Заменить ObjectAttributes из-под zwCreateFile

Здраствуйте,
Подскажите: как из-под драйвера-перехватчика(ntCreateFile) изменить содержимое поля ObjectAttributes?
Нужно это для подстановки(подмены) файлов если что-то не устраивает перехватчика...
Т.е. установить новое имя файла, перезатерев старое и все остальное.

Спасибо.

 

В нем есть поле ObjectName с указателем UNICODE_STRING*. Там лежит запрашиваемое имя объекта, в данном случае, файла.

 

Да, но ведь длина оригинального имени и моего скорее всего не совпадут, плюс может нужно что-то еще "подрихтовать"?

 

Begemot
замени сам указатель ObjectName на свою структуру UNICODE_STRING.

 

ок, сенькс

 

Сделал так:

Код (Text):

1.         pPath=(wchar_t *)ExAllocatePool(PagedPool, 50);
2.         if (pPath) {
3.             RtlZeroMemory(pPath, 50);
4.             wcscpy(pPath, L"C:\\Security Template.txt");
5.             RtlInitUnicodeString(&uniFileName, pPath);
6.             ObjectAttributes->ObjectName=&uniFileName;
7.             status=TrueNtCreateFile(FileHandle,DesiredAccess,ObjectAttributes,IoStatusBlock,
8.                                 AllocationSize,FileAttributes,ShareAccess,CreateDisposition,
9.                                 CreateOptions,EaBuffer,EaLength);
10.             ExFreePool(pPath);
11.             return status;
12.         }

Но результата нет - файл не найден.
Меняю только имя файла, остальные параметры - оригинальные.

 

надо имя файла передавать в виде \\??\\C:\\somefile.txt
как имя в глобальном каталоге имен.
С учетом моих пожеланий,

Код (Text):

1.             wcscpy(pPath, L"\\??\\C:\\Security Template.txt");

 

Неа, не прокатило.... :/

Так тоже:

Код (Text):

1. RtlInitUnicodeString(&uniFileName, L"\\??\\C:\\Security Template.txt");

...

 

А ты уверен, что этот файл есть?)

 

Да, железно

 

hRootObject?
Вообще лучше переинициализировать ObjectAttributes.

 

Да, но при этом я потеряю все остальные поля оригинальной структуры

А это чего такое? Расскажи подробнее, плиз

 

Может есть другой способ "подсунуть" файл из-под перехватчика?

 

Интересно, мой код выполняется дважды(вызывающая прога пытается вызвать ntCreateFile дважды, видимо) и в первый раз ntCreateFile с моим подмененным именем возвращает 0, а второй: -(минус)1073741819
К чему бы это...

 

Никто в общем-то не мешает скопировать перед изменением, а затем вернуть все обратно

0xc0000005 - STATUS_ACCESS_VIOLATION - к неверным параметрам обычно

 

Но тогда и смысла все переинициализировать нет. Ведь получится тоже что уже есть...

Честно говоря не понимаю какие параметры ему не нравятся...

 

Стоп, а как быть с RootDirectory? Его ж тоже настраивать надо. Или нет?

Видимо нет, в оригинале он равен нулю...

 

Короче забекапь старую OBJECT_ATTRIBUTES и подсунь свою, другую.

 

Делаю так:

Код (Text):

1.     OBJECT_ATTRIBUTES InterceptedObjectAttributes;
2.     RtlInitUnicodeString(&uniFileName, L"\\??\\C:\\Security Template.txt");
3.     InitializeObjectAttributes(&InterceptedObjectAttributes, &uniFileName, ObjectAttributes->Attributes, ObjectAttributes->RootDirectory, ObjectAttributes->SecurityDescriptor);
4.     status=TrueNtCreateFile(FileHandle,DesiredAccess,&InterceptedObjectAttributes,IoStatusBlock,
5.                         AllocationSize,FileAttributes,ShareAccess,CreateDisposition,
6.                         CreateOptions,EaBuffer,EaLength);
7.     return status;

Это имеешь ввиду? Результат тот же...

 

а вот это ты зря... RootDirectory надо проинициализировать заново