Discussion :

[Invité]

Bonjour,

Pour un projet, j'ai créer un driver pour hooker la fonction ZwCreateFile qui execute l'ouverture d'un fichier.

Ma fonction qui remplace ZwCreateFile teste le chemin du fichier qui doit être ouvert, puis si il est sur le lecteur E: par exemple, il faut que l'ouverture se stoppe.
Le problème, c'est que lorsque je fais cela, à chaque fois que je cherche à ouvrir un fichier sur E:, l'application s'ouvre et me renvoie un message d'erreur.

Je voulais donc savoir si quelqu'un connaissait une méthode permettant de breaker une fonction système, c'est à dire que tous les appels qui se font automatiquement après la fonction ZwCreateFile ne se fassent pas.

Désolé, si je m'exprime mal, mais c'est un peu compliqué.

Merci d'avance.

[Médinoc]

Je ne comprends pas. Tu veux faire croire au processus ouvrant qu'il a réussi?

[Invité]

Oui, c'est ça, car je fais le traitement de l'ouverture avec une autre application.

[Invité]

En fait, j'aimerais stopper les appels systèmes à la fin de mon hook de ZwCreateFile, car pour l'instant, je peux faire un traitement dans ZwCreateFile, mais le système continue son traitement d'ouverture ensuite.

[Médinoc]

Ne peux-tu pas tout simplement retourner un handle vers un fichier bidon?

[Invité]

Je n'arrive pas à lui envoyer un handle de fichier bidon, cela ne fait rien.

Par exemple, lorsque j'essaie d'ouvrir un fichier .txt, le traitement de mon hook de ZwCreateFile s'effectue correctement, mais ensuite, j'ai le notepad qui s'ouvre avec le message d'erreur suivant : "Le handle du fichier est incorrect".

[Médinoc]

As-tu penser à ouvrir le fichier bidon en question?

Typiquement, tu changes le nom de fichier vers un truc temporaire...

[Invité]

Que veux-tu dire par ouvrir ? Si c'est ouvrir le fichier avec ZwCreateFile, j'ai déjà essayé et ça ne marche pas.

Penses-tu que je peux essayer de faire cela en ASM ?

[Invité]

J'ai trouver de nouvelles choses :

Je pense pouvoir le faire avec IShellExecuteHook, cependant, je n'ai pas trouvé de doc très facile à prendre en main pour faire quelque chose avec ça.

Si vous connaissez des liens qui pourraient m'interesser, merci de me les donner.

Merci d'avance

[Médinoc]

Si j'en crois le nom, IShellExecuteHook n'agit que sur les lancements de fichier par le shell: En gros, ce qui se passe si tu double-cliques sur un fichier, ou si un programme appelle la fonction ShellExecute().

ShellExecute() n'a rien à voir avec CreateFile(), et est plus proche de CreateProcess().

[homeostasie]

Ma fonction qui remplace ZwCreateFile teste le chemin du fichier qui doit être ouvert, puis si il est sur le lecteur E: par exemple, il faut que l'ouverture se stoppe.

Ok, je suppose que tu as fait un hook de la table SSDT.

Le problème, c'est que lorsque je fais cela, à chaque fois que je cherche à ouvrir un fichier sur E:, l'application s'ouvre et me renvoie un message d'erreur.

Et tu voudrais que ca fasse quoi exactement?

Penses-tu que je peux essayer de faire cela en ASM ?

A moins que tu veuilles faire de l'inline patching mais je n'en vois pas l'intérêt...

Pourrais tu définir clairement le comportement que tu désires obtenir durant l'ouverture d'un fichier sur le disque E:\?

Mettre le code de ta fonction myZwCreateFile() pourrait aussi être utile.

[Invité]

Si j'en crois le nom, IShellExecuteHook n'agit que sur les lancements de fichier par le shell: En gros, ce qui se passe si tu double-cliques sur un fichier, ou si un programme appelle la fonction ShellExecute().

ShellExecute() n'a rien à voir avec CreateFile(), et est plus proche de CreateProcess().

Mais c'est ce que je veux faire, quand un utilisateur double-clique sur un fichier ou lorsqu'il ouvre un fichier à partir d'une application avec la boite de dialogue Fichier->Ouvrir.

Maintenant, je cherche des liens qui pourraient m'aider à implémenter IShellExecuteHook !!