looksail的个人空间

looksail： 如何在内核中判断DLL注入?

1。如何判断DLL是注入的?2。如何在Create中判断这个IRP是哪个DLL发起的?

2008-01-13 11:17 来自版块 - 文件系统(过滤)驱动程序开发

looksail： 请问Vista64位下还能APIHOOK吗？

由于没有环境，请问一下应用层的api hook,不管是IAT钩子或者是Detours之类的哪位在Vista64位尝试过？谢谢

2007-12-08 00:16 来自版块 - 内核编程

looksail： 驱网的搜索算是废了，只能搜索3个月内的，郁闷

高级会员没有启过什么用，就是论坛的搜索还可以找点东西，现在基本上找不到东西了，极度郁闷，唉

2007-11-26 10:14 来自版块 - 文件系统(过滤)驱动程序开发

looksail： PEPROCESS结构很奇怪吗?编译不过去?

VOID Test(){ PEPROCESS PS = PsGetCurrentProcess(); PLARGE_INTEGER ProcessCreateTime=&PS->CreateTime; ...}编译错误error C2037: le... 全文

2007-11-24 23:59 来自版块 - 文件系统(过滤)驱动程序开发

looksail： 卸载驱动问题DRIVER_UNLOADED_WITHOUT_CANCELLING_PENDING_OPERATIONS

XP下动态卸载驱动时，DriverUnload里面的ASSERT(gControlDeviceState == CLOSED);会提示，忽略掉可过去再次加载驱动就会DRIVER_UNLOADED_WITHOUT_CANCELLING_PENDING_OPERATIONS，应该怎么... 全文

2007-11-19 15:08 来自版块 - 文件系统(过滤)驱动程序开发

looksail： free编译的驱动不能卸载? "请求的控件对此服务无效"

我试了原始的sfilter和filespy编译free后都是一样，无法卸载，用了几个驱动加载卸载工具都是一样的例如用了 osrloader ，加载都成功，卸载就说"请求的控件对此服务无效"，而check编译的就没事，这是怎么回事?

2007-10-26 15:41 来自版块 - 文件系统(过滤)驱动程序开发

looksail： 用Free编译但是调试信息还是输出来了，怎么弄

我把不论Check还是Free都要输出的调试信息用DbgPrint只想在Check里面看不想在Free里面看的用KdPrint但是编译成Free以后，用DbgView看到2种调试信息都输出来了，请问该怎么弄

2007-10-24 22:04 来自版块 - 文件系统(过滤)驱动程序开发

looksail： 什么是分层的文件系统?

文件驱动这块，文件系统、文件过滤都容易明白在OSR上看到分层的文件系统这个概念，不是很理解在MS提供的示例源代码里面也没有看到类似的东西哪位能够解释一下，说下是怎么开发的，和现有的文件系统、文件过滤有什么区别

2007-09-15 10:22 来自版块 - 文件系统(过滤)驱动程序开发

looksail： FCB == 0意味着什么? (已经明白了,问题结束)

搞不懂这是什么意思

2007-09-13 18:17 来自版块 - 文件系统(过滤)驱动程序开发

looksail： 为何清理缓存成功,检测却发现文件还在缓存状态?

在CleanUp里面,CcFlushCache,然后判断需要清理就CcPurgeCacheSection,得到返回True清理成功但是再用CCFileIsCache检查却发现文件还在缓存状态,这是为何?

2007-09-12 12:52 来自版块 - 文件系统(过滤)驱动程序开发

looksail： 如何识别PIPE\srvsvc

在网络文件过滤中老是发现PIPE\srvsvc和PIPE\\wkssvc干扰，请问如何不通过文件名称来判断这些管道类的东西?

2007-09-08 21:51 来自版块 - 文件系统(过滤)驱动程序开发

looksail： 发IRP读网络文件返回STATUS_ACCESS_DENIED

在Create历程里面发IRP读网络文件，经常发现返回 STATUS_ACCESS_DENIED 或者 STATUS_INVALID_HANDLE这是什么原因，拿到了FileObject，然后发IRP读都不行，那该怎么办呢?

2007-08-07 18:37 来自版块 - 文件系统(过滤)驱动程序开发

looksail： OSRONLINE上面的NTFSD是不是封锁了中国的IP搜索?

OSRONLINE上面的NTFSD里面现在用任何关键字都搜索不到东西了？用任何关键字都是No documents match the query.是不是封锁了中国的IP搜索?

2007-08-01 18:32 来自版块 - 文件系统(过滤)驱动程序开发

looksail： 为什么我昨天回复过的一个贴子给删除了，??????????????

昨天在这个版块回复过一个贴子，贴子主题是什么和狂人的对话，当时有2个回复了，今天来看，死活找不到了这里的论坛有问题，还是被删掉了，为什么?甚为不解,难道仅仅在于我说了几句实话吗?

2007-07-24 11:38 来自版块 - 文件系统(过滤)驱动程序开发

looksail： Windbg如何通过网线双真机调试，不用虚拟机

Windbg + Vmvare 是现在正用的方法，为了验证一些东西，需要用真机调试，可是看到都是1394、USB、com等接口，怎么通过网线连接调试 ? 我搜了一大通也没有找到答案

2007-06-15 22:17 来自版块 - 文件系统(过滤)驱动程序开发

looksail： OSR的FileSpy有无源代码 ? 里面有个奇怪的东西不知道是什么

如图片，请问OSR上的FileSpy里面的最下面的这个 Transaction Request 是什么东西啊，有没有源代码可以看一下. OSR_FileSpy 是如何拦截到 Transaction Request 的，谢谢

• 

2007-06-08 10:56 来自版块 - 文件系统(过滤)驱动程序开发

looksail： Lanman文件，缓存在哪边，如何得到NOCACHE的IO

A机通过 Lanman 访问远程B计算机的共享 文件夹，那么Cache在哪一边我测试发现很乱，特别是从 A 机修改 B 机的文件，很多情况下在A机只能看到CACHE的Write，而看不到NOCACHE的Write，我用 FileSpy.exe 做的测试，并没有加载其他任何驱动程序... 全文

2007-05-29 19:58 来自版块 - 文件系统(过滤)驱动程序开发

looksail： 能否在驱动里使用C++的类，驱动里面如何分模块分工合作

又来请教，问些常规问题1。能否在驱动里使用C++的类 实在不想把用了很久的类拆开成C的，好烦好累2。在应用层可以通过dll(常规、扩展、COM等)的方式来实现多人的分模块的分工合作，多人之间也可以保证一定的代码保密性 在驱动里面有没有什么好的方法多人分工合作?

2007-05-24 10:52 来自版块 - 文件系统(过滤)驱动程序开发

looksail： 如何加锁、等锁、解锁文件 ?

我的Filter在Create之后需要 读、写 文件的内容，在单线程的情况没有问题在Create之后得到FileObject然后发Irp去Read、Write但是我的测试程序一旦发起的线程多了，读写就会返回STATUS_FILE_LOCK_CONFLICT 。有时几十个线程可以，... 全文

2007-05-19 17:04 来自版块 - 文件系统(过滤)驱动程序开发

looksail： (已解决，谢谢) BugCheck NTFS_FILE_SYSTEM

NTFS_FILE_SYSTEM (24)我对Sfilter作了些改动，一旦我长时间不操作(10分钟后)，就出现这个，摸不着头脑遇到过的朋友指点一下，谢谢

2007-05-10 22:25 来自版块 - 文件系统(过滤)驱动程序开发