了，结合逆向NtCreateFile看看，比如共享权限问题，那就给个最小权限去打开，要读写的话发IRP去。它打开F ... 不是跟你说了直接在别人第一次打开的时候截胡 2020-1-28 22:18 0
cavan 雪币： 273 活跃值： (444) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 144 粉丝 3 关注私信	cavan 11 楼 hzqst 不是跟你说了直接在别人第一次打开的时候截胡如果是个rookit，在系统刚开始启动时就这样了怎么搞。。 2020-1-28 22:30 0
hzqst 雪币： 12876 活跃值： (9342) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 606 关注私信	hzqst 3 12 楼 cavan 如果是个rookit，在系统刚开始启动时就这样了怎么搞。。进PE搞 2020-1-28 23:21 0
killleer 雪币： 1556 活跃值： (2332) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 11 关注私信	killleer 13 楼参考TDSSKILLER 2020-1-28 23:48 0
iceway 雪币： 19 活跃值： (1111) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 14 楼呵呵最后于 2020-2-18 00:51 被iceway编辑，原因： 2020-1-29 11:43 0
tdsss 雪币： 954 活跃值： (123) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 57 粉丝 4 关注私信	tdsss 15 楼 iceway for循环遍历所有FileObject 无法打开文件，你去哪里找FileObject？ 2020-1-30 08:58 0
tdsss 雪币： 954 活跃值： (123) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 57 粉丝 4 关注私信	tdsss 16 楼咦，各路牛皮大神哪里去了？怎么只有一个大神来说单口相声？连思路都没有么？？？ 2020-1-30 23:21 0
iceway 雪币： 19 活跃值： (1111) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 17 楼 dfsgdsfgfsd 最后于 2020-2-18 00:51 被iceway编辑，原因： 2020-1-31 20:16 0
tdsss 雪币： 954 活跃值： (123) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 57 粉丝 4 关注私信	tdsss 18 楼 iceway for(int i = 0; i < 0xFFFFFFFFFFFFFFFF; i ++) 回复这种乐色内容有意思吗，举报了看雪也不管 2020-2-9 22:34 0
iceway 雪币： 19 活跃值： (1111) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 19 楼 tdsss 回复这种乐色内容有意思吗，举报了看雪也不管 SX 最后于 2020-2-18 00:51 被iceway编辑，原因： 2020-2-18 00:46 0
supersoar 雪币： 573 活跃值： (277) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 198 粉丝 0 关注私信	supersoar 20 楼不太了解。。。。深入NTFS文件系统底层的话不知道能不能破。 2020-2-25 07:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复