Проблема с CreateFileA

Сейчас на форуме: tyns777, zds (+3 невидимых)

Посл.ответ	Сообщение
Sunzer Ранг: 67.4 (постоянный) Активность: 0.04↘0 Статус: Участник	Создано: 22 ноября 2009 20:07 · Поправил: Sunzer · Личное сообщение · #1 Всем привет. Начал переписывать свой код, и возникла проблема. Суть в том что в одном случае kernel32.dll открывается и я получаю хэндл, во втором варианте пишет нет доступа в GetLastError. Параметры идентичные в обоих случаях. Во втором разве что путь до кернеля в стеке лежит. Файл: deleted

DaRKSiDE Ранг: 462.8 (мудрец), 468thx Активность: 0.28↘0 Статус: Участник Only One!	Создано: 22 ноября 2009 20:47 · Личное сообщение · #2 Похоже на утечку хэндла... Такое впечатление что kernel32.dll уже открыт... и ты пытаешься его опять открыть... Вопрос - зачем ты открываешь kernel32.dll для чтения? какая цель? ----- aLL rIGHTS rEVERSED!
Sunzer Ранг: 67.4 (постоянный) Активность: 0.04↘0 Статус: Участник	Создано: 22 ноября 2009 20:58 · Личное сообщение · #3 DaRKSiDE пишет: Похоже на утечку хэндла...Такое впечатление что kernel32.dll уже открыт... и ты пытаешься его опять открыть...Вопрос - зачем ты открываешь kernel32.dll для чтения? какая цель? Для апи GetFileTime
DaRKSiDE Ранг: 462.8 (мудрец), 468thx Активность: 0.28↘0 Статус: Участник Only One!	Создано: 22 ноября 2009 21:04 · Личное сообщение · #4 Sunzer пишет: GetFileTime Непонял, ты хочешь через открытие кернела CreateFile-ом получить адрес GetFileTime ? Или как? Так для этого у тебя уже все есть... к этому моменту...и адрес GetProcAddress-а и имя функи и база кернела... ----- aLL rIGHTS rEVERSED!
Sunzer Ранг: 67.4 (постоянный) Активность: 0.04↘0 Статус: Участник	Создано: 22 ноября 2009 21:06 · Поправил: Sunzer · Личное сообщение · #5 http://msdn.microsoft.com/en-us/library/ms724320(VS.85).aspx hFile A handle to the file or directory for which dates and times are to be retrieved. The handle must have been created using the CreateFile function with the GENERIC_READ access right. For more information, see File Security and Access Rights. Там же нужны три указателя на буфер по 20h и хендл. Вот и открываю кернель что бы хэндл получить Но важно то из за чего апи CreateFileA в сабже -1 возвращает
DaRKSiDE Ранг: 462.8 (мудрец), 468thx Активность: 0.28↘0 Статус: Участник Only One!	Создано: 22 ноября 2009 21:18 · Поправил: DaRKSiDE · Личное сообщение · #6 Sunzer пишет: Но важно то из за чего апи CreateFileA в сабже -1 возвращает Приаттаченый вариант какраз возвращает ошибку.. Кстати... этот аттач у меня нод палит как вирус... В общем возможный вариант - это Code: 0013FD0E 004011E4 /CALL to CreateFileA from File1.004011E1 0013FD12 0013FD2E \|FileName = "C:\WINDOWS\system32\kernel32.dll" 0013FD16 80000000 \|Access = GENERIC_READ 0013FD1A 00000001 \|ShareMode = FILE_SHARE_READ 0013FD1E 00000000 \|pSecurity = NULL 0013FD22 00000003 \|Mode = OPEN_EXISTING 0013FD26 00000000 \|Attributes = 0 <<<<<< -------- Аттрибут вроде должен быть 80h?! 0013FD2A 00000000 \hTemplateFile = NULL Т.е. Normal Хотя наврятли только в этом дело.. Короче глянь что у тебя в буфере перед вызовом критфайл в рабочем варианте... ----- aLL rIGHTS rEVERSED!
Sunzer Ранг: 67.4 (постоянный) Активность: 0.04↘0 Статус: Участник	Создано: 22 ноября 2009 21:25 · Личное сообщение · #7 Тоже ошибка доступа
DaRKSiDE Ранг: 462.8 (мудрец), 468thx Активность: 0.28↘0 Статус: Участник Only One!	Создано: 22 ноября 2009 21:26 · Личное сообщение · #8 DaRKSiDE пишет: Короче глянь что у тебя в буфере перед вызовом критфайл в рабочем варианте... ----- aLL rIGHTS rEVERSED!
progopis Ранг: 101.0 (ветеран), 344thx Активность: 1.15↘0 Статус: Участник	Создано: 22 ноября 2009 21:28 · Личное сообщение · #9 Конкретная цель вызова функции GetFileTime для kernel32.dll не ясна. Файл системный, содержимое его и так доступно в памяти. Что ещё нужно-то от него?
DaRKSiDE Ранг: 462.8 (мудрец), 468thx Активность: 0.28↘0 Статус: Участник Only One!	Создано: 22 ноября 2009 21:31 · Личное сообщение · #10 progopis пишет: Что ещё нужно-то от него? Вот я тоже до конца не вкуриваю цель ----- aLL rIGHTS rEVERSED!
Sunzer Ранг: 67.4 (постоянный) Активность: 0.04↘0 Статус: Участник	Создано: 22 ноября 2009 21:36 · Поправил: Sunzer · Личное сообщение · #11 Вы к проблеме как то сбоку подоходите. Открываю для получения хэндла, а хэндл для получения апи GetFileTime, а GetFileTime для получения даты создания файла. Точно такие же параметры, все ок. Code: .386 .model flat, stdcall option casemap:none assume fs:nothing include bin\kernel32.inc includelib bin\kernel32.lib .data ff db "C:\Windows\system32\kernel32.dll",0 .code start: invoke CreateFileA,offset ff,080000000h,1,0,3,0,0 end start
progopis Ранг: 101.0 (ветеран), 344thx Активность: 1.15↘0 Статус: Участник	Создано: 22 ноября 2009 21:38 · Личное сообщение · #12 Это понятно что тебе нужна дата создания файла. Вот только зачем? Как раз к проблеме надо подходить прямо, а точнее из корня. Какова цель узнать дату? GetVersionEx зачем придуман?
Sunzer Ранг: 67.4 (постоянный) Активность: 0.04↘0 Статус: Участник	Создано: 22 ноября 2009 21:41 · Поправил: Sunzer · Личное сообщение · #13 Ну к примеру даже для того, что бы триал механизм примитивный реализовать
DaRKSiDE Ранг: 462.8 (мудрец), 468thx Активность: 0.28↘0 Статус: Участник Only One!	Создано: 22 ноября 2009 21:49 · Личное сообщение · #14 Sunzer пишет: Точно такие же параметры, все ок. Тогда смотри какие вызываемые тобой функции могут держать хэндл... К примеру LoadLibrary... ----- aLL rIGHTS rEVERSED!
mak Ранг: 673.3 (! !), 400thx Активность: 0.4↘0.31 Статус: Участник CyberMonk	Создано: 22 ноября 2009 21:51 · Личное сообщение · #15 Code: CompareFileTimes proc pszFile1:dword, pszFile2:dword local hFile,hFile2:dword local dtFile1:FILETIME local dtFile2:FILETIME invoke CreateFile, pszFile1, GENERIC_READ+GENERIC_WRITE, FILE_SHARE_READ+FILE_SHARE_WRITE, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL .if eax != INVALID_HANDLE_VALUE mov hFile,eax invoke GetFileTime,hFile,NULL,NULL,addr dtFile1 invoke CloseHandle,hFile invoke CreateFile, pszFile2, GENERIC_READ+GENERIC_WRITE, FILE_SHARE_READ+FILE_SHARE_WRITE, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL .if eax != INVALID_HANDLE_VALUE mov hFile2,eax invoke GetFileTime,hFile2,NULL,NULL,addr dtFile2 invoke CloseHandle,hFile2 invoke CompareFileTime,addr dtFile1,addr dtFile2 ret .else return 2 .endif .else return 2 .endif ret CompareFileTimes endp ----- RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube
Sunzer Ранг: 67.4 (постоянный) Активность: 0.04↘0 Статус: Участник	Создано: 22 ноября 2009 21:54 · Личное сообщение · #16 DaRKSiDE пишет: Тогда смотри какие вызываемые тобой функции могут держать хэндл...К примеру LoadLibrary... Для kernel32.dll я не вызываю LoadLibrary, зачем? Он и так в контекте каждого процесса есть. Бирань в атаче в первом посте.
DarkWolf Ранг: 42.1 (посетитель) Активность: 0.02↘0 Статус: Участник	Создано: 22 ноября 2009 21:59 · Личное сообщение · #17 SunzerУ тебя значение ESP (напр. 0013FD0E) не выровнано на дворд. Поэтому ZwCreateFile возвращает ошибку 0х80000002 (Datatype misalignment). Поправь например так: Code: 0040119E 81EC 58020000 SUB ESP,258 ; было sub esp,256
Sunzer Ранг: 67.4 (постоянный) Активность: 0.04↘0 Статус: Участник	Создано: 22 ноября 2009 22:03 · Личное сообщение · #18 2 DarkWolf Вот решение в лоб. Спасибо!
mak Ранг: 673.3 (! !), 400thx Активность: 0.4↘0.31 Статус: Участник CyberMonk	Создано: 22 ноября 2009 22:07 · Поправил: mak · Личное сообщение · #19 а у меня все окей там Code: 0040119C 89E5 MOV EBP,ESP 0040119E 81EC 56020000 SUB ESP,256 004011A4 68 56020000 PUSH 256 прогнал крит файл показывает fы , ошибки никакой нет , кернел чем то занят ... смотри может хэндл не освободил PS ну раз работает то ладно ))) на крайняк DuplicateHandle Kernel32.dll поэкспериментировать можно ----- RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube
Sunzer Ранг: 67.4 (постоянный) Активность: 0.04↘0 Статус: Участник	Создано: 22 ноября 2009 22:12 · Личное сообщение · #20 Я его и не занимал. Решение от DarkWolf работает.
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 22 ноября 2009 22:24 · Личное сообщение · #21 Видимо, можно закрыть тогда, раз решено.

Для печати