挂钩ZwOpenFile中怎样得到文件的全路经？（附代码）

楼主^#

更多发布于：2004-09-29 22:19

在hook_ZwOpenFile中怎么样得到文件的全路经？我用了ObReferenceObjectByHandle
ObQueryNameString的经典方法，一般情况还可以，但是进到dos的控制台时候，出现了8.3文件名，这样我的识别规则就失效了，怎么处理啊？

我的代码如下：

NTSTATUS my_ZwOpenFile (
OUT PHANDLE FileHandle,
IN ACCESS_MASK DesiredAccess,
IN POBJECT_ATTRIBUTES ObjectAttributes,
OUT PIO_STATUS_BLOCK IoStatusBlock,
IN ULONG ShareAccess,
IN ULONG OpenOptions
)
{
int rc;
char ParentDirectory[1024];
PUNICODE_STRING Parent=NULL;
int BytesReturned;

ParentDirectory[0]='\0';
if (ObjectAttributes->RootDirectory!=0)
{
PVOID Object;
Parent=(PUNICODE_STRING)ParentDirectory;
rc=ObReferenceObjectByHandle(myFileHandle,0,0,KernelMode,
&Object,NULL);
if (rc==STATUS_SUCCESS)
{
rc=ObQueryNameString(Object,(PUNICODE_STRING)ParentDirectory,sizeof(ParentDirectory),&BytesReturned);
ObDereferenceObject(Object);
if (rc!=STATUS_SUCCESS)
{
RtlInitUnicodeString(Parent,L"Unknown\\");
}
}
else{
RtlInitUnicodeString(Parent,L"Unknown\\");
}
}
DbgPrint("ZwOpenFile : Filename = %S%S%S\n",Parent?Parent->Buffer:L"",
Parent?L"\\":L"", ObjectAttributes->ObjectName->Buffer);

rc = Real_ZwOpenFile (FileHandle, DesiredAccess, ObjectAttributes,
IoStatusBlock, ShareAccess, OpenOptions);
DbgPrint("ZwOpenFile : rc = %x\n", rc);
return rc;
}

喜欢0

cgdxxx

驱动牛犊

注册日期2003-04-04
最后登录2009-04-29
粉丝0
关注0
积分60分
威望7点
贡献值0点
好评度7点
原创分0分
专家分0分

加关注写私信

沙发^#

发布于：2004-09-29 22:20

ParentDirectory[0]='\0';
if (ObjectAttributes->RootDirectory!=0)
{
PVOID Object;
Parent=(PUNICODE_STRING)ParentDirectory;

rc=ObReferenceObjectByHandle(myFileHandle,0,0,KernelMode,
&Object,NULL);
if (rc==STATUS_SUCCESS)
{
rc=ObQueryNameString(Object,(PUNICODE_STRING)ParentDirectory,sizeof(ParentDirectory),&BytesReturned);
ObDereferenceObject(Object);
if (rc!=STATUS_SUCCESS)
{
RtlInitUnicodeString(Parent,L"Unknown\\");
}
}
else{
RtlInitUnicodeString(Parent,L"Unknown\\");
}
}
DbgPrint("ZwOpenFile : Filename = %S%S%S\n",Parent?Parent->Buffer:L"",
Parent?L"\\":L"", ObjectAttributes->ObjectName->Buffer);

rc = Real_ZwOpenFile (FileHandle, DesiredAccess, ObjectAttributes,
IoStatusBlock, ShareAccess, OpenOptions);
DbgPrint("ZwOpenFile : rc = %x\n", rc);
return rc;
}

回复喜欢

cicada 驱动小牛注册日期2003-12-09 最后登录2008-07-11 粉丝1 关注0 积分74分威望15点贡献值0点好评度7点原创分0分专家分0分加关注写私信	板凳^# 发布于：2004-10-03 15:18 代码没有贴全吧！
	回复(0) 喜欢(0)

AllenZh

驱动老牛

注册日期2001-08-19
最后登录2015-11-27
粉丝19
关注10
积分1316分
威望2387点
贡献值7点
好评度321点
原创分0分
专家分0分

加关注写私信

地板^#

发布于：2004-10-03 18:16

看看OBJECT_ATTRIBUTES结构就知道了

1,承接Windows下驱动/应用开发 2,本人原创虚拟鼠标/键盘,触摸屏,虚拟显卡,Mirror驱动,XP无盘的SCSI虚拟磁盘驱动等 3,windows下有尝技术服务(包括BUG调试,员工培训等) 欢迎深圳和海外企业联系.msn:mfczmh@sina.com

回复喜欢

您需要登录后才可以回帖，登录或者注册

挂钩ZwOpenFile中怎样得到文件的全路经？（附代码）

最新喜欢：