カーネルのシンボリックリンクを開くWindows8.1 +

Question

私はカーネル空間でZwOpenProcessを使ってシンボリックリンクをファイルとして開こうとしています。以下のコードを使用すると、XP-7ではすべてOKです。しかし、Windowsの8.1 ZwOpenProcess使用すると、私はWinObj使用して、チェックを0xC000000D

OBJECT_ATTRIBUTES ObjectAttributes; 
HANDLE    FileHandle; 
IO_STATUS_BLOCK IoStatus; 
NTSTATUS   Status; 

InitializeObjectAttributes (&ObjectAttributes, 
          SymLinkOrDeviceName, // <--- \Device\CEDRIVER60 
          OBJ_KERNEL_HANDLE, 
          (HANDLE) NULL, 
          (PSECURITY_DESCRIPTOR) NULL); 

Status = ZwOpenFile (&FileHandle, 
         FILE_READ_ACCESS, 
         &ObjectAttributes, 
         &IoStatus, 
         0, 
         FILE_NON_DIRECTORY_FILE); 


if (!NT_SUCCESS (Status)) 
{ 
    DbgPrint("TEST: ERROR %p ", Status); // <--- 0xC0000001, 0xC000000D 
    goto Exit; 
} 

、0xC0000001のように、別のNTSTATUSコードで失敗 - システムにおけるシンボリックリンクの存在を、コードはXP-7で正常に動作します。

私はまた、 - FILE_ANY_ACCESSへのアクセスを変更するためにトリンドする - 同じ結果。

Answer 1

ZwOpenProcess

私はあなたがZwOpenFileを意味しているとします。

\デバイス\ CEDRIVER60は

は、あなたは本当に\デバイスのディレクトリに見ていましたか？このディレクトリには通常、ドライバによって作成されたデバイスオブジェクトが含まれています。シンボリックリンクは通常\ DosDevicesのようなディレクトリに置かれます。また、OBJ_CASE_INSENSITIVEフラグも含める必要があります。

FILE_READ_ACCESS

このフラグは、正常対象デバイスオブジェクトにIOCTLメッセージを配信するために必要なアクセス権（複数可）を決定します。 FILE_READ_ATTRIBUTES、FILE_READ_DATA（実際にはFILE_READ_ACCESSと同じ値）またはGENERIC_READのような真のファイルアクセス権定数を指定します。 ZwOpenFile（およびZwCreateFile）のMSDNページも読む価値があります。 SYNCHRONIZEフラグも含める必要があります。 NTSTATUSが長い（32ビットの符号付き整数）として定義される

%のP

。 ％xがより適切です。