使用ObGetObjectSecurity出现返回0xC000000D的问题

最新推荐文章于 2021-07-08 18:32:06 发布
最新推荐文章于 2021-07-08 18:32:06 发布
阅读量274 收藏
点赞数
分类专栏: 工作趣文
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37353105/article/details/115914642
版权

背景

因为公司的某项功能的要求需要获取到当前文件对象的安全描述符,在msdn上找了一遍之后发现了这个api,定义如下:https://docs.microsoft.com/en-us/windows-hardware/drivers/ddi/wdm/nf-wdm-obgetobjectsecurity

NTSTATUS ObGetObjectSecurity(
  PVOID                Object,
  PSECURITY_DESCRIPTOR *SecurityDescriptor,
  PBOOLEAN             MemoryAllocated
);

需要填入的就第一个参数也就是文件对象,后面两个都是传出参数,之后在释放的时候会用到,释放函数是这个ObReleaseObjectSecurity。

出现的问题

好了api都找好了,直接在minifliter中调用就行了,但是实际实际返回的结果是0xC000000D,这东西感觉确实也挺迷惑的,就一个参数我能传错?后来在同时的帮助下换了一个flt的api函数FltQuerySecurityObject,这个函数和NtQuery系列的函数一样需要先查大小之后在使用,好了把代码写成这样,结果一样的返回0xC000000D。

NTSTATUS NtsdState = FltQuerySecurityObject(FltObjects->Instance,FltObjects->FileObject,DACL_SECURITY_INFORMATION,NULL,1,&sdSize);
if(NtsdState == STATUS_BUFFER_TOO_SMALL)
{
    pSecurityDescriptor = ExAllocatePoolWithTag(NonPagedPool ,sdSize,'yongcai');
    if(pSecurityDescriptor)
    {
         NTSTATUS NtsdState = FltQuerySecurityObject(FltObjects->Instance,FltObjects->FileObject,DACL_SECURITY_INFORMATION,pSecurityDescriptor,sdSize,&sdSize);

查找问题

后来在网上找了找相关的问题,发现这个其实是由于对象还没有初始化这里的文件对象的安全描述符还没有添加进去,所以要在完成之后查询

资料:https://social.msdn.microsoft.com/Forums/vstudio/en-US/88a202a5-9a03-4d85-bea3-b39680228b69/using-obgetobjectsecurity-with-fileobject-while-processing-irpmjcreate-request?forum=wdk

解决问题

但是需求是在文件访问之前去做,这里有一个解决方法就是自己使用FltCreateFile去打开对应的文件(不要使用FILE_OPEN_IF这个会创建文件)(不能使用zw系列的,这里会在走一次系统到minifliter中,进入死循环),由于FltCreateFile得到的是一个句柄,所以得用ObReferenceObjectByHandle把句柄转成对象,最后记得释放引用和句柄,问题解决。

被遗弃的庸才
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
应用程序无法正常启动 0xc000000d
阿Q的专栏
01-17 2229
移动硬盘的文件系统不能为exFAT! 因随身硬盘工作多年,近日出现罢工现象,所以新购入西部数据固态硬盘,默认文件系统为exFAT,并未留意。 将代码拷贝至新移动硬盘,并编译生成exe程序,运行时,弹出"应用程序无法正常启动 0xc000000d"。 搜索之后,说将硬盘格式为NTFS,才发现新移动硬盘为exFAT格式,将硬盘快速格式化为NTFS后,再编译程序,可以正常运行了。(原理不清楚) 以下是小知识点: 文件系统有FAT32、NTFS、exFAT等。 固态硬盘用NTFS和exFAT都可以。
应用程序无法正常启动(0xc000000d)的解决方法
faszghe的博客
10-16 1万+
背景:之前VC6.0开发的程序,包括大量的dll,全部转换成VS2010,所有工程转换成功后,前几天程序还能正常打开,但是编译某个功能dll后,打开一直报“应用程序无法正常启动(0xc000000d)”,本以为是该工程出了问题,编译又没有错误,此问题找了好久,各种询问度娘,发现有两点需要注意: 项目所在的磁盘格式不是NTFS;===>这个问题博友有提过,确实我的工程不是NTFS, 而是FA...
Win7 应用程序无法正常启动(0xc000000d)的解决方法
热门推荐
帘卷西风的专栏
08-25 2万+
自从重装了WIN7系统后,VS2010编译出来的项目程序就不能正常启动,启动的时候总是提示 “应用程序无法正常启动(0xc000000d)。请单击‘确定’关闭应用程序。” 。       在网上查找了很多解决方案,安装了很多补丁,还是不能解决我的问题。很郁闷,重装VS也不能解决问题。程序不能调试,让我抓狂的很,代码都写不下去了。      后来一个偶然的机会,发现项目所在的磁盘格式不是NTFS
Windows API 错误码
weixin_33816300的博客
12-13 221
在多数情况下,windows API在发生错误时很少抛出异常,多数是通过函数返回值进行处理。(windows api中无返回值的函数很少。) windows api错误处理通常按照以下方式:首先api函数返回特殊的值,表明函数内部发生错误;然后调用方可以使用GetLastError获得对应的错误码。 通常情况下windows api按照返回类型可以分为以下几类: 返回值为BOOL类型。有...
OBJECT_METHOD初窥
weixin_34195142的博客
10-31 148
一、背景:WindowsNT的对象机制 WindowsNT系统将各种资源以对象的方式进行组织和管理。虽然WindowsNT内核使用C语言和汇编语言编写的,本身并未使用到C++中的面向对象机制。但依然通过抽象化的对象概念来对各类资源进行管理。 对象分为对象头和对象体两部分,对象头又分为标准的对象头和可选头部,后者这里不介绍。标准头部的定义如下: ...
系统显示0xc000000f错误代码的解决方法.docx
10-21
0xc000000f错误代码是Windows操作系统中常见的引导问题,通常表示系统在尝试启动时找不到或无法访问所需的启动文件。这个问题可能由多种原因引起,包括但不限于引导配置数据(BCD)损坏、系统分区设置不正确、硬盘...
解决0xc000007b问题的安装包
06-08
解决0xc000007b问题的安装包安装即可解决。
vs2010MFC中0xc0150002失败问题
10-11
绝对可以解决vs2010MFC中0xc0150002失败问题,因为自己安装vcredist_x86不起作用,还是出现这个问题,就是因为自己组件不全,于是安装这个补丁,可以点击exe安装,再运行你的程序,如果不成功,在安装文件包里其他...
应用程序无法正常启动0xc000007b解决办法
12-13
标题中的“应用程序无法正常启动0xc000007b”是一个常见的错误代码,它在Windows操作系统中出现,提示程序在尝试运行时遇到了问题。0xc000007b错误通常与应用程序的兼容性或系统组件的损坏有关。下面我们将详细探讨...
0xc8000247错误代码修复工具
03-23
0xc8000247错误代码修复工具,一般屏幕出现0xc8000247错误代码,是由于本机硬盘太大所致,一般320G硬盘安装WIN均可以正常更新Windows Update、Windows Defender,而一旦换到500G,将会影响到update更新扫描,解决方法...
文件系统Minifilter驱动(三)
听风
03-02 9850
5).管理文件名filter管理器消除了legacy过滤驱动重获和管理文件名所必需的许多工作。当一个名被请求时,filter管理器在引用计数结构中以适当的格式为当前操作提供名: 规范名, opened名或短名.  minifilter驱动可以调用FltGetDestinationFileNameInformation 来为正被rename或其NTFS hard link正被创建的文件或
windows内核开发学习笔记四十八:安全管理自主访问模型
jyl_sh的专栏
07-08 646
接着上一篇博文学习安全管理,现在我们来学习对象管理器如何让使用SRM的安全检查的,当一个进程打开一个对象时,对象管理器在名字空间中查到目标对象后,但是在返回给句柄调用者以前,它调用\base\ntos\ob\obse.c文件中的ObCheckObjectAccess函数检查访问许可。ObCheckObjectAccess是对象管理器的函数,它将对象管理器与SRM的安全机制连接起来。它首先调用ObGetObjectSecurity函数以获得目标对象的SD(安全描述符),数据类型为SECURIT...
解决 RtlCreateActivationContext() failed 0xc000000d
金庆的专栏
04-29 2744
gtest 示例的Debug版启动报错:
C++程序,发生崩溃,错误代码为0xc000000d,各位大虾来帮帮忙
shiyi4093的博客
01-19 2180
系统错误日志如下: 错误 2011/10/15 20:22:47 Application Error 1000 (100) "故障发生的应用程序名称: WirelessLanClient.exe、版本: 1.0.0.1、时间戳: 0x4e0d7192 故障发生的模块名称: MSVCR80.dll、版本: 8.0.50727.4927、时间戳: 0x4a2752ff 异常代码: 0xc0000
windows内核访问控制机制
Returns' Station
06-27 3246
主要看了下面两部分:     1.进程对系统进行特权操作需要有一个权限(Privilege),所以进程有特权集表示进程拥有的权限,内核会在执行这些权限时检查进程是否有权执行此操作。      2.进程对于每个内核对象的操作权限不同,内核对象有一个访问控制列表(ACL)来标示某个用户启动的进程有如何的访问权。进程对对象执行操作时,会检查相应的权限是否符合。 一、SID:用来表示系统
应用程序无法正常启动0xc000000d
最新发布
08-15
你遇到的错误代码0xc000000d通常表示应用程序无法正常启动。这个错误通常与缺少或损坏的系统文件、驱动程序问题或操作系统配置错误有关。为了解决这个问题,你可以尝试以下几种方法: 1. 重新启动计算机:有时候...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值