请教：Hook了ZwWriteFile后无法用原来的ZwWriteFile函数写文件的问题

楼主^#

更多发布于：2007-05-12 17:47

大家好，我在驱动里面Hook了ZwCreateFile和ZwWriteFile，发现都无法调用原来的函数创建文件和写入文件了，调用RealCreateFile的话会返回STATUS_ACCESS_VIOLATION或者STATUS_INVALID_PARAMETER的错误，我在另外一个贴中有说明：

http://bbs.driverdevelop.com/htm_data/16/0705/101781.html

如果调用RealWriteFile的话则返回STATUS_INVALID_HANDLE的错误。而如果没有Hook了ZwCreateFile和ZwWriteFile函数的话，发现操作是成功的，但现在必须Hook这两个函数，然后作一下记录再写入文件，请问大家有什么方法呢？谢谢大家

喜欢1

最新喜欢：

linshi...

scutfang 驱动牛犊注册日期2007-03-18 最后登录2008-02-29 粉丝0 关注0 积分90分威望10点贡献值0点好评度9点原创分0分专家分0分加关注写私信	沙发^# 发布于：2007-05-19 15:00 楼主，我跟你遇到的问题是一样的，不知道你的问题解决了么？qq：94381267 我也发了一个帖子，http://bbs.driverdevelop.com/htm_data/98/0705/102006.html
	回复(0) 喜欢(0)

meilimeimei

驱动牛犊

注册日期2006-05-16
最后登录2013-02-25
粉丝0
关注0
积分3分
威望72点
贡献值0点
好评度50点
原创分0分
专家分0分

加关注写私信

板凳^#

发布于：2007-05-29 01:45

返回c0000005错误的原因是因为你传递给ZwCreateFile的参数的地址是大于
MM_USER_PROBE_ADDRESS，就是NtCreateFile的1,3,4参数及OBJECT_ATTRIBUTES.ObjectName.Buffer这几个指针，

用到指针的地方都用ZwAllocateVirtualMemory来申请内存作为参数，不要用局部变量

因为在内部函数IopCreateFile中会对传入参数进行判断

回复喜欢

super9

驱动牛犊

注册日期2008-08-06
最后登录2009-04-29
粉丝0
关注0
积分5分
威望99点
贡献值0点
好评度0点
原创分0分
专家分0分

加关注写私信

地板^#

发布于：2008-10-11 15:51

引用第2楼meilimeimei于2007-05-29 01:45发表的 :
返回c0000005错误的原因是因为你传递给ZwCreateFile的参数的地址是大于
MM_USER_PROBE_ADDRESS，就是NtCreateFile的1,3,4参数及OBJECT_ATTRIBUTES.ObjectName.Buffer这几个指针，

用到指针的地方都用ZwAllocateVirtualMemory来申请内存作为参数，不要用局部变量

.......

这个地方ZwAllocateVirtualMemory具体该怎么用啊？谢谢诶！

回复喜欢

WQXNETQIQI

驱动大牛

注册日期2006-06-12
最后登录2010-10-26
粉丝0
关注0
积分13分
威望1076点
贡献值0点
好评度895点
原创分1分
专家分0分

加关注写私信

地下室^#

发布于：2008-10-11 17:33

不要用ALLOCATE MEMORY这么白痴的办法，参考此贴我的回复：
http://bbs.driverdevelop.com/htm_data/16/0809/113576.html

驱动开发者呵呵

回复喜欢

您需要登录后才可以回帖，登录或者注册