zxm1983123的个人空间

zxm1983123： 请问如何安装lower usb storage filter？

usb 盘插入系统中时，usbstor.sys驱动会为其创建一个设备对象，老板的要求是做一个filter，当U盘插入，usbstor为其创建一个设备对象时，filter也创建一个设备对象attach在usbstor创建的设备对象之上，监视对U盘的读写。虽然DDK的toaster里... 全文

2008-01-17 03:27 来自版块 - USB驱动开发

zxm1983123： 请各位老大帮我看看这个USB filter的方案是否可行

我需要监控对一个USB盘的读写，这个USB盘没有文件系统，因此不能通过文件系统filter来做，我想通过USB filter来做。监控主要是不让非法的程序读写这个盘。请问各位这样做是否可行。 如果可行，在DriverStudio的向导里面，需要选择的驱动类型是WDM Dri... 全文

2008-01-13 21:55 来自版块 - USB驱动开发

zxm1983123： 哪位有toolflat大侠透明文件加密sfilter的代码？

在“本版2006丢失帖子附件集中下载帖“中找到一个tooflat透明加解密增加RC4算法_源码.rar的代码，编译之后在xp系统中有问题，系统很慢。哪位你给一个toolflat的sfilter的原版代码到我的邮箱全文

2008-01-07 20:21 来自版块 - 文件系统(过滤)驱动程序开发

zxm1983123： 异步IRP的问题

请问一下，在文件系统过滤驱动中过滤IRP_MJ_READ,然后检查读到的数据，驱动中这样写： IoCopyCurrentIrpStackLocationToNext( Irp ); IoSetCompletionRoutine( Irp, ... 全文

2007-09-26 14:11 来自版块 - 文件系统(过滤)驱动程序开发

zxm1983123： 系统服务被调用时，能否知道是哪个进程的哪个模块调用的？

比如a.exe调用CreateFile()函数，最终会调用到系统服务NtCreateFile()，有没有方法知道这个系统服务是由a.exe调用的？

2007-08-07 14:14 来自版块 - 反流氓、反木马和rootkit

zxm1983123： 怎么将virtual memory提交到物理内存？

在我的驱动程序中，我想读其它驱动中的指令，该驱动已经加载，但是如果它只加载在virtual memory中，也就是用MmIsAddressValid（）函数判断该地址是无效的，怎样可以命令系统将包含指令的页面从virtual memory中读到物理内存中？

2007-07-06 20:38 来自版块 - 反流氓、反木马和rootkit

zxm1983123： 对于几个字节的二进制指令，有没有什么工具反汇编的？

例如\x85\xC0\xB9\x4E\xE6\x40\xBB\x74\x04\x3B\xC1，明确知道这是几条x86机器上的汇编指令，怎么快速找出它对应的指令？不会要去查Intel的手册把？

2007-07-03 20:44 来自版块 - 病毒技术分析

zxm1983123： QQ2007beta2怎么放弃了npkcrypt键盘保护？怎么回事？

一直在研究QQ键盘保护技术，2005beta3版本之前，QQ没有采用特别的键盘保护技术，用消息钩子即可以得到QQ密码．2005beta3之后的版本采用了韩国的NP键盘保护技术，这种技术虽然不是无懈可击，但是还是可以防范一些低水平的盗号程序，但是在2007beta2版本中，不在有N... 全文

2007-06-19 14:37 来自版块 - 特洛伊之木马故乡

zxm1983123： NDIS中间层驱动能够拦截所有的数据包么？

NDIS是否能够拦截所有的数据包？也就是说是否经过了网卡的数据包就一定会经过NDIS中间层过滤驱动？

2007-05-14 10:57 来自版块 - NDIS网络接口开发

zxm1983123： 挂接键盘中断的一个问题

我把键盘中断最前面几个指令改成 了一个jmp指令跳到了自己的一段程序，然后在自己的这段程序中in al ,60h读出了键盘接口中的扫描码．接着再跳回到键盘中断去（之前执行了被jmp替代了的那几个指令）．出现的问题是键盘输入不了数据了．是不是因为我把０Ｘ６０端口中的数据读出了，... 全文

2007-04-25 09:06 来自版块 - 特洛伊之木马故乡

zxm1983123： 对qq键盘保护技术感兴趣的一起讨论讨论把

qq从2005beta3版本中加入npkcrypt.sys这个驱动后，就不能用键盘钩子的方式来截获它的密码了，我网上看到有位仁兄说这个驱动中实际采用的是挂接了键盘中断，我用softice，windbg看了好久，也没有发现中断被更改的迹象，哪位对这个方面比较有研究的，一起讨论讨... 全文

2007-04-11 21:47 来自版块 - 特洛伊之木马故乡

zxm1983123： IRP_MJ_DIRECTORY_CONTROL的处理函数导致文件夹打不开

我打算用sfilter的代码来实现文件的隐藏，打算在sfilter的基础上修改，因此加入以下一些代码，对DIRECTORY_CONTROL的IRP请求进行过滤，函数中基本什么也没有做，就是设置IRP的完成函数，传递，等待返回。但是加载这个驱动后，点任何文件夹的时候，文件夹的窗... 全文

2007-03-23 19:25 来自版块 - 文件系统(过滤)驱动程序开发

zxm1983123： 如何找到设备链中最底层的设备

大家看下下面这个代码RtlInitUnicodeString(&uniNtNameString,L"\\Device\\Tcp");status = IoGetDeviceObjectPointer( IN &am... 全文

2007-01-16 21:24 来自版块 - NDIS网络接口开发

zxm1983123： 关于TDI Attach的问题

如果在将TDI 设备挂接到TCP/IP设备上之前?已经有一个设备(比如一个过滤驱动)挂接到它上面了.我们的设备发出的每个请求都会经过这个设备过滤.有没有什么方法可以直接将我们的设备挂接到TCP/IP设备上的?使之前的过滤设备都无效?我看windows 防火墙与封包截获那本书上... 全文

2007-01-13 13:17 来自版块 - NDIS网络接口开发

zxm1983123： 初学TDI的一点经验,与大家分享一下

前一段时间开始学习TDI驱动,参考的资料是楚狂人的那本经典的<<Windows_TDI过滤驱动开发>>以及开源的tdifw防火墙.对于我们这些从来没有接触过驱动开发的人来说,虽然楚狂人的书写的很详细,很有指导性,但是由于自身不具备很多基本的概念,比如I... 全文

2007-01-07 19:58 来自版块 - NDIS网络接口开发

zxm1983123： 请教关于那个开源的tdi_fw防火墙的配置文件tdifw.conf的更改问题

看tdi_fw里面的说明说要更改设置就要改tdifw.conf中的设置,我现在想让我的IE上网,我做了如下修改[_main_]_default_=custom localnet localhost%SystemRoot%\system32\telnet.exe=allow_a... 全文

2007-01-05 14:36 来自版块 - NDIS网络接口开发