[pso] [tema1] NtOpenFile... help! :)
Stefan Bucur
stefan.bucur at gmail.com
Sun Apr 6 14:58:42 EEST 2008
2008/4/6 Mircea Gherzan <mgherzan at anaconda.cs.pub.ro>:
> Salutare,
>
> Dupa vreo 3 zile de WinDbg remote ma predau si imi pun speranta in lista
> pentru urmatorul bug: tema trece testele pana la cel de NtOpenFile care
> implica crearea unui copil, la care CreateProcess da FALSE.
>
> Nu pot sa presupun decat ca intereceptarea lui NtOpenFile strica treaba.
>
> Pana atunci interceptarea merge bine, logare asisderea. Numarul de
> octeti primiti ca parametrii de apel e corect (24). Am verificat manual,
> pe stack trace, ca intra intr-adevar in NtOpenFile ca apel original
> (ajunge in final in IoCreateFile si IopCreateFile).
Make sure you did the right thing in the interception routine:
1) Ai accesat registrul EAX prima si prima data in functie (banuiesc ca da).
2) Ai modificat registrul ESP si ai copiat manual vechea stiva
_imediat_ inainte sa apelezi handler-ul original al syscall-ului.
Conteaza sa nu fi facut ceva intre timp, care sa fi stricat ESP-ul si
implicit parametrii pasati handler-ului original.
3) Intorci rezultatul dat de vechiul handler, si nu altceva.
HTH,
Stefan Bucur
More information about the pso
mailing list