Hashfile ошибка открытия файла на чтение

Вы не вошли. Пожалуйста, войдите или зарегистрируйтесь.

dir mfc80.dll,atl80.dll,msvcm80.dll,msvcp80.dll,msvcr80.dll /S /B > list.txt

См. также

Kex 16.03.2006 19:54

Пытаюсь сделать антифлуд для гостевухи. Использую хэшфайл. При повторном открытии выводит ошибку «apr_sdbm_open(shared) error: Unknown error (-1)». Я уже читал про такое на форуме, мне очень интересно, как сделать чтоб заработало? Неужели это неисправимый лаг? И, если это так, можно ли реализовать антифлуд другими способами (не через бд)?

1. ksu_ant

   New Member

   Публикаций:

   0

   Регистрация:

   28 сен 2005

   Сообщения:

   273

   Здравствуйте!
   Возникла необходимость мониторить запуск файлов в системе. Сделал SDT перехваты. Нужно контролировать неизменность файлов. Для этого попытался считать хэш (функции рабочие).

   1. NTSTATUS HashFile(CHAR *hash,UNICODE_STRING *fname)

   7.     FILE_STANDARD_INFORMATION fsi;

   13.     InitializeObjectAttributes (&oa, fname, OBJ_CASE_INSENSITIVE , NULL, NULL);

   14.     status = ZwCreateFile(&SourceFileHandle, FILE_READ_DATA, &oa, &iosb, 0, FILE_ATTRIBUTE_NORMAL,FILE_SHARE_READ, FILE_OPEN, FILE_SYNCHRONOUS_IO_NONALERT, NULL, 0);

   15.     if (status==STATUS_SUCCESS)

   17.         status=ZwQueryInformationFile(SourceFileHandle,&iosb,&fsi,sizeof(fsi),FileStandardInformation);

   18.         if (status==STATUS_SUCCESS)

   23.                 memset(&Buffer, 0, sizeof(Buffer));

   24.                 status = ZwReadFile(SourceFileHandle, NULL, NULL, NULL, &iosb, &Buffer, BufferSize, NULL, NULL);

   25.                 if (status == STATUS_SUCCESS)

   27.                     sha256_write(&shctx, &Buffer[0],iosb.Information);

   29.             } while ( NT_SUCCESS(status) );

   32.             memcpy(dest, &shctx.sha_out, 32);

   35.         ZwClose(SourceFileHandle);

   Также — строка пишется в файл:

   1. void WriteDataToLog(CHAR *LogStr)

   10.         ZwWriteFile (hLogFile, 0, NULL, NULL, &iosb,s, strlen(s), NULL, NULL);

   Но, видимо из-за частых операций работы с файлами — возникает BSOD (думаю, что происходят несколько попыток открытия и чтения одного файла).
   Дамп:

   2. *******************************************************************************

   6. *******************************************************************************

   8. UNEXPECTED_KERNEL_MODE_TRAP (7f)

   9. This means a trap occurred in kernel mode, and it’s a trap of a kind

   10. that the kernel isn’t allowed to have/catch (bound trap) or that

   11. is always instant death (double fault).  The first number in the

   12. bugcheck params is the number of the trap (8 = double fault, etc)

   13. Consult an Intel x86 family manual to learn more about what these

   14. traps are. Here is a *portion* of those codes:

   16.         use .tss on the part before the colon, then kv.

   17. Else if kv shows a trapframe

   20.         .trap on the appropriate frame will show where the trap was taken

   21.         (on x86, this will be the ebp that goes with the procedure KiTrap)

   23. kb will then show the corrected stack.

   25. Arg1: 00000008, EXCEPTION_DOUBLE_FAULT

   33. ***** Kernel symbols are WRONG. Please fix symbols to do analysis.

   38. FAULTING_MODULE: 804d0000 nt

   40. DEBUG_FLR_IMAGE_TIMESTAMP:  3b7de38f

   44. DEFAULT_BUCKET_ID:  DRIVER_FAULT

   46. LAST_CONTROL_TRANSFER:  from 804d6b8f to 804fc1bb

   49. WARNING: Stack unwind information not available. Following frames may be wrong.

   50. 80539160 804d6b8f 0000007f 00000008 80042000 nt!KeBugCheckEx+0x19

   51. 00000000 00000000 00000000 00000000 00000000 nt!Kei386EoiHelper+0x14d5

   54. STACK_COMMAND:  .bugcheck ; kb

   56. FOLLOWUP_NAME:  MachineOwner

   Кто сможет помочь разобраться? Буду благодарен.

2. wasm_test

   wasm test user

   Публикаций:

   0

   Регистрация:

   24 ноя 2006

   Сообщения:

   5.582

   у тебя процессор летит к еб..ням (double fault), какие там доступы

3. ksu_ant

   New Member

   Публикаций:

   0

   Регистрация:

   28 сен 2005

   Сообщения:

   273

   Вот непонятно, из-за чего это… Если нет файловых операций — все работает. А нельзя ли проверить — открыт ли уже файл с помощью функций ZwCreateFile/ZwOpenFile, чтобы не открывать его повторно? Что-то я читал про синхронный и асинхронный режимы чтения в ядре — не совсем понял. Кто этим пользовался?

4. tchunya

   New Member

   Публикаций:

   0

   Регистрация:

   13 ноя 2008

   Сообщения:

   29

   Чего перехватываем-то? Zw/NtCreateFile? Защита от рекурсивного вызова перехваченной функции есть?

5. slesh

   New Member

   Публикаций:

   0

   Регистрация:

   6 фев 2009

   Сообщения:

   214

   Нуда, как сказал tchunya возможно ты из хука вызываешь похуканную функцию в твоем случае ZwCreateFile
   и попадаешь опять же на хук и опять всё повторяется.

   Как вариант можно сделать проще:
   1) В хуке ZwCreateFile вызывать оригинальный адрес функции, чтобы файл открылся. Затем смотреть на права доступа на открытие. в твоем случае должны быть хотя бы права на чтение.
   2) Далее ты юзаешь полученный хендл для вычисления хеша файла
   3) Далее ставишь позицию указателя опять на начало файла.
   4) Принимаешь правильное действие в зависимости от полученного хеша и оригинального.
   5) возвращаешь результат (хендл)

   3 и 4 пункт могут поменяться местами, в зависимости от того что ты делаешь при проверке.

6. wasm_test

   wasm test user

   Публикаций:

   0

   Регистрация:

   24 ноя 2006

   Сообщения:

   5.582

   slesh
   Zw* вообще хукаьт не надо. хукать надо Nt*. разумеется, с защитой от рекурсивного вызова хука.

7. slesh

   New Member

   Публикаций:

   0

   Регистрация:

   6 фев 2009

   Сообщения:

   214

   2 Great тупанул, ну я и имею в виду Nt* которая в SDT

8. А чем простые нотификаторы не устраивают вроди PsSetCreateProcessNotifyRoutine, PsSetLoadImageNotifyRoutine?

9. wasm_test

   wasm test user

   Публикаций:

   0

   Регистрация:

   24 ноя 2006

   Сообщения:

   5.582

   Очевидно, он хочет иметь возможность _запрещать_ старт процесса при определенных условиях, а нотификаторы на то и нотификаторы — позволяют узнать о свершившемся факте и только.

10. x64

    New Member

    Публикаций:

    0

    Регистрация:

    29 июл 2008

    Сообщения:

    1.370

    Адрес:

    Россия

    Не совсем так. Во-первых, в нотификаторе о загрузке образа имеется возможность пропатчить образ так, чтобы его точка входа не была выполнена. Во-вторых, колбеки файловых фильтров совершенно легально позволяют запрещать создание исполняемых секций. Ну и, в конце концов, колбек на процессы в Vista SP1 и выше позволяет запрещать непосредственно создание процессов легко и непринуждённо.

11. wasm_test

    wasm test user

    Публикаций:

    0

    Регистрация:

    24 ноя 2006

    Сообщения:

    5.582

    x64
    Патчить — это как-то криво, согласись Файловые фильтры это да, но я про нотификаторы PsSetXXXNotifyRoutine говорил. И не только для Vista+, а для всех)

12. Вобще наверное рулит:
    1. нотификаторы от PsSetXXXNotifyRoutine
    2. перехват в SSDT
    3. файловые фильтры

    чем собственно аверы и владеют

13. ksu_ant

    New Member

    Публикаций:

    0

    Регистрация:

    28 сен 2005

    Сообщения:

    273

    tchunya slesh
    Именно их.
    Нет, так как писал не я и я теперь разбираюсь в проблеме. Я тоже подумал про рекурсивный вызов, спасибо за идеи, буду пробовать.

    Great
    Точно, это тоже надо.
    Всем большое спасибо, Вы подтвердили мои догадки — теперь мне проще будет думать, так как проблема локализована — буду пробовать.

Мне нужно сгенерировать файл с тегами hashfile из списка файлов, сгенерированных в одном и том же командном файле. Вот код, который у меня есть до сих пор:

@echo off
setlocal enabledelayedexpansion

:: Set the variables for this script.
set testfolder=c:testtest folder
set listfile=c:testoutputfile list.txt
set hashfile=c:testoutputhashes.txt

:: Delete any of the files that were created the last time this script was ran.
del "%hashfile%"
del "%listfile%"
cls

:: Generate a file with a list of all of the files (with path) in designated folder and subdirectories.
:: Directory and subdirectory names are not included in the list. Only files.
dir /s /b /a-d "%testfolder%" > "%listfile%"

:: Assign each line of the file above to its own variable.
set counter=1
for /f "usebackq delims=" %%x in ("%listfile%") do (
  set "line_!counter!=%%x"
  set /a counter+=1
)

:: Count the number of lines in the above file to use as a reference point.
set /a numlines=counter - 1

:: Generate an MD5 hash for each variable and write it to a file with a blank space between each.
for /l %%x in (1,1,%numlines%) do (
  certutil -hashfile "!line_%%x!" MD5 >> "%hashfile%"
  echo( >> "%hashfile%"
)
eof

Для большинства файлов, для которых я генерирую хэш файл, я получаю что-то вроде:

MD5 hash of file c:testtest folderCitrix 2.bmp:
31 34 d6 04 cd b0 4b ef a7 63 c3 e9 ae a8 3d 01
CertUtil: -hashfile command completed successfully.

Но бывают случаи, когда я получаю ошибку, например:

CertUtil: -hashfile command FAILED: 0x800703ee (WIN32: 1006)
CertUtil: The volume for a file has been externally altered so that the opened file is no longer valid.

Почему некоторые файлы должны давать эту ошибку? Как я могу удалить любую строку, которая начинается с CertUtil: поэтому у меня нет лишних строк или есть способ записать только первые две строки команды CertUtil в файл. После того, как %hashfile% находится в его окончательной форме, я хочу запустить certutil -hashfile "%hashfile% MD5 и присвоить только хэш-код переменной. Каков синтаксис для этого?