-
我想对word的文件数据读写进行过滤,试了很多方法(比如用户态hook一些ole32.dll中的函数,驱动态hook ZwReadFile和ZwWriteFile等)都没有成功,希望各位高手给以思想上和方法上的指导。如对word的工作过程很了解,给出有关word读写文件操作的原理...全文
◆
◆
-
liwashington:[quote]用户层对文件的读写不会调用到ZwReadFile/ZwWriteFile,用户层的文件读写函数,最终将影射到驱动层的NTReadFile/NtWriteFile,这实际上是个系统服务. 对文件的读写操作的过滤可以写文件过滤驱动,具体可参见FileMon 这...(2005-05-12 13:29)
-
cyliu:用户层对文件的读写不会调用到ZwReadFile/ZwWriteFile,用户层的文件读写函数,最终将影射到驱动层的NTReadFile/NtWriteFile,这实际上是个系统服务. 对文件的读写操作的过滤可以写文件过滤驱动,具体可参见FileMon 这几句没有明白,...(2005-05-11 18:38)
-
liwashington:要不是有人提起已经把这个贴子给忘了! 通过ZwReadFile和ZwWriteFile确是可以得到一些数据,但并不是全部,我用FileMon看了一下,其读写操作还是有点复杂,其中有FastIo *的操作包含了全部的数据,但并不是通过ZwReadFile和ZwWriteFil...(2005-05-11 15:55)
-
lifeship:word 对文件的写操作比较特殊。通常word会先创建一个隐藏的临时文件,对文件进行的所有修改都是对该临时文件的修改。保存时,原文件将被删除,临时文件改名为原文件。 用户层对文件的读写不会调用到ZwReadFile/ZwWriteFile,用户层的文件读写函数,最终将影射到驱动...(2005-05-11 14:44)
-
cyliu:现在在顶一下(2005-05-11 14:25)
-
cicada:我也想知道,帮你顶一下。(2004-10-27 19:12)
