У меня trabl. FileName from handle
Всем привет.У меня проблема.Мне нужно получить имя файла
имея его handle.Вообще насколько это реально я не знаю.Сейчас ковыряю в таком направлении:
ZwQueryInformationFile(FileHandle,&IoStatusBlockQ,&FileInformation,\
sizeof(FILE_NAME_INFORMATION),FileNameInformation);

text_2 = (PCHAR)ExAllocatePool(NonPagedPool ,FileInformation.FileNameLength+1);
if(text_2 != NULL)
{
// memset(text_2,0,FileInformation.FileNameLength+1);
RtlFillMemory(text_2,FileInformation.FileNameLength+1,0);
// memcpy(text_2,FileInformation.FileName,FileInformation.FileNameLen gth);
RtlCopyMemory(text_2,FileInformation.FileName,FileInformation.FileNa meLength);
DbgPrint("\nHookReadFile:\n\tPID:%lu\nFileName:%s\n",PsGetCurrentPro cessId(),text_2);
ExFreePool(text_2);
} ...

typedef struct _FILE_NAME_INFORMATION {
ULONG FileNameLength;
WCHAR FileName[1];
} FILE_NAME_INFORMATION, *PFILE_NAME_INFORMATION;

Принт text_2 выводит только первый символ.(%s или %S->тоже фигня).
Подскажите че не так или какие есть еще методы.
Заранее большое спасибо.

VOOrDOOluck
Чем тебя не устраивает функция GetModuleFileName ??

Наверное тем, что это kernel mode :)

volodya
В вопросе про ядро не упоминалось..

ExAllocatePool/ExFreePool - вот тебе и ответ.

А разве GetModuleFileName подойдет для хендла открытого
файла? Это же для подгруженного модуля?
К тому же, кажется, у человека проблема скорее с выводом
имени файла, а не с его получением.

Попробуй ObReferenceObjectByHandle/ObQueryNameString


[ VOOrDOOluck: Принт text_2 выводит только первый символ.(%s или %S->тоже фигня). ]

Так ты пытаешься unicode-строку как ansi выводить! Юзай %

Кроме ObReferenceObjectByHandle, если не хочешь лишний раз reference этот самый файл можешь поизвращаться с ZwQuerySystemInformation класс SystemHandleInformation.

В принципе связка ObReferenceObjectByHandle/ObQueryNameString работает получше но она если срабатывает то выводит инфо наподобие device\#hex(или путь к hardvolium_num...polices...).
Это лучше чем ничего но немного не то.
Я делаю так:
nt = ObReferenceObjectByHandle(FileHandle,/*MAXIMUM_ALLOWED*/0,0,UserMode,&Object,NULL);
...
nt = ObQueryNameString(Object,DestinationStringW,1024,&i);
Может я в ObReferenceObjectByHandle что то не то прописал.
И еще вопрос в данном направлении.После ObReferenceObjectByHandle как я понимаю Object является в принципе объектом на файл.Попробовал
pF = (PFILE_OBJECT)Object;
pF->FileName;
Но результата вообще нет.(или "" или(null)).Почему так получается.
Four-F(MSDN)
%s - (String) When used with printf functions, specifies a single-byte–character string;
%S - (String) When used with printf functions, specifies a wide-character string;
Результат ObQueryNameString вывожу через %S нормально
(через %s "\").

Не вспомню чево сразу не пахало(частично)но так пашет.
nt = ObReferenceObjectByHandle(FileHandle,0,0,UserMode,&pF,NULL);
if (nt == STATUS_SUCCESS)
{
DbgPrint("\nnHookReadFile PID:%lu\nObReferenceObjectByHandle FileObject name:%S\nLength:%lu\n\n",\
PsGetCurrentProcessId(),pF->FileName.Buffer,pF->FileName.Length);
ObDereferenceObject(&pF);
}

Всем большое спасибо

[ VOOrDOOluck: выводит инфо наподобие device\#hex(или путь к hardvolium_num...polices...) ]

RtlVolumeDeviceToDosName

Four-F
Не знаю поможет ли RtlVolumeDeviceToDosName но что такое manifest,polices и тд я пока вообще не знаю.Наврят ли так имена файлов будут называться или нет?

2 VOOrDOOluck:
А не не получится. Я тоже пытался это узнать.
В результате маего ислодования я узнал что при создании файла ядро находит файл на диске и сохраняет информацию о его место расположение, потом строка и названием пути к файлу освобождается. :((((

Songoku
А можеш както поподробнее свои наблюдения.
То что мне нужно у меня получилось.При использовании ObReferenceObjectByHandle в вых параметре FILE_OBJECT содержится имя файла,если это файл, а если это не файл а какойто device то имя файла равно нулю и тогда нужно смотреть объект DEVICE_OBJECT в FILE_OBJECT .Я все понял именно так и то что мне нужно было у меня получилось.Наврядли это было совпадением. И помойму сама система при запросах подобного рода делает именно так.