如何用ZwOpenFile运行程序？

  sys里如何调用ZwOpenFile运行一个程序呢？

BOOLEAN OpenTheFile ()
{
HANDLE hFile;
OBJECT_ATTRIBUTES oaFile;
ANSI_STRING FileNameAnsi;
UNICODE_STRING FileNameUnicode;
IO_STATUS_BLOCK iosb;
NTSTATUS nts;

// Open the file
RtlInitAnsiString (&FileNameAnsi, "\\??\\c:\\tmp.exe");
RtlAnsiStringToUnicodeString (&FileNameUnicode, &FileNameAnsi, TRUE);
InitializeObjectAttributes (&oaFile, &FileNameUnicode,OBJ_CASE_INSENSITIVE|OBJ_KERNEL_HANDLE, NULL, NULL);
nts = ZwOpenFile(&hFile, GENERIC_READ|GENERIC_EXECUTE,&oaFile, &iosb, 0,FILE_NON_DIRECTORY_FILE);

if (!NT_SUCCESS (nts)) {
    RtlFreeUnicodeString (&FileNameUnicode);
    //DbgPrint(("Open failed with status %x\n", nts));
    return FALSE;
}else{
    DbgPrint(("Open success\n"));
    return TRUE;
}
}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath )
{
    
    OpenTheFile();
    return STATUS_SUCCESS;
}

这样写为何不行呀。

dddddddddddddddd

帮助楼主这种恶意软件作者（虽然是个菜鸟），就等于是为害社会，为害人民

我可以帮助任何人，不用任何酬劳，但是前提我的心情必须好～

哪位老爷行行好，心情好点，救个急啊~

首先在内核运行程序，不是靠ZwOpenXX来的

为什么要在内核运行程序呢？绕过HIPS？

HIPS是那么容易绕的么？
搞不好你就在他的内核里运行着～（WRK里面直接添加咱们的过滤的代码，使用编译级别的hook技术哈哈）

居然有人认为ZwOpenFile就可以在内核执行程序
笑死我了         难怪天生是做流氓的料

引用第5楼killvxk于2007-04-11 12:16发表的“”:
首先在内核运行程序，不是靠ZwOpenXX来的

zwopenfile zwcreatesection zwcreateprocess zwallocatevirtualmemory。。。
我是想在hook 进zwcreatsection之后，当检测到执行特定程序的时候，调用zwopenfile打开另一个文件，把handle传给zwcreateion,重定向让它执行另一个文件，但用ZwOpenFile(&hFile, GENERIC_READ|GENERIC_EXECUTE,&oaFile, &iosb, 0,FILE_NON_DIRECTORY_FILE);传下去，文件被执行不了...

hoglund的文章，自己找吧～

引用第10楼killvxk于2007-04-11 16:22发表的“”:
hoglund的文章，自己找吧～

参考的就是他的文章~~有些不同，它的方法同时hook 了zwopenfile 和zwcreatesection的，他改handle是在zwopenfile 中。。

引用第7楼killvxk于2007-04-11 12:37发表的“”:
HIPS是那么容易绕的么？
搞不好你就在他的内核里运行着～（WRK里面直接添加咱们的过滤的代码，使用编译级别的hook技术哈哈）

WRK里的东西精简的太多，虽然可以跑起来，可和真实的相差较大，只能研究而已。。。。。

解决了，呵呵，多谢各位，

引用第3楼killvxk于2007-04-10 21:32发表的  :
我可以帮助任何人，不用任何酬劳，但是前提我的心情必须好～

你这个流氓··· ···

引用第12楼wowocock于2007-04-12 11:02发表的  :

WRK里的东西精简的太多，虽然可以跑起来，可和真实的相差较大，只能研究而已。。。。。

WRK没有我需要的那部分！