[已解決]求教調用NTQUERYDIRECTORYFILE問題

kk1025

在調用NTQUERYDIRECTORYFILE時會出現STATUS_INFO_LENGTH_MISMATCH的NTSTATUS，不知哪位大大知道怎麼解這個問題。


typedef NTSTATUS ( *NTQUERYDIRECTORYFILE)(IN HANDLE  FileHandle,
                                         IN HANDLE  Event,
                                         IN PIO_APC_ROUTINE  ApcRoutine,
                                         IN PVOID  ApcContext,
                                         OUT PIO_STATUS_BLOCK  IoStatusBlock,
                                         OUT PVOID  FileInformation,
                                         OUT ULONG  Length,
                                         IN FILE_INFORMATION_CLASS  FileInformationClass,
                                         IN BOOLEAN  ReturnSingleEntry,
                                         IN PUNICODE_STRING  FileName,
                                         IN BOOLEAN  RestartScan);

NTQUERYDIRECTORYFILE NtQueryDirectoryFile;

status = (NTQUERYDIRECTORYFILE)(NtQueryDirectoryFile)(
                        FileHandle,
                        Event,
                        ApcRoutine,
                        ApcContext,
                        IoStatusBlock,
                        FileInformation,
                        Length,
                        FileInformationClass,
                        ReturnSingleEntry,
                        FileName,
                        RestartScan);
kp("NTSTATUSA = %x",status);

Tesla.Angela

你去搜索一下论坛，有人发过一个利用此函数来枚举文件的代码。

kk1025

Tesla.Angela 发表于 2013-4-19 12:21
你去搜索一下论坛，有人发过一个利用此函数来枚举文件的代码。

感謝。我找一下～～

kk1025

Tesla.Angela 发表于 2013-4-19 12:21
你去搜索一下论坛，有人发过一个利用此函数来枚举文件的代码。

不知大大有沒有遇過。調用原函数時，會出現STATUS＿ACCESS＿VIOLATION的問題

Tesla.Angela

kk1025 发表于 2013-6-9 08:59
不知大大有沒有遇過。調用原函数時，會出現STATUS＿ACCESS＿VIOLATION的問題

把代码写到try...catch里面。

kk1025

Tesla.Angela 发表于 2013-6-9 15:35
把代码写到try...catch里面。

謝謝大大。不過問題還是一樣，
我參考大大的Hook SSDT 找到（50）的NtQueryDirectoryFile,然後Hook到Fake_NtQueryDirectoryFile , 在Fake_NtQueryDirectoryFile中再CALL NtQueryDirectoryFile要取得FileInformation時就會出現STATUS_ACCESS_VIOLATION的錯誤而失敗， 使用try... catch也是一樣～～不知大大有建議嗎～

Tesla.Angela

不知道NtQueryDirectoryFile要在内核线程里才能调用吗？
或者说，线程要处于KernelMode才能成功执行这个函数吗？

kk1025

Tesla.Angela 发表于 2013-6-9 18:09
不知道NtQueryDirectoryFile要在内核线程里才能调用吗？
或者说，线程要处于KernelMode才能成功执行这个函 ...

謝謝大大， 第一次玩耍WIN64 ，我功力很弱，因為在WIN32上寫過類似的是可以，
所以想問大大，要怎麼樣才能在WIN64走內核線程，難道一定要用KERNEL﹣CODE 的憑證SIGN過才行嗎，

Tesla.Angela

kk1025 发表于 2013-6-9 22:27
謝謝大大， 第一次玩耍WIN64 ，我功力很弱，因為在WIN32上寫過類似的是可以，
所以想問大大，要怎麼樣才 ...

看置顶贴。

kk1025

Tesla.Angela 发表于 2013-6-10 00:12
看置顶贴。

OK。。。研究一下～