枚举符号链接

最新推荐文章于 2023-06-26 21:12:54 发布
最新推荐文章于 2023-06-26 21:12:54 发布
阅读量1.1k 收藏
点赞数
分类专栏: Windows内核 
#include "stdafx.h"
#include <windows.h>
#include <stdlib.h>
#include <stdio.h>
// 定义函数返回值
typedef ULONG NTSTATUS;
// 宽字节字符串结构定义
typedef struct _UNICODE_STRING {
    USHORT  Length;
    USHORT  MaximumLength;
    PWSTR  Buffer;
} UNICODE_STRING, *PUNICODE_STRING;
// 对象属性定义
typedef struct _OBJECT_ATTRIBUTES {
    ULONG Length;
    HANDLE RootDirectory;
    UNICODE_STRING *ObjectName;
    ULONG Attributes;
    PSECURITY_DESCRIPTOR SecurityDescriptor;
    PSECURITY_QUALITY_OF_SERVICE SecurityQualityOfService;
} OBJECT_ATTRIBUTES,*POBJECT_ATTRIBUTES;
// 基本信息定义
typedef struct _DIRECTORY_BASIC_INFORMATION {
    UNICODE_STRING ObjectName;
    UNICODE_STRING ObjectTypeName;
} DIRECTORY_BASIC_INFORMATION, *PDIRECTORY_BASIC_INFORMATION;
// 返回值或状态类型定义
#define OBJ_CASE_INSENSITIVE      0x00000040L
#define DIRECTORY_QUERY           (0x0001)
#define STATUS_SUCCESS            ((NTSTATUS)0x00000000L) // ntsubauth
#define STATUS_MORE_ENTRIES       ((NTSTATUS)0x00000105L)
#define STATUS_NO_MORE_ENTRIES    ((NTSTATUS)0x8000001AL)
#define STATUS_BUFFER_TOO_SMALL   ((NTSTATUS)0xC0000023L)
#define SYMBOLIC_LINK_QUERY       (0x0001)
#define SYMBOLIC_LINK_ALL_ACCESS  (STANDARD_RIGHTS_REQUIRED | 0x1)
// 初始化对象属性宏定义
#define InitializeObjectAttributes( p, n, a, r, s ) { /
    (p)->Length = sizeof( OBJECT_ATTRIBUTES );          /
    (p)->RootDirectory = r;                             /
    (p)->Attributes = a;                                /
    (p)->ObjectName = n;                                /
    (p)->SecurityDescriptor = s;                        /
    (p)->SecurityQualityOfService = NULL;               /
}
// 字符串初始化
typedef VOID (CALLBACK* RTLINITUNICODESTRING)(PUNICODE_STRING,PCWSTR);
RTLINITUNICODESTRING RtlInitUnicodeString;
// 字符串比较
typedef
BOOLEAN
(WINAPI *RTLEQUALUNICODESTRING)(
                                const UNICODE_STRING *String1,
                                const UNICODE_STRING *String2,
                                BOOLEAN CaseInSensitive
                                );
RTLEQUALUNICODESTRING RtlEqualUnicodeString;
// 打开对象
typedef NTSTATUS (WINAPI *ZWOPENDIRECTORYOBJECT)(
    OUT PHANDLE DirectoryHandle,
    IN ACCESS_MASK DesiredAccess,
    IN POBJECT_ATTRIBUTES ObjectAttributes
    );
ZWOPENDIRECTORYOBJECT ZwOpenDirectoryObject;
// 查询对象
typedef
NTSTATUS
(WINAPI *ZWQUERYDIRECTORYOBJECT)(
                                 IN HANDLE DirectoryHandle,
                                 OUT PVOID Buffer,
                                 IN ULONG BufferLength,
                                 IN BOOLEAN ReturnSingleEntry,
                                 IN BOOLEAN RestartScan,
                                 IN OUT PULONG Context,
                                 OUT PULONG ReturnLength OPTIONAL
                                 );
ZWQUERYDIRECTORYOBJECT ZwQueryDirectoryObject;
// 打开符号链接对象
typedef
NTSTATUS
(WINAPI *ZWOPENSYMBOLICKLINKOBJECT)(
                                    OUT PHANDLE SymbolicLinkHandle,
                                    IN ACCESS_MASK DesiredAccess,
                                    IN POBJECT_ATTRIBUTES ObjectAttributes
                                    );
ZWOPENSYMBOLICKLINKOBJECT ZwOpenSymbolicLinkObject;
// 查询符号链接对象
typedef
NTSTATUS
(WINAPI *ZWQUERYSYMBOLICKLINKOBJECT)(
                                     IN HANDLE SymbolicLinkHandle,
                                     IN OUT PUNICODE_STRING TargetName,
                                     OUT PULONG ReturnLength OPTIONAL
                                     );
ZWQUERYSYMBOLICKLINKOBJECT ZwQuerySymbolicLinkObject;
// 关闭已经打开的对象
typedef
NTSTATUS
(WINAPI *ZWCLOSE)(
                  IN HANDLE Handle
                  );
ZWCLOSE ZwClose;
int _tmain(int argc, _TCHAR* argv[])
{
    HMODULE hNtdll = NULL;
    hNtdll = LoadLibrary(_T("ntdll.dll" ));
    if ( NULL == hNtdll )
    {
        printf("[%s]--Load ntdll.dll failed(%ld)./r/n", __FUNCTION__, GetLastError());
        goto EXIT;
    }
    printf("[%s]--Load ntdll.dll sucess now get proc./r/n", __FUNCTION__);
    RtlInitUnicodeString      = (RTLINITUNICODESTRING)GetProcAddress( hNtdll, "RtlInitUnicodeString");
    RtlEqualUnicodeString     = (RTLEQUALUNICODESTRING)GetProcAddress( hNtdll, "RtlEqualUnicodeString");
    ZwOpenDirectoryObject     = (ZWOPENDIRECTORYOBJECT)GetProcAddress( hNtdll, "ZwOpenDirectoryObject");
    ZwQueryDirectoryObject    = (ZWQUERYDIRECTORYOBJECT)GetProcAddress( hNtdll, "ZwQueryDirectoryObject");
    ZwOpenSymbolicLinkObject  = (ZWOPENSYMBOLICKLINKOBJECT)GetProcAddress( hNtdll, "ZwOpenSymbolicLinkObject");
    ZwQuerySymbolicLinkObject = (ZWQUERYSYMBOLICKLINKOBJECT)GetProcAddress( hNtdll, "ZwQuerySymbolicLinkObject");
    ZwClose                   = (ZWCLOSE)GetProcAddress( hNtdll, "ZwClose");
    UNICODE_STRING     strDirName;
    OBJECT_ATTRIBUTES  oba;
    NTSTATUS           ntStatus; 
    HANDLE             hDirectory;
    RtlInitUnicodeString(&strDirName, _T("//global??"));
    InitializeObjectAttributes(&oba, &strDirName, OBJ_CASE_INSENSITIVE, NULL, NULL);
    printf("[%s]--Open directory object now./r/n", __FUNCTION__);
    ntStatus = ZwOpenDirectoryObject(&hDirectory, DIRECTORY_QUERY, &oba);
    if ( ntStatus != STATUS_SUCCESS )
    {
        printf("[%s]--Open directory object failed(%ld)./r/n", __FUNCTION__, GetLastError());
        goto EXIT;
    }
    printf("[%s]--Open directory object success./r/n", __FUNCTION__);
    UNICODE_STRING symbolicLink;
    UNICODE_STRING targetName;
    BYTE           buffer[2048] = {0};
    ULONG          ulLength  = 2048;  
    ULONG          ulContext = 0;
    ULONG          ulRet     = 0; 
    RtlInitUnicodeString(&symbolicLink, L"SymbolicLink");
    targetName.Length = 0;
    targetName.Buffer = (PWSTR)calloc(2, 1024);
    if ( targetName.Buffer == NULL )
    {
        printf("[%s]--calloc failed(%ld)./r/n", __FUNCTION__, GetLastError());
        goto EXIT;
    }
    targetName.MaximumLength = 1024;
    do
    {
        ntStatus = ZwQueryDirectoryObject(hDirectory, buffer, ulLength, TRUE, FALSE, &ulContext, &ulRet);
        if ( (ntStatus != STATUS_SUCCESS) && (ntStatus != STATUS_NO_MORE_ENTRIES) )
        {
            printf("[%s]--ZwQueryDirectoryObject failed(%ld)./r/n", __FUNCTION__, GetLastError());
            goto EXIT;
        }
        else if ( STATUS_NO_MORE_ENTRIES == ntStatus )
        {
            printf("[%s]--No more object./r/n", __FUNCTION__);
            goto EXIT;
        }
        PDIRECTORY_BASIC_INFORMATION  directoryInfo = (PDIRECTORY_BASIC_INFORMATION)buffer;
        printf("ObjectName: [%S]---ObjectTypeName: [%S]/n", 
            directoryInfo->ObjectName.Buffer, directoryInfo->ObjectTypeName.Buffer);
        if ( RtlEqualUnicodeString(&directoryInfo->ObjectTypeName, &symbolicLink, TRUE) )
        {
            OBJECT_ATTRIBUTES symbolicLinkAttributes;
            HANDLE            hSymbolicLink;
            // 初始化符号链接对象属性
            InitializeObjectAttributes(&symbolicLinkAttributes, &directoryInfo->ObjectName, 
                OBJ_CASE_INSENSITIVE, hDirectory, NULL);
            // 打开符号链接对象
            ntStatus = ZwOpenSymbolicLinkObject(&hSymbolicLink, SYMBOLIC_LINK_QUERY, &symbolicLinkAttributes);
            if ( ntStatus != STATUS_SUCCESS )
            {
                printf("[%s]--ZwOpenSymbolicLinkObject failed(%ld)./r/n", __FUNCTION__, GetLastError());
                goto EXIT;
            }
            // 查询符号链接对象
            ntStatus = ZwQuerySymbolicLinkObject(hSymbolicLink, &targetName, NULL); 
            if ( ntStatus != STATUS_SUCCESS )
            {
                printf("[%s]--ZwQuerySymbolicLinkObject failed(%ld)./r/n", __FUNCTION__, GetLastError());
                ZwClose(hSymbolicLink);
                goto EXIT;
            }
            // TODO: 添加针对符号链接的处理代码
            // 清空targetName
            memset((LPVOID)targetName.Buffer, 0, targetName.Length*sizeof(WCHAR));
            // 关闭符号链接句柄
            ZwClose(hSymbolicLink);
        }
    }while(TRUE);
EXIT:
    if ( hDirectory != NULL )
    {
        ZwClose(hDirectory);
    }
    getchar();
    return 0;
}
欢迎加QQ群:333483823进行技术讨论.
「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【原创】X64 枚举 内核 符号~~~~
落笔飞花笑百生的博客
09-04 2718
typedef NTSTATUS (*ZWQUERYSYSTEMINFORMATION) ( IN ULONG SystemInformationClass, OUT PVOID SystemInformation, IN ULONG Length, OUT PULONG ReturnLength ); typedef unsigned long DWORD;
使用Native API查询Windows硬盘分区系统设备名称
奋斗中拥有
09-08 4077
#include #include #include #include // 定义函数返回值 typedef ULONG NTSTATUS; // 宽字节字符串结构定义 typedef struct _UNICODE_STRING { USHORT Length; USHORT MaximumLength; PWSTR Buffer; } UNICODE_STRING, *P
符号链接枚举
dhbzzz的专栏
04-21 3362
//--------------------------------------------------------------------------// Copyright (C), 2004-2010, Zhengzz, All Rights Reserved//// FileName: EnumSymbolink.cpp//// Author: zhen
遍历系统中加载的驱动程序以及通过设备对象指针获取设备对象名称
Masimaro的专栏
03-01 2414
遍历系统中加载的驱动以及通过设备对象指针获取设备对象名称
准确在64位系统下枚举进程模块
04-08
要使用WMI来枚举进程模块,首先需要导入`<wbemidl.h>`头文件,并链接`wbemuuid.lib`库。然后,创建一个IWbemLocator对象,通过其`ConnectServer`方法连接到本地WMI服务。接下来,创建一个IWbemServices对象,通过它...
易语言驱动级枚举系统进程
08-21
易语言驱动级枚举系统进程源码系统结构:DriverEntry,驱动通信,DispatchCreateClose,驱动卸载,创建符号链接及设备,读内存,DbgPrint,DbgPrintInt,memcpy,IoCreateDevice,IoCreateSymbolicLink,...
C程序常用公共符号定义头文件.rar_符号
09-20
这个压缩包里的两个文件,"C程序常用公共符号定义头文件.txt"可能是对这些符号的详细解释或示例,而"www.pudn.com.txt"可能是来源于PUDN(普渡大学电子网络)的资源链接或版权信息。 C语言中的公共符号通常包括以下...
易语言API枚举进程内模块源码
06-06
枚举进程内模块是编程中一个常见的任务,它允许程序员获取正在运行的进程所加载的所有动态链接库(DLL)或其他模块的信息。在Windows操作系统中,这个功能通常通过API调用来实现。 "易语言"是中国本土开发的一款...
完全反截屏
热门推荐
flyingleo1981的专栏
07-26 1万+
把一些高手的语录总结一下:   控制所有截屏软件肯定是不可能的。但可以用相当小的代价来禁止尽可能多的截屏。 分析截屏软件的行为,可得出截屏基本有两种方式。 1. 通过剪贴板 2. 直接截取屏幕中的某一部分保存成图像文件 针对以上两种可做如下的防护: 1. 监控剪贴板变化 (SetClipboardViewer) ,发现剪贴板发生变化后,看剪贴板中是否有图片,如果有,清空它。 2
易语言枚举内核驱动
07-16
易语言枚举内核驱动源码,枚举内核驱动,驱动操作_枚举内核驱动,进制转换_Unicode转Ansi,lblexit,InitializeObjectAttributes,进制转换_Ansi转Unicode,内存读写_读字节集内存,lms520_ZwOpenDirectoryObject,lms520_LocalFree,lms520_LocalAlloc,lms520_ZwQueryD
通过驱动名称枚举驱动下设备和挂载设备的信息
06-26
通过驱动名称枚举驱动下设备和挂载设备的信息
【Shell 命令集合 磁盘维护 】Linux 查找指定目录下的所有符号链接文件 symlinks 命令使用教程
最新发布
探索C++编程的奥秘,分享深入的技术见解和实践,旨在激发读者创造力与解决问题的思维。
06-26 1015
symlinks命令用于查找指定目录下的所有符号链接文件,并显示它们的源文件路径。符号链接(Symbolic links)是一种特殊的文件类型,它们可以指向其他文件或目录。通过创建符号链接,用户可以在不改变源文件位置的情况下访问它们。
驱动枚举
dhbzzz的专栏
04-21 3222
//--------------------------------------------------------------------------// Copyright (C), 2004-2010, Zhengzongzhao, All Rights Reserved//// FileName: EnumDriver.cpp//// Author: z
枚举SSDT 系统服务表中的函数地址
qinqin772的博客
01-02 1923
网上关于SSDT的有很多的博客可以参考,我就不啰嗦了直接上码 #include //SSDT服务表中,各项对应的函数名称,@num 代表参数*4的大小 char* funcName[] = { "NtAcceptConnectPort@24 ", "NtAccessCheck@32 ",
设备名与链接名的转换
zhuhuibeishadiao
04-10 2406
MyQueryDosDeviceW从ReactOS的源码里拷贝的 兼容R0/R3 DWORD WINAPI MyQueryDosDeviceW( LPCWSTR lpDeviceName, LPWSTR lpTargetPath,
Anti StrongOD Kernel Mode
weixin_30565199的博客
12-12 130
/**************************************/*作者:半斤八兩/*博客:http://cnblogs.com/bjblcracked/*日期:2013-12-1100:00/**************************************只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!相信大家都有用过海风前辈写的strongod反反调...
驱动中通过设备链接名取得磁盘符号的方法
qycer的专栏
08-07 5142
主要思路: 从驱动层设备链接名获取DosName很难做到通用,但DosName->DeviceSymblinkName可以做到通用,这样的话就有一种思路: 查询一个设备链接名对应的磁盘盘符的方法: 获取从A到Z的盘的设备链接名,如果有一个和传入的参数(设备链接名)完全匹配,那么其对应的盘符就是该设备链接名对应的盘符。 GetSymbolicLink( IN PUNICOD
ZwOpenSymbolicLinkObject routine
死胖子的博客
02-06 1513
ZwOpenSymbolicLinkObject routine ZwOpenSymbolicLinkObject 例程打开一个已经存在的符号链接。 Syntax   NTSTATUS ZwOpenSymbolicLinkObject( _Out_ PHANDLE LinkHandle, _In_ ACCESS_MASK DesiredAc
C# 注册表操作枚举类实现
8. `Link`: 一个外壳链接,通常指向另一个注册表位置。 9. `ResourceList` 和 `Security` 等更特殊的类型。 在实际使用这个注册表操作类时,开发人员可以通过枚举值来访问和修改相应注册表键下的项和值。例如,要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值