Заменить ObjectAttributes из-под zwCreateFile

Примерно так:

Код (Text):

1.     // исходное имя файла
2.     PWSTR FileName = L"\\??\\C:\\File.txt";
3.    
4.     // область для маппинга (минимум страница)
5.     PWSTR FileNameToMap = ExAllocatePoolWithTag( NonPagedPool, 0x1000, ' gaT' );
6.     memcpy( FileNameToMap, FileName, sizeof(FileName) );
7.    
8.     // формируем MDL
9.     PMDL mdl = IoAllocateMdl( FileName, 0x1000, FALSE, TRUE, NULL );
10.     MmBuildMdlForNonPagedPool( mdl );
11.  
12.     __try
13.     {
14.         PVOID UserModePointer = MmMapLockedPagesSpecifyCache( mdl, UserMode, MmCached, NULL, FALSE, NormalPagePriority );
15.  
16.         if( UserModePointer )
17.         {
18.             // теперь UserModePointer указывает на UserMode-ную проекцию буфера FileNameToMap
19.  
20.             // работаем
21.  
22.             MmUnmapLockedPages( UserModePointer, mdl );
23.         }
24.     }
25.     __except( EXCEPTION_EXECUTE_HANDLER)
26.     {
27.         DPRINT("Failed");
28.     }
29.  
30.     IoFreeMdl( mdl );
31.     ExFreePool( FileNameToMap );

 

Сори, не

, а, конечно,

 

Спасибо,
Но в таком варианте получаю ошибку STATUS_DATATYPE_MISALIGNMENT (80000002).

Код (Text):

1. if( UserModePointer )
2. {
3.     ObjectAttributes->ObjectName=UserModePointer;
4.     status=TrueNtCreateFile(FileHandle,DesiredAccess,ObjectAttributes,IoStatusBlock,
5.             AllocationSize,FileAttributes,ShareAccess,CreateDisposition,
6.             CreateOptions,EaBuffer,EaLength);
7.     DPRINT("%x ---- %d", status, FileHandle);
8.     MmUnmapLockedPages( UserModePointer, mdl );
9. }

А таком варианте прежнюю ошибку:

Код (Text):

1. if( UserModePointer )
2. {
3.     InitializeObjectAttributes(&InterceptedObjectAttributes, UserModePointer, OBJ_CASE_INSENSITIVE, NULL, NULL);
4.     status=TrueNtCreateFile(FileHandle,DesiredAccess,&InterceptedObjectAttributes,IoStatusBlock,
5.             AllocationSize,FileAttributes,ShareAccess,CreateDisposition,
6.             CreateOptions,EaBuffer,EaLength);
7.     DPRINT("%x ---- %d", status, FileHandle);
8.     MmUnmapLockedPages( UserModePointer, mdl );
9. }

 

Упс, не заметил, сейчас проверю

 

Хмм, в таком варианте: 0xc0000005

 

а что это за перехватчик ZwCreateFile? Через KiServiceTable? Тогда это перехват NtCreateFile. А оригинальный ты, наверное, вызываешь через сохраненный указатель? Если все так, то можно попробовать на самом деле вызывать не оригинальный NtCreateFile, а ZwCreateFile. Не исключено, что это поможет, хотя на самом деле такая подмена опасна

 

Да, сорри NtCreateFile.
Перехват через SDT.

Совсем уже...

 

Begemot
А MDL то лочится и проецируется нормально?

 

проецировать надо целиком весь ObjectAttributes, включая строку с именем файла, и соответсвенно настраивать на эту юзермодную строку ->ObjectName

 

Begemot
InterceptedObjectAttributes размести тоже в user-mode пространстве.

Угу? Но тогда надо будет делать флаг того, что ты сам вызвал эту функцию, бо если я не ошибаюсь вызов Nt* из Zw* проходит через KiSystemService. Причем флаг не должен быть, а массивом + сделать лок для этого массива.

 

кстати, не знал

 

Сталкивался с той же проблемой, не покажите как правильно должен выглядеть данный код с учетом Ваших слов?

И вообще, как достучаться до строки в UserModePointer, например через DbgPrint.

Подскажите, плиз, я тока учусь....

 

Код (Text):

1. // твои OBJECT_ATTRIBUTES
2. POBJECT_ATTRIBUTES KernelModeAttributes;
3.  
4. // область для маппинга (минимум страница)
5. PWSTR MappingBuffer = ExAllocatePoolWithTag( NonPagedPool, 0x1000, ' gaT' );
6. memcpy( MappingBuffer, KernelModeAttributes, sizeof(*KernelModeAttributes) );
7.  
8. // формируем MDL
9. PMDL mdl = IoAllocateMdl( KernelModeAttributes, 0x1000, FALSE, TRUE, NULL );
10. MmBuildMdlForNonPagedPool( mdl );
11.  
12. __try
13. {
14.     PVOID UserModePointer = MmMapLockedPagesSpecifyCache( mdl, UserMode, MmCached, NULL, FALSE, NormalPagePriority );
15.  
16.     if( UserModePointer )
17.     {
18.         // теперь UserModePointer указывает на UserMode-ную проекцию буфера KernelModeAttributes
19.         POBJECT_ATTRIBUTES UserModeObjectAttributes = (POBJECT_ATTRIBUTES) UserModePointer;
20.  
21.         // работаем
22.         MmUnmapLockedPages( UserModePointer, mdl );
23.     }
24. }
25. __except( EXCEPTION_EXECUTE_HANDLER)
26. {
27.     DPRINT("Failed");
28. }
29.  
30. IoFreeMdl( mdl );
31. ExFreePool( MappingBuffer );

мог и ошибиться)

 

Если я все правильно понял со всего написанного ранее, то при инициализации UserModeObjectAttributes понадобится строка с именем файла также промапинная в usermode.
Так ли это? Если да, то придется ли повторять весь этот код еще и для нее?

 

И все же, как достучаться до UserModePointer из предыдущего примера?
Не могли бы вы привести пример для DbgPrint?

Пишу так:

Код (Text):

1. DPRINT("%ws", (PWSTR) UserModePointer);

И имею: \???
Ерунда какая-то...

 

проецировать обратно на системные адреса )

 

А тут как?

Кстати, к предыдущему примеру (маппинг только имени файла), делаю так(используя приведенный код):

Код (Text):

1. ObjectAttributes->ObjectName->Buffer=(PWSTR)UserModePointer;
2. status=TrueNtCreateFile(FileHandle,DesiredAccess,ObjectAttributes,IoStatusBlock,
3.         AllocationSize,FileAttributes,ShareAccess,CreateDisposition,
4.         CreateOptions,EaBuffer,EaLength);

И status = 0xC000003A, т.е. STATUS_OBJECT_PATH_NOT_FOUND.
Путь к файлу задан как в примере, и файл существует....
Интересно...

 

уверен, что он начинается с \??\ ?

 

имхо, код придется повторить

 

Да, уверен