Аналог SetFilePointerEx в Nt\Zw

[MegadethProj]

Есть такие? или как это можно сделать средствами чистого Nt\Zw?

 

[Whisper]

NTSTATUS NTAPI ZwReadFile(
__in HANDLE FileHandle,
__in_opt HANDLE Event,
__in_opt PIO_APC_ROUTINE ApcRoutine,
__in_opt PVOID ApcContext,
__out PIO_STATUS_BLOCK IoStatusBlock,
__out_bcount(Length) PVOID Buffer,
__in ULONG Length,
__in_opt PLARGE_INTEGER ByteOffset,
__in_opt PULONG Key
)

 

[MegadethProj]

NTSTATUS NTAPI ZwReadFile(
__in HANDLE FileHandle,
__in_opt HANDLE Event,
__in_opt PIO_APC_ROUTINE ApcRoutine,
__in_opt PVOID ApcContext,
__out PIO_STATUS_BLOCK IoStatusBlock,
__out_bcount(Length) PVOID Buffer,
__in ULONG Length,
__in_opt PLARGE_INTEGER ByteOffset,
__in_opt PULONG Key
)

 

[Whisper]

also ZwWriteFile

 

[Whisper]

may be something of this
typedef enum _FILE_INFORMATION_CLASS
{
FileDirectoryInformation = 1,
FileFullDirectoryInformation, // 2
FileBothDirectoryInformation, // 3
FileBasicInformation, // 4
FileStandardInformation, // 5
FileInternalInformation, // 6
FileEaInformation, // 7
FileAccessInformation, // 8
FileNameInformation, // 9
FileRenameInformation, // 10
FileLinkInformation, // 11
FileNamesInformation, // 12
FileDispositionInformation, // 13
FilePositionInformation, // 14
FileFullEaInformation, // 15
FileModeInformation, // 16
FileAlignmentInformation, // 17
FileAllInformation, // 18
FileAllocationInformation, // 19
FileEndOfFileInformation, // 20
FileAlternateNameInformation, // 21
FileStreamInformation, // 22
FilePipeInformation, // 23
FilePipeLocalInformation, // 24
FilePipeRemoteInformation, // 25
FileMailslotQueryInformation, // 26
FileMailslotSetInformation, // 27
FileCompressionInformation, // 28
FileObjectIdInformation, // 29
FileCompletionInformation, // 30
FileMoveClusterInformation, // 31
FileInformationReserved32, // 32
FileInformationReserved33, // 33
FileNetworkOpenInformation, // 34
FileMaximumInformation
} FILE_INFORMATION_CLASS, *PFILE_INFORMATION_CLASS;

 

[Whisper]

best way look inside kernel32.dll of windows xp by the IDA, there you can see how it doing correct

 

[MegadethProj]

best way look inside kernel32.dll of windows xp by the IDA, there you can see how it doing correct

спс, разобрался

 

[a1d]

спс, разобрался

Ну и как разобрался? Всем же интересно

 

[Dummy]

Ну и как разобрался? Всем же интересно

NtQueryInformationFile/NtSetInformationFile c классом FilePositionInformation ( 14 ). Реализация лежит в kernelbase.dll SetFilePointerEx.

 

[Whisper]

Советую качнуть сорцы процхакера, там наиболее полные структуры и объявления всяких андок апи.

 

[Whisper]

С кернелбейз советую возиться в самом крайнем случае и начинать всегда с файлов от xp там меньще всего форвардов и код проще и лаконичней.

 

[MegadethProj]

Ну и как разобрался? Всем же интересно

использую Information из одного параметра NtWriteFile NtReadFile

 

[500mhz]

использую Information из одного параметра NtWriteFile NtReadFile

Я так понимаю ты в user space? К чему весь этот гемор тогда?

 

[MegadethProj]

Я так понимаю ты в user space? К чему весь этот гемор тогда?

ав

 

[MegadethProj]

vxug писал что лучше использовать натив функции т.к. аверам сложнее их 'понять' и всё в таком духе

 

[Depression]

vxug писал что лучше использовать натив функции т.к. аверам сложнее их 'понять' и всё в таком духе

Что за бред? Всё похукано в ядре. Аверам побоку, что ты там используешь.

 

[MegadethProj]

Я так понимаю ты в user space? К чему весь этот гемор тогда?

а вообще я прям испытал кайф когда использовал NtXXX

 

[500mhz]

vxug писал что лучше использовать натив функции т.к. аверам сложнее их 'понять' и всё в таком духе

Уж тогда вали прям syscall

 

[MegadethProj]

Уж тогда вали прям syscall

нихачу

 

[500mhz]

нихачу

В отладчике глянь куда NTxxx уходит ) удивишся