-
我在察看d347prt.sys时发现其没有调用任何操作文件的kernel api,那么它是怎么读写文件的呢,还有我在分析其sys文件时,发现在处理SRB_FUNCTION_EXECUTE_SCSI时,直接call d347bus.sys中的函数(函数地址保存在d347prt.sy...全文
◆
◆
-
liuyan1:[quote]两位老大功力深厚,能不能顺便看看daemon-tools是怎么模拟*.mds镜像文件后面的DPM信息的。 因为以前2家合作嘛,当然可以直接用对方的源代码啦 [/quote] ranyyang2000老大,我一直都以为daemon 跟alcohol是一家人呢...(2005-01-25 12:20)
-
rayyang2000:两位老大功力深厚,能不能顺便看看daemon-tools是怎么模拟*.mds镜像文件后面的DPM信息的。 因为以前2家合作嘛,当然可以直接用对方的源代码啦(2005-01-19 20:16)
-
amfands:看看(2005-01-08 17:59)
-
cxl7980:两位老大功力深厚,能不能顺便看看daemon-tools是怎么模拟*.mds镜像文件后面的DPM信息的。小弟也反汇编了好几个deamon的版本的sys,已及酒精的sys,但苦于功力浅薄没找到有用的信息。确实发现他们许多操作都在buf.sys中进行了,有ZwCreate,ZwClo...(2005-01-08 10:43)
-
liuyan1:Daemon-tools 新版本好象是采用的内核内存影象文件的方式影射文件的。因此找不到zwreadfile(2005-01-08 00:50)
-
tooflat:好像call dword_xxxx的时候是工作在DISPATCH_LEVEL上的(记不清楚了,周一再反汇编看看),ntreadfile可以工作在该级别上吗?(2005-01-07 23:20)
-
liuyan1:应该是有调用,daemon-tools 现在的版本把大部分的处理都写入d347bus.sys中,采用callback回掉函数构件成一个自己定义的miniport 结构.在d347bus.sys中Zw**file函数的导入表是动态生成的,故静态反汇编的时候不能看见其名称. 比如C...(2005-01-07 22:05)
