NtOpenSection → OpenFileMapping

Привет!

Подскажите, кто знает, как открыть \Device\PhysicalMemory через OpenFileMapping, а не через NtOpenSection ?
Проблема в том, что OpenFileMapping задаёт в качестве поля ObjectAttributes.RootDirectory (при вызове NtOpenSection) значение, возвращаемое BaseGetNamedObjectDirectory(), а не NULL. Т.е. если заменить это поле на NULL (изнутри функции OpenFileMappingW), всё работает. Иначе возвращается ошибка.

MSDN пишет про поле RootDirectory:

Optional handle to the root object directory for the path name specified by the ObjectName member. If RootDirectory is NULL, ObjectName must point to a fully qualified object name that includes the full path to the target object. If RootDirectory is non-NULL, ObjectName specifies an object name relative to the RootDirectory directory. The RootDirectory handle can refer to a file system directory or an object directory in the object manager namespace.

Т.е. надо полный путь \Device\PhysicalMemory преобразовать относительно пути, хендл которого выдаёт BaseGetNamedObjectDirectory(). Как это сделать?
Я так понял, это путь \BaseNamedObjects, только что это за путь и как относительно него адресовать \Device\PhysicalMemory – х/з.

0

Может быть, \\.\Device\PhysicalMemory
как у других устройств?

Это на XP?

0

Ни хрена не понимаю в этой галиматье, но имею сказать, что если у тебя имеется хендл ObjectAttributes.RootDirectory , то применив его к
NTSTATUS
ObReferenceObjectByHandle(
IN HANDLE Handle,
IN ACCESS_MASK DesiredAccess,
IN POBJECT_TYPE ObjectType OPTIONAL,
IN KPROCESSOR_MODE AccessMode,
OUT PVOID *Object,
OUT POBJECT_HANDLE_INFORMATION HandleInformation OPTIONAL
) ты получишь *Object - corresponding pointer to the object's body. А там в этой "боде" как выглядит

Сообщение от Jin X что это за путь

посмотреть ?
Т.е. если в поле ObjectAttributes.RootDirectory лежит хендл объекта Рут_Директори, то получить по этому хендлу адрес самого объекта Рут_Директори и посмотреть что там лежит. Ну там строчки или ссылки на строчки. Должен же там этот путь Рут_Директори в виде строки лежать.

0

Из Win32 объекты могут быть и не видны под своими именами.

Добавлено через 6 минут
https://docs.microsoft.com/en-... namespaces

Добавлено через 56 минут

>dir lpt9

Содержимое папки \\.

Файл не найден


Сообщение от ОС \\.\Device\PhysicalMemory как у других устройств?

Если как других, то должно быть что-то вроде \\.\PhysicalMemory

0

Сообщение от ОС Это на XP?

Да. И ниже.

Сообщение от ОС Может быть, \\.\Device\PhysicalMemory как у других устройств?

Я тоже так думал, но это не работает
GetLastError выдаёт 000000A1 (ERROR_BAD_PATHNAME), (NtOpenSection выдаёт там C000003B (STATUS_OBJECT_PATH_SYNTAX_BAD)).

Сообщение от Ethereal Должен же там этот путь Рут_Директори в виде строки лежать.

А что толку? Как это мне поможет правильно адресовать нужный мне путь? К тому же, я почти уверен, что это

Сообщение от Jin X \BaseNamedObjects

(где-то нашёл эту инфу)

Сообщение от politoto \\.\PhysicalMemory

К сожалению, это тоже не работает. Ошибка та же

0

А в чём минусы NtOpenSection?

Может быть, попробовать добавить ДОС-устройство? Это же символическая ссылка на объект.

0

Сообщение от Jin X Как это мне поможет

Сообщение от Jin X К тому же, я почти уверен

Вот это почти отпадет.

Сообщение от Jin X Я так понял, это путь \BaseNamedObjects, только что это за путь и как относительно него адресовать \Device\PhysicalMemory – х/з.

Если думать тупорыло, то ..\..\..\Device\PhysicalMemory , т.е. три раза вверх по пути от \BaseNamedObjects и там будет корень в котором \Device

1

Сообщение от politoto А в чём минусы NtOpenSection?

Мне интересно сделать без натива.
Ну и через OpenFileMapping не надо инициализировать ObjectAttributes и записывать строку в UNICODE-формате (да, я понимаю, что там куча обёрток и пр. ерунды).

Сообщение от Ethereal т.е. три раза вверх

Почему три? И почему не с \ начинается?
В общем, перепробовал 6 вариантов:
..\PhysicalMemory
\..\PhysicalMemory
..\..\PhysicalMemory
\..\..\PhysicalMemory
..\..\..\PhysicalMemory
\..\..\..\PhysicalMemory
Всё бестолку. Иногда, правда, вместо STATUS_OBJECT_PATH_SYNTAX_BAD выдаётся STATUS_OBJECT_PATH_NOT_FOUND.

0

Сообщение от Jin X В общем, перепробовал 6 вариантов: ..\PhysicalMemory \..\PhysicalMemory ..\..\PhysicalMemory \..\..\PhysicalMemory ..\..\..\PhysicalMemory \..\..\..\PhysicalMemory

Тут \Device куда-то подевалось.

Сообщение от Jin X Почему три?

Просто предположил, что речь шла о \Sessions\1\BaseNameObjects и тогда до корня надо 3 раза вверх. Но я-же говорю, что ничего в этой галиматье не понимаю. Просто у меня большой опыт разбираться в черных ящиках. Когда знаний почерпнуть неоткуда кроме как из самого черного ящика. Так-что представляю, что у тебя там черный ящик и каким бы я тогда пошел логическим ходом
Нет, ну реально, берем черный ящик, документации по нему тебе не дадут, кто в нем понимает говорить с тобой не станет и начинаем с "тупорыло предположим, что".
Все равно того кто знает в топике нет, так-что чем в данном случае не метод ?

Вот есть такая дивная утилита : https://docs.microsoft.com/en-... ads/winobj
Если она показывает то с чем ты имеешь дело, то \BaseNameObjects там в двух местах, в корне и внутри \Sessions\1 , \Device есть, а вот \Device\PhysicalMemory что-то не видать.

Добавлено через 4 часа 35 минут

Сообщение от Jin X Иногда, правда, вместо STATUS_OBJECT_PATH_SYNTAX_BAD

А это STATUS_OBJECT_PATH_SYNTAX_BAD было когда начало пути \.. или когда .. ?

1

Сообщение от Ethereal Тут \Device куда-то подевалось.

Тем не менее, добавление \Device не помогло.

Сообщение от Ethereal А это STATUS_OBJECT_PATH_SYNTAX_BAD было когда начало пути \.. или когда .. ?

Когда \..

0

Боюсь, что
Название может иметь префикс "Global" или "Local", чтобы явно открывать объект в глобальном или сессионном пространстве имен. Остаточный член имени может содержать любые символы кроме символа обратного слэша (\).
то есть у функции OpenFileMapping принудительно закрыта возможность ползать по путям куда захочется.

Добавлено через 4 минуты
Global или Local - это символические ссылки. Global - ссылка на \BaseNamedObjects . И еще вижу ссылку Section . Вот если бы там лежала бы еще одна символическая ссылка на \Device . Если ее как-нибудь туда подкинуть.

Добавлено через 15 минут
По ссылкам вроде-бы можно бегать сколько угодно. Например до объекта \BaseNamedObjects\RasPbFile я вроде как добрался (сужу только по изменениям номеров ошибок) именем "RasPbFile" и именем "Session\0\RasPbFile" где ссылка Session указывает на \Sessions\BNOLINK , внутри которого еще одна ссылка 0 на \BaseNamedObjects . То есть по ссылкам я прошел как-бы по кругу.

0

У меня вроде получилось сделать какую-то ссылку.
Команды type lpt4, copy ругаются на Неверный дескриптор.

0

Сообщение от Ethereal то есть у функции OpenFileMapping принудительно закрыта возможность ползать по путям куда захочется.

Есть такое подозрение, но мало ли?

Сообщение от ОС У меня вроде получилось сделать какую-то ссылку.

Я так и не понял, какая ссылка в итоге получилась? lpt4 не стал же алиасом \Device\PhysicalMemory.

0

Jin X, если не стал, то где-то в DosDevices или ещё где-нибудь есть соответствие lpt4 -> [inline]\Device\PhysicalMemory[/quote]

Если бы это было не так, почему тогда QueryDosDevice( "lpt4") вернул \Device\PhysicalMemory ?
Напрямую через досовое имя секция, скорее всего, не окроется, хотя бы потому, что искать начинает с другого корня, но можно попытаться найти эту ссылку через относительный путь.

Добавлено через 10 минут
Но лучше, наверно, не пытаться, а пользоваться тем, что работает.
Для подобных программ и предназначены нативные функции.

0

Просто идея. Лень проверять. Если с помощью NtCreateSymbolicLinkObject в \BaseNamedObjects создать символическую ссылку Blabla на \Device , то именем Blabla\PhysicalMemory ты бы открыл то, что тебе нужно. Если в \BaseNamedObjects уже есть три символические ссылки, то они должны обрабатываться каким-то общим алгоритмом. Ну и раз по этим трем ссылкам мы ходить можем, то и по четвертой сможем.

Добавлено через 3 минуты
Просто пока у меня получется, что ос отказывается воспринимать .. как переход на каталог вверх в этом пространстве имен объектов. ..\BaseNamedObjects по идее должна не изменять путь, потому-что сначала вверх, а потом обратно вниз. Но ругается ERROR_PATH_NOT_FOUND. Ну и если по .. пройти наверх нельзя, то по ссылке-то можно и сразу куда нужно.

Добавлено через 1 минуту
Вот так бегать по ссылкам туда-сюда не вопрос "Local\Global\Local\Global\Local\Global\ Local\Global\RasPbFile"

Добавлено через 51 минуту
NtCreateSymbolicLinkObject , как понял, должна создать ссылку, которая не есть перманентный объект. Как только ты проделаешь CloseHandle с хендлом этой ссылки она удалится. Но это ведь то, что надо. Временной ссылкой проложить куда надо путь. Проторить так-сказать дорогу.

1

Зачем торить, если NtOpenSection() сразу открывает \Device\PhysicalMemory ?

0

Сообщение от politoto Зачем торить, если NtOpenSection() сразу открывает \Device\PhysicalMemory ?

Читать что писал тс будем ?

Сообщение от Jin X Подскажите, кто знает, как открыть \Device\PhysicalMemory через OpenFileMapping, а не через NtOpenSection ?

Да сам топик называется NtOpenSection → OpenFileMapping

0

Сообщение от Jin X Сообщение от politoto А в чём минусы NtOpenSection? Мне интересно сделать без натива.

Для создания ссылок где угодно может понадобиться больше захватить прав и запросить привилегий, чем для открытия существующего объекта

0

М.Руссинович, Д.Соломон Внутреннее устройство Microsoft Windows. 6-е изд. Место хранения имен объектов зависит от типа объекта. В табл. 3.17 перечислены стандартные каталоги объектов, находящиеся во всех системах Windows, и те типы объектов, чьи имена в них хранятся. Из перечисленных каталогов стандартные Win-приложения видят только каталоги \BaseNamedObjects и \Global?? (см.раздел «Пространство имен сеанса»).

Для этой функции запрещена косая черта в любом виде: хоть в голове, хоть в тушке.
Разрешено читать только содержимое указанных выше каталогов по именам объектов, которое ищется сначала в "\BaseName", потом в "\Global??". Если такого имени нет, то встречаем ошибку "Файл не найден!".

Можно создавать объекты самому чз "CreateFileMapping", но они помещаются только в эти каталоги, а "\Device" находится выше, ..значит подобраться к нему будет проблематично. Хоть ты и получишь как-нибудь ссылку, то нужно будет указать её в пути, опять-же через косую черту, которая запрещена.

Например вот прожка для теста ошибки (чтоб не ловить эрроры в отладчике), и при косой черте в любом виде выплёвывает "Недопустимый путь!". Если оставить только "PhysicalMemory", то и создаётся и открывается без проблем, но только в дирах Base и Global, а значит драйверам IO (которые читаю память) из папки \Device, этот файл становится не доступным.
По сабжу, почитать ещё можно Рихтер. Windows для профессионалов
он разжёвывает тему объектов не по-детски и с примерами.

3

В общем, получается, что задача нерешаемая, открыть можно только через NtOpenSection...

0