FindNextFileW的Ring3到Ring0过程分析

最新推荐文章于 2021-01-26 22:18:03 发布
最新推荐文章于 2021-01-26 22:18:03 发布
阅读量275 收藏
点赞数 2
分类专栏: Windows逆向 windows游戏安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43312649/article/details/109487154
版权
本文分析了FindNextFileW函数在kernelBase.dll中的实现,涉及SEH的prolog4和epilog4函数,探讨了函数如何检查hFindFile句柄并在进程中分配堆区。通过调用NtQueryDirectoryFile深入到Windows内核,获取并复制文件信息。总结了FindNextFileW在遍历文件时的内存管理和数据拷贝机制。
摘要由CSDN通过智能技术生成

FindNextFileW的Ring3到Ring0过程分析

在这里插入图片描述
FindNextFileW在微软官方看到应该是在kernel32.dll中实现,但实际调试中发现是在kernelBase.dll中。微软官方文档也不可信啊。打开IDA反汇编并加载PDB信息,可以看到_SEH_prolog4函数的使用。遂先学习下这个知识点。

SEH的prolog4函数与epilog4函数

在这里插入图片描述
如图所示,是FinNextFileW函数刚断下来时的堆栈以及信息。
在这里插入图片描述
可以看到这个函数的栈帧结构是有点不一样的。首先push了四个参数:堆栈大小、scope table entry、_except_handler4、FS:0(pExceptionList),接着开辟堆栈,并在堆栈中用原函数的ebp覆盖了堆栈大小的数据,等等一系列操作,具体实现细节不再深究。
在这里插入图片描述
Scope table entry会被-0x2覆盖。也就是图中的0xFFFFFFFFE覆盖。
图中紫色条杠是执行完__SEH_prolog4函数现在的ebp&#

了解本专栏 订阅专栏 解锁全文 超级会员免费看
摔不死的笨鸟
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
C/C++ 利用FindFirstFile()和FindNextFile() 历遍指定目录的所有文件
Cc.cc.c's新手笔记
11-12 4118
本文利用FindFirstFile(),FindNextFile()函数历遍指定目录的所有文件,最基础的历遍所有文件。一下代码尚无法解决文件名为中文时的乱码问题,以及无法分别无后缀的文件名和文件夹名的区别。FindFirstFile()用于获得指定目录的第一个文件。其原型为:HANDLE WINAPI FindFirstFile( _In_   LPCTSTR lpFileName, _O
e语言批量取文件名带后缀 源码
11-11
3. **文件名存储**:将匹配到的文件名保存到数据结构中,如列表、数组或集合。这可以方便后续处理,例如打印、写入文件或进行其他操作。 4. **错误处理**:在遍历过程中,可能会遇到权限问题、路径不存在等情况,...
恶意代码研究 -- 功能技术类 -- windows PE恶意代码(二)文件遍历
qq_44370676的博客
01-26 216
文件遍历相关API函数结构体操作流程示例代码IDA反汇编后的伪代码 不管用什么计算机语言写代码,文件遍历都是不可或缺的操作,以便对文件进行批量处理。 对恶意代码来说文件读写就是必备功能了,比如说木马病毒窃取机密文件然后开一个隐秘端口将文件内容发送回去。 相关API 函数 这里用到了windows api提供的FindFirstFile和FindNextFile函数。 msdn对这两个函数的描述: FindFirstFile FindNextFileW FindFirstFile定义如下: 该函数查找指定
使用FindNextFile遍历特定文件夹
qq_39529180的博客
08-27 677
如果你想要列出所有后缀为.cur的游标文件,那么你可以使用FindNextFile轻松做到,但是最好限于特定文件夹,因为你如果要全盘搜索,那效率是十分低的。 源码是开箱即用的: #include <windows.h> #include <iostream> #include <tchar.h> #pragma warning (disable: 4996...
FindFirstFileW和FindNextFileW在unicode编译环境下发生堆破坏的问题!
shihufeng的专栏
07-15 1276
dirent.h头文件中的_wopendir和 static _WDIR* _wopendir(     const wchar_t *dirname) {     _WDIR *dirp = NULL;     int error = 0;     /* Allocate new _WDIR structure */     dirp = (_WDIR*) malloc
易语言API取特定目录.zip易语言项目例子源码下载
03-23
易语言是一种专为中国人设计的编程语言,它以简体中文作为编程符号,降低了编程的门槛,使得更...通过分析和实践这个项目,你可以了解到如何在易语言中实现文件和目录的查询、遍历,这对于理解和掌握系统编程至关重要。
hook API源码
03-20
在本例中,我们使用了 IAT Hook 的方法,即遍历 Explorer 进程中的所有模块,寻找 FindFirstFileW 和 FindNextFileW 函数的地址,然后将其修改为自定义函数 MYFindFirstFileW 和 MYFindNextFileW 的地址。...
C++递归删除一个目录实例
09-04
递归是一种函数或过程调用自身的技术,通常与分治策略结合使用。在删除目录的场景中,递归可以帮助我们从最深层的子目录开始,逐级向上删除,直到达到目标目录。 在C++中,我们可以使用Windows API函数来操作文件和...
Stuxnet感染流程.pdf
最新发布
10-07
Stuxnet蠕虫病毒文件 ~WTR4141.tmp 从 U 盘被加载后,对下列系统API 进行Hook:FindFirstFileW、FindNextFileW、FindFirstFileExW、NtQueryDirectoryFile、ZwQueryDirectoryFile,企图隐藏病毒在U 盘上的病毒文件。...
ring3切换到ring0的代码
05-15
ring3切换到ring0的代码 从ring3切换到ring0的代码 从ring3切换到ring0的代码
FindFile FindNextFile 如何遍历一个文件夹并获取里面文件的信息
神经网络爱好者
06-03 8628
地址: FindFile FindNextFile 如何遍历一个文件夹并获取里面文 
解决Win10下_findnext()异常
123的博客
05-04 920
在win10中,使用文件遍历函数_findnext会报0xC0000005错误 原因: _findnext()第一个参数”路径句柄”,返回的类型为intptr_t(long long),如果定义为long,在win7中是没有问题,但是在win10中就要改为long long或者intptr_t 修改前代码: void getFiles(string path, vector<...
FindNextFile函数发送异常0x77716005 (ntdll.dll)处(位于 Project34.exe 中)引发的异常: 0xC0000005: 写入位置 0xCCCCCCEC 时发生访
taolaodawho的博客
09-11 4718
0x77716005 (ntdll.dll)处(位于 Project34.exe 中)引发的异常: 0xC0000005: 写入位置 0xCCCCCCEC 时发生访问冲突。 如果使用FindNextFile函数报这样的异常 ,不用想使FindNextFile函数的第一个参数HANDLE 类型的句柄出了问题 如果是在遍历文件是就是FindFirstFile的返回值出了问题 ...
C++代码中,如何判断windows下的目录是否被占用
05-26
} while (FindNextFileW(hFind, &findData)); FindClose(hFind); return inUse; } ``` 这段代码首先打开目录,遍历该目录下的所有文件和子目录。如果找到了一个子目录与目标目录同名,则认为该目录已被占用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

摔不死的笨鸟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值