Вообщем такое дело, написал прогу и драйвер, прога через иоктл шлет запрос драйверу передавая в параметре адрес того файла когорого надо скопировать. Как я знаю файл SAM занят системой , проба на нем прошла успешно , файл скопировался. Я сделал теперь запрос на другой файл занятый , он не скопировался , точнее скопировался но пустой а инфа не прочиталась. Я думал что если САМ файл скопировало то и тот текстовик скопирует. Текстовый файл , лежит в скрытом режиме может это причина скопированного файла с 0 байтами?

Исаев сделал пробу на своем коме с другой прогой , она через

копирует файл тоже, странно то что файл у меня скопировался , но на другом компе скопировался файл с 0 байтами.
У кого какое мнение ?

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

mak пишет:
Текстовый файл , лежит в скрытом режиме
Этот текстовый файл отрывается следующим образом:

тут наверное всё что нужно знать для того, чтобы получить к нему доступ

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Разбирать надо прогу твою, файлы, коды ошибок смотреть, чо это за вопрос то, гадать что ли? Как вариант-Рема статью почитай про занятые файлы.

| Сообщение посчитали полезным:

Поэксперименитровал и понял разницу



addr usDeviceName эта переменная дается с ехе программы через иоктл , я точно не уверен но наверное причина в том что поданная сточка не соотвествует любимому формату драйверов.После попадания в драйвер делается RtlInitUnicodeString где addr usDeviceName это уникод строка а последний праметр это адрес нахождения пути до файла которого надо копировать. Поэтому дровина отрабатывает создавая вариант пустого файла но не записывающего данные ибо путь то не был верен.


Если я пишу строку


в месте


InitializeObjectAttributes addr oa,$CCOUNTED_UNICODE_STRING("\SystemRoot"),OBJ_CASE_INSENSITIVE + OBJ_KERNEL_HANDLE, NULL, NULL
то тогда копируется все на ура. Это означает что я неправильно подаю данные в драйвер или чего то еще не хватает. В приложении скомпиленная прога с дровиной. В папке сам должнасоздать копию сам с именем ver. То есть это вариант без $CCOUNTED_UNICODE_STRING.

Вопрос ? Как передать правильно строку в драйвер в понятном для него формате динамически , разблокируемый файл может быть каждый раз разный.

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

файл

bb6b_05.09.2008_CRACKLAB.rU.tgz - Xen.rar

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Вот еще забыл момент с буфером


в SystemBuffer будет лежать моя строка или адрес строки которые пришли с приложения?

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Обычно в таких случаях я сам просто беру и смотрю это в сайсе, что проще-взять воткнуть в дров __asm int 3, в сайсе поставить bpint 3 и посмотреть, что интересно. По-моему, это гораздо лучше, чем тыкать народ на форуме, тем более, что это можно легко глянуть самому.

| Сообщение посчитали полезным:

mak пишет:
файл

bb6b_05.09.2008_CRACKLAB.rU.tgz - Xen.rar

mak у меня после старта твоей проги комп сразу ребутнулся ,как будто я какой то выжный системный процес кильнул

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным:

Archer спсб хороший метод , все верно в функцию идет адрес файла которого потом проходит RtlInitUnicodeString переводит и потом даже крит файл открывает все супер , а падение было вот тут



на коде invoke ExAllocatePool, PagedPool, cb
вернуло 0 ну а потом естественно пишет в файл 0 байт но создает его . Самое интеерсное что при строке $CCOUNTED_UNICODE_STRING работает а с динамическим адресом не работает. Какая может быть разница ?

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

MACKLIA не не , там ничего не киляет , у меня пока не было такого с этим кодом что тут. Было синий экран с другой версией , но там ясно было не так адреса выделяллись. Тут же я проверял с $CCOUNTED_UNICODE_STRING копирует , а без нее просто пустой файл создает.

Извиняюсь за такое последствие

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

mak мак за эксперемент никаких претензий ,просто сообщил как у меня комп отреагировал.

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным:

=) нашел ошибку всетаки точную , память не выделяется потому что имя файла подается не правильно ,в IOCTL передается строка адрес файла , далее в драйвере берется буфер проверил в софтайсе , с правильным адресом файла , но адрес не сформирован как строка DW нужная для драйвера , в свою очередь я видел в дровине работы с реестром , там адреса не имеют формата DWно делают RtlInitUnicodeString.

В итоге ошибка тут , как ее решить честно не знаю ..



где uszDeviceName адрес на буфер с адресом файла в виде например C:\windows\xxx\
а далее в InitializeObjectAttributes параметр addr usDeviceName идет уже готовая уникод строка , но как получается как раз она и неверная.

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

mak, смотрите коды ошибок ну и на коды бсодов тоже внимание обращайте.. а то падает тут а почему хз)

имя файла хоть с \??\ начинается то? 6)
а то без сырцов даже непоймешь где ошибка то

| Сообщение посчитали полезным:

имя файла обыкновенный путь вида С:\tmpDrv.sys требуется вот что ..



Перевести строку динамически drvname в drvnameW , естественно оба буфера будут пустые до перевода и поиска файла

P.S
это уже сделал , оказалось просто

теперь у драйвера есть уникод строка .... ноооо опять же есть ошибка , вариант такой по моему мнению я 2слэша не сделал в пути вместо одного. Значит после получения пути нужно парсить и вставлять второй флэш ?! Может есть апи упрощающая действие ?

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Правильное имя файла должно быть:
"\\??\\c:\\tmpdrv.sys" (Си строка)

| Сообщение посчитали полезным:

ога ну а поруски это будет \??\c:\tmpdrv.sys
add:почитайте не много стотей Four-F на васме

| Сообщение посчитали полезным:

requiem4 LazzY Спасибо за замечание , это и так ястно

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

вообщем сделал я подачу Уникод строки в дровину и добавление слэшей , файл не открылся и тут сразу возник вопрос такой


сработает ли InitializeObjectAttributes , когда подаешь динамически строку ? в edx Адрес правильной строки в юникод формате , но при ZwCreateFile в еах с0000033 ошибка

А вот ее код STATUS_OBJECT_NAME_INVALID = $C0000033 , значит ошибка в InitializeObjectAttributes. Проверял правильность адресов в софтайсе поставив инт3 в код драйвера перед Пуш едх и колл адрес где в едх адрес уникод строки.

39b5_08.09.2008_CRACKLAB.rU.tgz - Driver.rar

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

InitializeObjectAttributes это очень простенькая функция

#define InitializeObjectAttributes(p,n,a,r,s)
do {
(p)->Length = sizeof(OBJECT_ATTRIBUTES);
(p)->RootDirectory = r;
(p)->Attributes = a;
(p)->ObjectName = n;
(p)->SecurityDescriptor = s;
(p)->SecurityQualityOfService = NULL;
} while (0)

Непонятно в последнем примере что именно ты пытаешься открыть: файл или драйвер?
Если драйвер, то код будет таким

RtlInitUnicodeString(&uDriver,L"\\DosDevices\\DriverName");

InitializeObjectAttributes(&ObjectAttributes,
&uDriver,
OBJ_CASE_INSENSITIVE|OBJ_KERNEL_HANDLE ,
NULL,
NULL);

Скидывай исходник или кусок его, чтобы вопросов было меньше.

| Сообщение посчитали полезным:

Как заполняется эта структура? есть пример ? Я писал уже что не играет роли драйвер это или файл , в приложенной проге идет работа только с файлом соответсвенно и строка готовится к иоктл для файла а не драйвера. Если есть разница заполнения InitializeObjectAttributes с драйверами то какая ?

По выше приведенному коду я показл участок где макрос вроде бы не выполняет своих функций , как можно инициализировать то чего нету. С другой стороны в коде дровины инициализация присуствует. Но судя по всему она неверная.


PS . я щас побегал по даресам структур , и понял что строки моей передаваемой уже подавно , нету я подал адрес на
mov edx, [esi].AssociatedIrp.SystemBuffer
assume edx:ptr DWORD
далее идет

invoke RtlInitUnicodeString, addr usDeviceName,edx
RtlInitUnicodeString вроде заполняет структуру в usDeviceName где последний параметр должен быть адрес на строку мою, но во первых там нету почему то адреса а во вторых по адресу в едх который я запомнил уже нет более моей строки , а если в структуру пишется только указатель на едх это значит что кто то стер мою строку и это RtlInitUnicodeString !

далее InitializeObjectAttributes addr oa,addr usDeviceName, OBJ_CASE_INSENSITIVE + OBJ_KERNEL_HANDLE, NULL, NULL

где опять же лажовый адрес без имени моего и звКритфайл говорит неправильно емя. Странно ..
А вот прототипы структур


-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

> Если есть разница заполнения InitializeObjectAttributes с драйверами то какая ?
Сравни мои 2 поста и заметишь.
> код таким не будет , потому что строка в ртлинит неизвестная на момент инициализации
Какая разница то?
RtlInitUnicodeString(&str,buffer);
Наверное ты запутался в указателях на выделяемую память.

можно тебе поможет с опцией выделением памяти
RtlAnsiStringToUnicodeString

Но лучше показывай текущее свое творение

| Сообщение посчитали полезным: