大家有没有研究过WRK？不知你们是怎么编译的呢

565710420

我COPY了NtOpenProcess

其他应该都没错了 就剩下这函数了

error LNK2019: unresolved external symbol _ProbeForReadSmallStructure@12 referenced in function _HxNtOpenProcess@16


这函数有什么不妥吗

函数原型:

FORCEINLINE VOID ProbeForReadSmallStructure (IN PVOID Address,IN SIZE_T Size,IN ULONG Alignment);

如果你知道 麻烦你帮我解答下 感谢！

565710420

我参考了别位前辈的以C++方式声明：

1. extern"C" void _stdcall ProbeForWriteHandle(PVOID);
   
2. extern"C" void ProbeForReadSmallStructure(PVOID,ULONG,ULONG);
   
3. extern"C" NTSTATUS SeCreateAccessState(PVOID,PVOID,ULONG,PVOID);
   
4. 
   

复制代码

而我用的是C语言：

1. VOID ProbeForReadSmallStructure (IN PVOID Address,IN SIZE_T Size,IN ULONG Alignment);
   
2. 
   
3. 
   
4. NTSTATUS
   
5. SeCreateAccessState(
   
6.                                         __out PACCESS_STATE AccessState,
   
7.                                         __out PAUX_ACCESS_DATA AuxData,
   
8.                                         __in ACCESS_MASK DesiredAccess,
   
9.                                         __in PGENERIC_MAPPING GenericMapping
   
10.                                         );
    
11. ULONG
    
12. ObSanitizeHandleAttributes (
    
13.                                                         IN ULONG HandleAttributes,
    
14.                                                         IN KPROCESSOR_MODE Mode
    
15.                                                         );

复制代码

:'( 怎么错在哪里了啊 晕

Tesla.Angela

没试过直接复制WRK的代码来编译。
不过楼主为了打开进程，直接pslookup+obopen就行了，何必这么麻烦呢？

565710420

不稳定啊
安全性不高

Tesla.Angela

565710420 发表于 2011-7-26 14:29
不稳定啊
安全性不高

你以为复制ntopenprocess的安全性就高吗？
要安全性高不如直接搞镜像内核。。。

565710420

呵呵 不觉吗 如果我打开的PID或者指针什么的无效 那不蓝屏了吗
当然要做些判断嘛
这位前辈用C++可以编译
http://www.m5home.com/bbs/thread-5504-1-2.html
不过我用C怎么就不可以了 晕

Tesla.Angela

自己琢磨一下LNK2019错误：http://msdn.microsoft.com/zh-cn/library/799kze2z(VS.80).aspx

565710420

Tesla.Angela 发表于 2011-7-26 14:38
自己琢磨一下LNK2019错误：http://msdn.microsoft.com/zh-cn/library/799kze2z(VS.80).aspx

杯具 居然在里面找不到

Tesla.Angela

565710420 发表于 2011-7-26 14:47
杯具 居然在里面找不到

楼主你太死心眼了。。。
干嘛非要抓住一个方法不放呢。。。

ywledoc

link error。跟编译器对函数名的处理有关系。
当c++与c文件混用易出现问题，extern "C"就是用来解决这种情况的。
当然函数名打错了，也是有问题的。
LZ可参见：http://baike.baidu.com/view/2814224.htm
c文件中只用extern，c++文件中才要extern "C"
最后，extern "C"到底对OBJ文件是如何影响的，希望有人解答下。

565710420

ywledoc 发表于 2011-7-26 15:50
link error。跟编译器对函数名的处理有关系。
当c++与c文件混用易出现问题，extern "C"就是用来解决这种情 ...

extern 不起作用。。。

565710420

Tesla.Angela 发表于 2011-7-26 14:58
楼主你太死心眼了。。。
干嘛非要抓住一个方法不放呢。。。

呵呵 情况所逼

我早已经有方法实现功能了 但是感觉很猥琐

所以想用其他方法啦

Tesla.Angela

ywledoc 发表于 2011-7-26 15:50
link error。跟编译器对函数名的处理有关系。
当c++与c文件混用易出现问题，extern "C"就是用来解决这种情 ...

最讨厌C/C++的这些烦人细节了。

565710420

Tesla.Angela 发表于 2011-7-26 16:15
最讨厌C/C++的这些烦人细节了。

哇 知己 我也是啊 很讨厌这些细节 总是分不清

Tesla.Angela

那你就先用C++编译吧

ywledoc

565710420 发表于 2011-7-26 15:52
extern 不起作用。。。

不起作用是怎么个意思？

ywledoc

Tesla.Angela 发表于 2011-7-26 16:15
最讨厌C/C++的这些烦人细节了。

细节是烦人，但是不掌握好，有时候，很悲剧。特别是C++!

565710420

ywledoc 发表于 2011-7-26 20:14
不起作用是怎么个意思？

不起作用就是加上了还是老样子

565710420

两位前辈可以告诉我这段代码是什么意思吗

1. void Func()
   
2. {
   
3.     BYTE *pReadAddress = NULL;
   
4.     ULONG lReadSize = 0;
   
5.    
   
6. 
   
7.     if ( !NT_SUCCESS(GetReadAddress(&pReadAddress, &lReadSize)) )
   
8.     {
   
9.         
   
10.         return;
    
11.     }
    
12. 
    
13. 
    
14. 
    
15. }
    
16. //GetReadAddress函数
    
17. NTSTATUS GetReadAddress(BYTE **ppAddress, ULONG *pSize)
    
18. {
    
19.     NTSTATUS status = STATUS_UNSUCCESSFUL;
    
20.     if ( g_pReadAddress == NULL )
    
21.     {
    
22.         status = MyEnumKernelModule(
    
23.                 "\\??\\c:\\windows\\system32\\Read.sys",
    
24.                 (ULONG*)g_pReadAddress,
    
25.                  &g_ReadSize);
    
26.         if (!NT_SUCCESS(status))
    
27.         {
    
28.             DbgPrint("Read is not loaded yet\n");
    
29.             return status;
    
30.         }
    
31.     }
    
32.     else
    
33.     {
    
34.         *ppAddress = g_pReadAddress;
    
35.         *pSize = g_ReadSize;
    
36.     }
    
37. 
    
38.     return STATUS_SUCCESS;
    
39. }
    
40. //MyEnumKernelModule函数
    
41. 
    
42. NTSTATUS MyEnumKernelModule(IN CHAR* str,OUT ULONG *moduleadd,OUT ULONG *modulesie)
    
43. {
    
44.     NTSTATUS status = STATUS_SUCCESS;
    
45.     ULONG   n       = 0;
    
46.     ULONG   i       = 0;
    
47.     PSYSTEM_MODULE_INFORMATION_ENTRY   module = NULL;
    
48.     PVOID   pbuftmp = NULL;
    
49.     ANSI_STRING    ModuleName1,ModuleName2;
    
50.     BOOLEAN  tlgstst= FALSE;  
    
51. 
    
52.     status = ZwQuerySystemInformation(11, &n, 0, &n);
    
53. 
    
54.     pbuftmp = ExAllocatePool(NonPagedPool, n);
    
55. 
    
56.     status = ZwQuerySystemInformation(11, pbuftmp, n, NULL);
    
57. 
    
58.     module = (PSYSTEM_MODULE_INFORMATION_ENTRY)((PULONG )pbuftmp + 1 );
    
59. 
    
60.     RtlInitAnsiString(&ModuleName1,str);
    
61.     //
    
62.     n       = *((PULONG)pbuftmp );
    
63.     for ( i = 0; i < n; i++ )
    
64.     {
    
65.         RtlInitAnsiString(&ModuleName2,(PCSZ)&module->ImageName);
    
66.         if (RtlCompareString(&ModuleName1,&ModuleName2,TRUE) == 0)
    
67.         {
    
68. //            DbgPrint("MyEnumKernelModule:%s:%0X \n",ModuleName2.Buffer,module.Base);
    
69.             *moduleadd  = (ULONG)module->Base;
    
70.             *modulesie  = module->Size;
    
71.             tlgstst = TRUE;
    
72.             break;
    
73.         }
    
74.     }
    
75.     ExFreePool(pbuftmp);
    
76.     if (tlgstst == FALSE)
    
77.     {
    
78.         return  FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
    
79.     }
    
80.     return status;
    
81. }

复制代码

如果是枚举指定内核模块地址的话 怎么我加载了驱动 and Read.sys 在System32下还总是输出这句呢

DbgPrint("Read is not loaded yet\n");

ywledoc

565710420 发表于 2011-7-26 21:06
两位前辈可以告诉我这段代码是什么意思吗如果是枚举指定内核模块地址的话 怎么我加载了驱动 and Read.sys 在 ...

可能是ZwQuerySystemInformation调用出错了吧。具体要调试了。

565710420

ywledoc 发表于 2011-7-26 21:09
可能是ZwQuerySystemInformation调用出错了吧。具体要调试了。

噢 很多函数我都不懂