Сравнение строк в RING0

Перехватываю ZwTerminateProcess , получаю имя процесса по его HANDLE , но не могу сравнить с тем что мне нужно, memcmp всегда -1 возвращяет.помогите.
Что я не так написал ?

Код (Text):

1. BOOL GetProcessName( HANDLE hndl )
2. {
3.     PEPROCESS            curproc;
4.     CHAR                *nameptr;
5.     CHAR                *fileptr = "core.exe";
6.  
7.     curproc     = GetProcessByHandle(hndl);
8.     nameptr     = (PCHAR) curproc + gProcessNameOffset;
9.     ObDereferenceObject(&curproc);
10.  
11.     DbgPrint("ФАЙЛ : %s | НАШ : %s",nameptr,fileptr);
12.     if (memcmp(&nameptr,&fileptr,16) == 0)
13.     {
14.         return TRUE;
15.     }   else    {
16.         return FALSE;
17.     }
18.  
19.     return FALSE;
20. }
21. //################################################################################################################################################
22. //################################################################################################################################################
23. NTSTATUS NewZwTerminateProcess(IN HANDLE ProcessHandle OPTIONAL,IN NTSTATUS ExitStatus)
24. {
25.     NTSTATUS                 NZTP_STATUS;
26.  
27.     if (GetProcessName( ProcessHandle ) == TRUE)
28.     {
29.         #ifdef DEBUG
30.             DbgPrint("Исключение");
31.         #endif
32.         NZTP_STATUS = STATUS_ACCESS_DENIED;
33.     }    else    {
34.         #ifdef DEBUG
35.             DbgPrint("Другой файл");
36.         #endif
37.         NZTP_STATUS = OldZwTerminateProcess(ProcessHandle, ExitStatus);
38.     }
39.     return NZTP_STATUS;
40. }

 

nameptr выодиться правильное?
ИМХО проще быстро написать свою strcmp.

Код (Text):

1. ULONG mystrcmp(char *str1, char *str2){
2.     while(*str1 && *str2)
3.         if(*str1 == *str2){
4.             str1++;
5.             str2++;
6.         }else
7.             return 0;
8.     if(*str1 && !*str2)
9.         return 0;
10.     else
11.         if (*str2 && !*str1)
12.             return 0;
13.     return 1;
14. }

 

DbgPrint(nameptr) выводит нормально именно то что мне надо, я уже всё пробовал и strcmp,memcmp,RtlCompareMemory,strstr
P.S сейчас попробую твою функцию

 

нифига, memcmp возвращяет 0 если строки равны !

 

я про mystrcmp.

 

извиняюсь я думал вы про memcmp

 

BSOD, сейчас выложу дамп

 

if (mystrcmp(nameptr,fileptr) == 1)

 

так кто знает как сравнить 2 указателя в ring0 ? \=

 

Странно, memcmp вроде "обязан" вернуть 0

 

значит на вход NULL подаётся.

 

нет, я DbgPrintом проверяю обе переменных, там всё в порядке. Блин

 

Блин ну никто не сталкивался чтоли ? (((

 

выложил рисунок , блин уже даже бубен не помогает

 

Код (Text):

1.  if (memcmp(&nameptr,&fileptr,16) == 0)

Правильнее

Код (Text):

1.  if (memcmp(nameptr, fileptr, 8) == 0)

 

Я и так пробовал синий экран выпрыгивает.

 

Код (Text):

1. fa79751a e8abffffff      call    driver+0x4ca (fa7974ca) ; ... ObReferenceObjectByHandle(...)
2.  
3. fa797525 8d3401          lea     esi,[ecx+eax] ; nameptr     = (PCHAR) curproc + gProcessNameOffset;
4. ...
5. fa79754d f3a7            repe cmps dword ptr [esi],dword ptr es:[edi] ds:0023:00000174=???????? es:0023:fa7974ea=65726f63

потому как видимо ObReferenceObjectByHandle вернул ошибку которую ты не проверяешь.

http://www.osronline.com/ddkx/kmarch/k107_54qa.htm

 

Я же написал, чтобы я не делал, BSOD выходит или на сравнении указателей или при попытки скопировать чтото и этих указателей, ObReferenceObjectByHandle не причём.

 

угу, только дамп говорит что curproc+gProcessNameOffset = 0х0174 - что ты там сравниваешь?