[求助]ZwWriteFile问题-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 2 楼 InitializeObjectAttributes( &FileObjAttr, &ObjectName, OBJ_OPENIF \| OBJ_KERNEL_HANDLE, NULL, NULL ); If the caller is not running in a system thread context, it must set the OBJ_KERNEL_HANDLE attribute when it calls InitializeObjectAttributes. btw, ZwDeleteFile( &FileObjAttr ); is not necessary and it is wrong here. InitializeObjectAttributes() does nothing with the actual file object, it only initializes the OBJECT_ATTRIBUTES structure. #define InitializeObjectAttributes(p, n, a, r, s) { (p)->Length = sizeof( OBJECT_ATTRIBUTES ); (p)->RootDirectory = r; (p)->Attributes = a; (p)->ObjectName = n; (p)->SecurityDescriptor = s; (p)->SecurityQualityOfService = NULL; } 2008-4-9 05:41 0
trkzrq 雪币： 280 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 125 粉丝 0 关注私信	trkzrq 3 楼谢谢2楼的回答。我按你说的把\| OBJ_KERNEL_HANDLE加上了，并去掉了ZwDeleteFile( &FileObjAttr );，不过还是不行，只能创建文件，不能把内容写入，有可能是调用PsCreateSystemThread的时候出错吗？还是我写的WorkSysThread()函数有问题？ 2008-4-9 07:39 0
sudami 雪币： 709 活跃值： (2575) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 68 关注私信	sudami 25 4 楼参考KLOG 2008-4-9 09:20 0
Bell 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 1 关注私信	Bell 5 楼 RtlInitUnicodeString( &ObjectName, FileName ); InitializeObjectAttributes( &FileObjAttr, &ObjectName, OBJ_CASE_INSENSITIVE, NULL, NULL ); status = ZwCreateFile( hFile, GENERIC_WRITE \| GENERIC_READ, &FileObjAttr, &IoStatusBlock, 0, FILE_ATTRIBUTE_NORMAL, FILE_SHARE_DELETE \| FILE_SHARE_READ \| FILE_SHARE_WRITE, FILE_OPEN_IF, FILE_NON_DIRECTORY_FILE \| FILE_SYNCHRONOUS_IO_NONALERT, NULL, 0 ); if( status == STATUS_SUCCESS ) { DbgPrint( "Create File Successfully\n" ); status = ZwWriteFile( hFile, NULL, NULL, NULL, &IoStatusBlock, Content, strlen(Content), NULL, NULL ); if( !NT_SUCCESS( status ) ) { DbgPrint( "Write File Failed!\n" ); return status; } ZwClose( hFile ); ZwDeleteFile( &FileObjAttr ); } 2008-4-11 01:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (4)
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 2 楼 InitializeObjectAttributes( &FileObjAttr, &ObjectName, OBJ_OPENIF \| OBJ_KERNEL_HANDLE, NULL, NULL ); If the caller is not running in a system thread context, it must set the OBJ_KERNEL_HANDLE attribute when it calls InitializeObjectAttributes. btw, ZwDeleteFile( &FileObjAttr ); is not necessary and it is wrong here. InitializeObjectAttributes() does nothing with the actual file object, it only initializes the OBJECT_ATTRIBUTES structure. #define InitializeObjectAttributes(p, n, a, r, s) { (p)->Length = sizeof( OBJECT_ATTRIBUTES ); (p)->RootDirectory = r; (p)->Attributes = a; (p)->ObjectName = n; (p)->SecurityDescriptor = s; (p)->SecurityQualityOfService = NULL; } 2008-4-9 05:41 0
trkzrq 雪币： 280 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 125 粉丝 0 关注私信	trkzrq 3 楼谢谢2楼的回答。我按你说的把\| OBJ_KERNEL_HANDLE加上了，并去掉了ZwDeleteFile( &FileObjAttr );，不过还是不行，只能创建文件，不能把内容写入，有可能是调用PsCreateSystemThread的时候出错吗？还是我写的WorkSysThread()函数有问题？ 2008-4-9 07:39 0
sudami 雪币： 709 活跃值： (2575) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 68 关注私信	sudami 25 4 楼参考KLOG 2008-4-9 09:20 0
Bell 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 1 关注私信	Bell 5 楼 RtlInitUnicodeString( &ObjectName, FileName ); InitializeObjectAttributes( &FileObjAttr, &ObjectName, OBJ_CASE_INSENSITIVE, NULL, NULL ); status = ZwCreateFile( hFile, GENERIC_WRITE \| GENERIC_READ, &FileObjAttr, &IoStatusBlock, 0, FILE_ATTRIBUTE_NORMAL, FILE_SHARE_DELETE \| FILE_SHARE_READ \| FILE_SHARE_WRITE, FILE_OPEN_IF, FILE_NON_DIRECTORY_FILE \| FILE_SYNCHRONOUS_IO_NONALERT, NULL, 0 ); if( status == STATUS_SUCCESS ) { DbgPrint( "Create File Successfully\n" ); status = ZwWriteFile( hFile, NULL, NULL, NULL, &IoStatusBlock, Content, strlen(Content), NULL, NULL ); if( !NT_SUCCESS( status ) ) { DbgPrint( "Write File Failed!\n" ); return status; } ZwClose( hFile ); ZwDeleteFile( &FileObjAttr ); } 2008-4-11 01:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复