-
请教,关于然后绕过文件驱动访问文件的?请教,比如系统的NTFS。SYS Dispatch Routine被HOOK 后不让访问A文件了,那么如何才能绕过他访问文件,是否可以直接发IRQ给更下面的驱动读文件呢?比较DISK。SYS等,不太明白请指教,谢谢。
◆
◆
-
killvxk:如果是要在disk层分析文件系统就可以了(呵呵) 如果要RAW IO,那么还得继续向下一层~(2007-01-17 21:06)
-
dtod:恩,谢谢 麻烦再请教下 关于我了看 NT代码 和您说的 参考 REACTOS 的,是否看DISK。SYS是怎么实现的 有可能自己实现他的就可以的是吗,谢谢。(2007-01-17 20:42)
-
WQXNETQIQI:引用第10楼wowocock于2007-01-17 20:27发表的“”: 绕过被HOOK 了的Dispatch Routine还有INLINE HOOK在后面等着,所以最好自己实现,至少在文件系统层,应该可以.DISK属于类驱动,应该也问题不大,不过再往下就难说了. 恢复恢复,...(2007-01-17 20:30)
-
wowocock:绕过被HOOK 了的Dispatch Routine还有INLINE HOOK在后面等着,所以最好自己实现,至少在文件系统层,应该可以.DISK属于类驱动,应该也问题不大,不过再往下就难说了.(2007-01-17 20:27)
-
dtod:再次谢谢wowocock 看了看NT的文件系统的代码 ,自己实现真是有点困难
对了, 看到有人提到 ”关于直接发送IRP给NTFS“这个方法也可以有办法绕过被HOOK 了的Dispatch Routine的而成功的 想IS1.8以后那样的 ,是否这个方法也是可以的?(2007-01-17 20:11)
-
wowocock:参考REACTOS,资料很全啊,还有那么多___NIX系列的开原OS,能参考的资料太多了......(2007-01-17 19:46)
郁闷,谢谢KILLVXK了
-
dtod:谢谢 WQXNETQIQI 和 wowocock 的 wowocock 所说的也是我想了很久想实现的,请各位 给一点点资料什么的只要一点就可以,可是现在一点不知该从哪着手的
?(2007-01-12 13:29)
