delphi - 如何调用 NtOpenFile？-6ren

delphi - 如何调用 NtOpenFile？

转载作者：行者123 更新时间：2023-12-04 01:03:50

我正在尝试调用 NtOpenFile ，并且失败并出现错误:

STATUS_OBJECT_PATH_SYNTAX_BAD = NTSTATUS($C000003B);

Object Path Component was not a directory object.

基本要点是:

//The file we'll test with
filename: UnicodeString := 'C:\Windows\Explorer.exe'; //23 characters

//Convert the filename to counted UNICODE_STRING
cs: UNICODE_STRING;
cs.Length        := Length(filename) * sizeof(WideChar); //46 bytes
cs.MaximumLength := cs.Length + 2;  //48 bytes
cs.Buffer        := PWideChar(Filename);  //"C:\Windows\Explorer.exe"

//Define the OBJECT_ATTRIBUTES
oa: OBJECT_ATTRIBUTES := Default(OBJECT_ATTRIBUTES);
oa.Length := sizeof(OBJECT_ATTRIBUTES); //24 bytes
oa.Attributes := OBJ_CASE_INSENSITIVE;
oa.ObjectName := @cs; //UNICODE_STRING

//Open the file (by Object Attributes) and get a file handle
hFile: THandle;
iosb: IO_STATUS_BLOCK;

status: NTSTATUS := NtOpenFile(@hFile, FILE_READ_ATTRIBUTES, @oa, @iosb, FILE_SHARE_READ, 0);

我究竟做错了什么？
基本要点(C# 风格的伪代码)

//The file we'll test with
UnicodeString filename = "C:\Windows\Explorer.exe"; //23 characters

//Convert the filename to counted UNICODE_STRING
UNICODE_STRING cs;
cs.Length        = Length(filename) * sizeof(WideChar); //46 bytes
cs.MaximumLength = cs.Length + 2;  //48 bytes
cs.Buffer        = Filename;  //"C:\Windows\Explorer.exe"

//Define the OBJECT_ATTRIBUTES
OBJECT_ATTRIBUTES oa = Default(OBJECT_ATTRIBUTES);
oa.Length = sizeof(OBJECT_ATTRIBUTES); //24 bytes
oa.Attributes = OBJ_CASE_INSENSITIVE;
oa.ObjectName = cs; //UNICODE_STRING

//Open the file (by Object Attributes) and get a file handle
THandle hFile;
IO_STATUS_BLOCK iosb;

NTSTATUS status = NtOpenFile(out hFile, FILE_READ_ATTRIBUTES, ref oa, out iosb, FILE_SHARE_READ, 0);

其他样式的文件名

文件名
结果
描述

"C:\Windows\Explorer.exe" STATUS_OBJECT_PATH_SYNTAX_BAD对象路径组件不是目录对象。
"\global??\C:\Windows\Explorer.exe"0xC0000033
对象名称无效
"\??\C:\Windows\Explorer.exe"0xC0000033
对象名称无效

OBJECT_ATTRIBUTES 原始内存转储
因为可能存在内存布局、对齐、填充和缺少成员的问题，让我们转储原始 oa内存:

18 00 00 00                 ;Length. 0x00000018 = 24 bytes (sizeof)
00 00 00 00                 ;RootDirectory. 0x00000000 = NULL
28 FF 19 00                 ;ObjectName. PUNICODE_STRING 0x0019FF28
40 00 00 00                 ;Attributes. (0x00000040 = OBJ_CASE_INSENSITIVE)
00 00 00 00                 ;SecurityDescriptor 0x0000000 = NULL
00 00 00 00                 ;SecurityQualityOfService 0x00000000 = NULL

**0x0019FF28:**

    3C FF 19 00             ;PUNICODE_STRING 0x0019FF3C

**0x0019FF3C**

36 00                      ; String length in bytes 0x0036 
38 00                      ; Buffer size in bytes 0x0038
E8 B6 4E 00                ; PWideChar 0x004EB6E8 ==> "C:\Windows\Explorer.exe"

其中，现在我看到了我的问题:PUNICODE_STRING -> PUNICODE_STRING。
CMRE

program NtOpenFileDemo;

{$APPTYPE CONSOLE}

{$R *.res}
{$ALIGN 8}
{$MINENUMSIZE 4}

uses
  SysUtils, Windows, ComObj;

type
    NTSTATUS = Cardinal;
const
    STATUS_SUCCESS = 0;

type
    UNICODE_STRING = packed record
        Length: Word;         // Length of the string, in bytes (not including the null terminator)
        MaximumLength: Word;  // Size of the buffer, in bytes
        Buffer: PWideChar;    //really a PWideChar
    end;
    PUNICODE_STRING = ^UNICODE_STRING;

type
    IO_STATUS_BLOCK = packed record
        Status: NTSTATUS;
        Information: Pointer;
    end;
    PIO_STATUS_BLOCK = ^IO_STATUS_BLOCK;


    OBJECT_ATTRIBUTES = packed record
        Length: Cardinal;
        RootDirectory: THandle;
        ObjectName: PUNICODE_STRING;
        Attributes: Cardinal;
        SecurityDescriptor: Pointer;
        SecurityQualityOfService: Pointer;
    end;
    POBJECT_ATTRIBUTES = ^OBJECT_ATTRIBUTES;

const
// Define share access rights to files and directories
    FILE_SHARE_READ         = $00000001;
    FILE_SHARE_WRITE            = $00000002;
    FILE_SHARE_DELETE       = $00000004;
    FILE_SHARE_VALID_FLAGS  = $00000007;


// Valid values for the Attributes field
const
    OBJ_INHERIT          = $00000002;
    OBJ_PERMANENT        = $00000010;
    OBJ_EXCLUSIVE        = $00000020;
    OBJ_CASE_INSENSITIVE = $00000040;
    OBJ_OPENIF           = $00000080;
    OBJ_OPENLINK         = $00000100;
    OBJ_KERNEL_HANDLE    = $00000200;
    OBJ_VALID_ATTRIBUTES = $000003F2;


function NtOpenFile(FileHandle: PHandle; DesiredAccess: ACCESS_MASK; ObjectAttributes: POBJECT_ATTRIBUTES;
     IoStatusBlock: PIO_STATUS_BLOCK; ShareAccess: DWORD; OpenOptions: DWORD): NTSTATUS; stdcall; external 'ntdll.dll';

function  NtClose(Handle: THandle): NTSTATUS; stdcall; external 'ntdll.dll';


function FormatNTStatusMessage(const NTStatusMessage: NTSTATUS): string;
var
    Buffer: PChar;
    Len: Integer;
    hMod: HMODULE;

    function MAKELANGID(p, s: WORD): WORD;
    begin
      Result := WORD(s shl 10) or p;
    end;
begin
    {
        KB259693: How to translate NTSTATUS error codes to message strings
        Let the OS initialize the Buffer variable. Need to LocalFree it afterward.
    }
    hMod := SafeLoadLibrary('ntdll.dll');

    Len := FormatMessage(
            FORMAT_MESSAGE_ALLOCATE_BUFFER or
            FORMAT_MESSAGE_FROM_SYSTEM or
//          FORMAT_MESSAGE_IGNORE_INSERTS or
//          FORMAT_MESSAGE_ARGUMENT_ARRAY or
            FORMAT_MESSAGE_FROM_HMODULE,
            Pointer(hMod),
            NTStatusMessage,
            MAKELANGID(LANG_NEUTRAL, SUBLANG_DEFAULT),
            @Buffer, 0, nil);
    try
        //Remove the undesired line breaks and '.' char
        while (Len > 0) and (CharInSet(Buffer[Len - 1], [#0..#32, '.'])) do Dec(Len);
        //Convert to Delphi string
        SetString(Result, Buffer, Len);
    finally
        //Free the OS allocated memory block
        LocalFree(HLOCAL(Buffer));
    end;
    FreeLibrary(hMod);
end;


procedure TestCase;
var
    filename: UnicodeString;
    cs: PUNICODE_STRING;
    hFile: THandle;
    oa: OBJECT_ATTRIBUTES;
    iosb: IO_STATUS_BLOCK;
    status: NTSTATUS;
begin
    filename := 'C:\Windows\Explorer.exe'; //23 characters

    {
        Convert the filename to an "Object Attributes" structure

            OBJECT_ATTRIBUTES.Length <-- 24
            OBJECT_ATTRIBUTES.Attributes <-- OBJ_CASE_INSENSITIVE
            OBJECT_ATTRIBUTES.ObjectName.Length <-- 46
            OBJECT_ATTRIBUTES.ObjectName.MaximumLength <-- 48
            OBJECT_ATTRIBUTES.ObjectName.Buffer <-- "C:\Windows\Explorer.exe"
    }
    cs.Length := Length(Filename) * sizeof(WideChar);
    cs.MaximumLength := cs.Length + 2; //the null terminator
    cs.Buffer := PWideChar(Filename);

    oa := Default(OBJECT_ATTRIBUTES);
    oa.Length := sizeof(OBJECT_ATTRIBUTES);
    oa.Attributes := OBJ_CASE_INSENSITIVE;
    oa.ObjectName := @cs;

    //Open the file (by Object Attributes) and get a file handle
    status := NtOpenFile(@hFile, FILE_READ_ATTRIBUTES, @oa, @iosb, FILE_SHARE_READ, 0);
    if status <> STATUS_SUCCESS  then
    begin
        WriteLn('Error opening file "'+Filename+'": '+FormatNTStatusMessage(status)+' (0x'+IntToHex(status, 8)+')');
        Exit;
    end;
    try
        WriteLn('Successfully opened file');
    finally
        NtClose(hFile);
    end;
end;



begin
    try
        TestCase;
        WriteLn('Press enter to close...');
        ReadLn;
    except
        on E: Exception do
            Writeln(E.ClassName, ': ', E.Message);
    end;
end.

奖金阅读

MSDN:RtlInitUnicodeString

MSDN:NtOpenFile function

技术网:How to open a file from a kernel mode device driver and how to read from or write to the file archive

MSDN:InitializeObjectAttributes macro

MSDN:OBJECT_ATTRIBUTES structure

谷歌零项目:The Definitive Guide on Win32 to NT Path Conversion archive

最佳答案

找到了。
两件事情:

我不知道“NT 路径”与“DOS 路径”不同

"C:\Windows\Notepad.exe" → "\??\C:\Windows\Notepad.exe"

致OBJECT_ATTRIBUTES.ObjectName我正在分配 @PUNICODE_STRING ，而不是 @UNICODE_STRING

用例 - 使用文件的进程
我正在使用 NtOpenFile 为了获取正在使用文件的进程 ID。
简短的版本是:

调用 NtOpenFile 打开您感兴趣的文件

调用 NtQueryInformationFile 与 FileProcessIdsUsingFileInformation常数

迭代每个返回的进程 ID (pid)

调用 OpenProcess(PROCESS_QUERY_LIMITED_INFORMATION, False, pid) 获取进程名称

function GetProcessIDsUsingFile(Filename: UnicodeString; out ProcessIDs: array of DWORD): string;
var
    hFile: THandle;
    oa: OBJECT_ATTRIBUTES;
    iosb: TIOStatusBlock;
    status: NTSTATUS;
    fi: FILE_PROCESS_IDS_USING_FILE_INFORMATION;
    i: Integer;
    pid: DWORD;
    hProcess: THandle;
    s: string;
    dw: DWORD;
    cs: UNICODE_STRING;
    ntFilename: UnicodeString;
const
    PROCESS_QUERY_LIMITED_INFORMATION = $1000;
begin
    Result := '';

(*
    Decription

        Get list of processes that are using a file.

    Sample usage

        GetProcessIDsUsingFile('C:\Windows\Notepad.exe', {out}pids);

    Returns

        Result: a text description of the processes using the file

            "PID:12345 (Explorer.exe)"

        ProcessIDs: an array of process IDs (PIDs)

            [12345]
*)


    ntFilename := Filename;
{
    Convert the "DOS path" into an "NT Path". NT Paths are not the same as DOS paths.

        DOS Path:   C:\Windows\Explorer.exe
        NT Path:    \??\C:\Windows\Explorer.exe

    The short version is:

        \DosDevices         is a symbolic link for    \??
        \??                 is a special value understood by the object manager's parser to mean the global \DosDevices directory
        \GLOBAL??           is a folder that is home to global device.

    And in the end all 3 (eventually) end up in the same place.

    But you want to use "??" rather than "\GLOBAL??" because the former understands per-user (i.e. local) drive mappings.

    Bonus Reading:
        - Google Project Zero: The Definitive Guide on Win32 to NT Path Conversion (Google Project Zero)
                    https://googleprojectzero.blogspot.com/2016/02/the-definitive-guide-on-win32-to-nt.html
        - Google Project Zero: Windows Drivers are True’ly Tricky
                    https://googleprojectzero.blogspot.com/2015/10/windows-drivers-are-truely-tricky.html
        - Nynaeve: The kernel object namespace and Win32, part 3
                    http://www.nynaeve.net/?p=92

    Apparently you can also use some undocumented functions (exported by name) to convert a DOS path to an NT path; there are like 7 variations

            - RtlGetFullPathName_U
            - RtlDosPathNameToRelativeNtPathName_U
            - RtlDosPathNameToNtPathName_U_WithStatus

    But i'll just prefix it with "\??\"
}
    if Copy(ntFilename, 1, 4) <> '\??\' then
        ntFilename := '\??\'+Filename;

{
    Convert the filename to an "Object Attributes" structure

        OBJECT_ATTRIBUTES.Length <-- 24
        OBJECT_ATTRIBUTES.Attributes <-- OBJ_CASE_INSENSITIVE
        OBJECT_ATTRIBUTES.ObjectName.Length <-- 46
        OBJECT_ATTRIBUTES.ObjectName.MaximumLength <-- 48
        OBJECT_ATTRIBUTES.ObjectName.Buffer <-- "C:\Windows\Explorer.exe"
}
    cs.Length := Length(ntFilename) * sizeof(WideChar);
    cs.MaximumLength := cs.Length + 2; //the null terminator
    cs.Buffer := PWideChar(ntFilename);

    oa := Default(OBJECT_ATTRIBUTES);
    oa.Length := sizeof(OBJECT_ATTRIBUTES);
    oa.Attributes := OBJ_CASE_INSENSITIVE;
    oa.ObjectName := @cs;

    //Open the file (by Object Attributes) and get a file handle
    status := NtOpenFile(@hFile, FILE_READ_ATTRIBUTES, @oa, @iosb, FILE_SHARE_READ, 0);
    if status <> STATUS_SUCCESS  then
        raise EOleSysError.Create('Error opening file "'+Filename+'": '+FormatNTStatusMessage(status)+' (0x'+IntToHex(status, 8)+')', status, 0);
    try
        //Query for information about the file (by handle)
        status := NtQueryInformationFile(hFile, @iosb, @fi, sizeof(fi), FileProcessIdsUsingFileInformation);
        if status <> STATUS_SUCCESS  then
            raise EOleSysError.Create('Error querying file "'+Filename+'" information: '+FormatNTStatusMessage(status), status, 0);

        for i := 0 to fi.NumberOfProcessIdsInList-1 do
        begin
            pid := fi.ProcessIdList[i];

            if Result <> '' then
                Result := Result+#13#10;
            Result := Result+'PID: '+IntToStr(pid);

            hProcess := OpenProcess(PROCESS_QUERY_LIMITED_INFORMATION, False, pid);
            if hProcess = 0 then
                RaiseLastOSError;
            try
                SetLength(s, 32767);
                dw := GetModuleFileNameEx(hProcess, 0, PChar(s), Length(s));
                if dw <= 0 then
                    RaiseLastOSError;
                SetLength(s, dw); //returns characters (not including null terminator)
                Result := Result+' ('+s+')';
            finally
                CloseHandle(hProcess);
            end;
        end;
    finally
        NtClose(hFile);
    end;

end;

关于delphi - 如何调用 NtOpenFile？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/67187979/

文章推荐： python - 如何减少 Pandas DataFrame 的内存？

文章推荐： python - 如何在 Pandas 中使用 group_by 函数计算加权平均值

文章推荐： c - 尝试更改 char* 字符串中的符号时出现段错误

文章推荐： javascript - 在 Hostinger 共享主机上安装 Node.js 的问题

Javascript AJAX 调用 Jquery 调用
为了让我的代码几乎完全用 Jquery 编写，我想用 Jquery 重写 AJAX 调用。这是从网页到 Tomcat servlet 的调用。我目前情况的类似代码: var http = new
Java 调用 C 调用 Java
我想使用 JNI 从 Java 调用 C 函数。在 C 函数中，我想创建一个 JVM 并调用一些 Java 对象。当我尝试创建 JVM 时，JNI_CreateJavaVM 返回 -1。所以，我想知
javascript - 调用 javascript 函数以从无法按预期工作的表单进行 AJAX 调用
环顾四周，我发现从 HTML 调用 Javascript 函数的最佳方法是将函数本身放在 HTML 中，而不是外部 Javascript 文件。所以我一直在网上四处寻找，找到了一些简短的教程，我可以根
ajax - 为什么我不能从 Angular 调用 ajax 调用
我有这个组件: import {Component} from 'angular2/core'; import {UserServices} from '../services/UserService
openssl - 如果客户端使用 BIO_* 调用，是否需要服务器上的 BIO_* 调用？
我正在尝试用 C 实现一个简单的 OpenSSL 客户端/服务器模型，并且对 BIO_* 调用的使用感到好奇，与原始 SSL_* 调用相比，它允许一些不错的功能。我对此比较陌生，所以我可能会完全错误
javascript - 根据先前的 Ajax 调用，根据用户确认执行 Ajax 调用
我正在处理有关异步调用的难题: 一个 JQuery 函数在用户点击时执行，然后调用一个 php 文件来检查用户输入是否与数据库中已有的信息重叠。如果是这样，则应提示用户确认是否要继续或取消，如果他单击
java - 验证私有(private)构造函数未使用 JMockit 调用/调用
我有以下类(class)。 public Task { public static Task getInstance(String taskName) { return new
c++ - 调用 QSound 调用，它们之间有延迟 Qt C++
嘿，我正在构建一个小游戏，我正在通过制作一个数字 vector 来创建关卡，该数字 vector 通过枚举与 1-4 种颜色相关联。问题是循环(在 Simon::loadChallenge 中)我将颜
Java 异步 api 调用 - 即发即忘 http 调用
我有一个java spring boot api(数据接收器)，客户端调用它来保存一些数据。一旦我完成了数据的持久化，我想进行另一个 api 调用(应该处理持久化的数据 - 数据聚合器)，它应该自行异
c# - 如何从 Paypal 调用 DoDirectPayment API 调用
首先，这涉及桌面应用程序而不是 ASP .Net 应用程序。我已经为我的项目添加了一个 Web 引用，并构建了各种数据对象，例如 PayerInfo、Address 和 CreditCard。但问题
f# - 如何从 FAKE 调用/调用 F# 编译器 fsc？
我如何告诉 FAKE 编译 .fs文件使用 fsc ? 解释如何传递参数的奖励积分，如 -a和 -target:dll . 编辑:我应该澄清一下，我正在尝试在没有 MSBuild/xbuild/.sl
javascript - render 没有被一个 api 调用，而是被另一个 api 调用
我使用下划线模板配置了一个简单的主干模型和 View 。两个单独的 API 使用完全相同的配置。 API 1 按预期工作。要重现该问题，请注释掉 API 1 的 URL，并取消注释 API 2 的
php - OOP 或 MySQL 调用。生成对象还是直接从 MySQL 调用？
我不确定什么是更好的做法或更现实的做法。我希望从头开始创建目录系统，但不确定最佳方法是什么。我想我在需要显示信息时使用对象，例如 info.php?id=100。有这样的代码用于显示 Game.cl
python - child 调用 parent ， parent 调用 child ......或不
from datetime import timedelta class A: def __abs__(self): return -self class B1(A):
java - 调用/调用 void 方法(Java 作业 - 生命游戏示例)
我在操作此生命游戏示例代码中的数组时遇到问题。情况: “生命游戏”是约翰·康威发明的一种细胞自动化技术。它由一个细胞网格组成，这些细胞可以根据数学规则生存/死亡/繁殖。该网格中的活细胞和死细胞通过
调用 read() 返回 0 但缓冲区已更改，调用 fread() 读取相同偏移量时不会发生
如果我像这样调用 read() 来读取文件: unsigned char buf[512]; memset(buf, 0, sizeof(unsigned char) * 512); int fd;
调用 "start"启动程序，调用 "stop"关闭 C 中的当前实例
我用 C 编写了一个简单的服务器，并希望调用它的功能与调用其他 C 守护程序的功能相同(例如使用 ./ftpd start 调用它并使用 ./ftpd stop 关闭该实例)。显然我遇到的问题是我不知
powershell - 可以从 cmd 调用 headless，但不能从 powershell 调用 headless
在 dos 中，当我粘贴此命令时它会起作用: "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" https://google.
powershell - 可以从 cmd 调用 headless，但不能从 powershell 调用 headless
在 dos 中，当我粘贴此命令时它会起作用: "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" https://google.
python - 调用 python3 显示错误，调用 python 启动 python2.7
我希望能够从 cmd 在我的 Windows 10 计算机上调用 python3。我已重新安装 Python3.7 以确保选择“添加到路径”选项，但仍无法调用 python3 并使 CMD 启动 P

行者123

个人简介

我是一名优秀的程序员,十分优秀！

作者热门文章

滴滴打车优惠券免费领取

全站热门文章

首页

博学

6Ren·AI

商城

delphi - 如何调用 NtOpenFile？