-
我做的NDIS HOOK ,在NDISReceivePacketHandler中已经可以拦截到数据;我想在里面修改数据,但是没有成功,所以,我想先第一步把数据复制出来,然后创建一个自己的PACK,然后调用真实的ReceivePacketHandler函数发送给上层;但是这样还是上... 全文
2012-09-26 22:19 来自版块 - NDIS网络接口开发
-
如题,求能查看NDIS HOOK的工具,查看本机是否存在NDIS HOOK;类似于这个工具;http://huaidan.org/archives/711.html这个工具无法下载了;
2012-06-25 17:11 来自版块 - NDIS网络接口开发
-
请问磁盘过滤驱动在测试时,应该选择什么样的类型;未知,还是内核过滤(kernel filter)、或者硬盘驱动(storage->hard disk drive(HDD))谢谢,请指点一下。
-
请问一下,MmMapIoSpace,这个函数进行地址空间的映射,是不是安全的。。意思是说:假设我映射了地址为:0x123,长度为:4m的空间,在没有调用MmUnmapIoSpace这个函数以前,是不是其它进程、线程,尝试映射这个区域都会失败?谢谢主要是听说这个函数不安全,可能会被... 全文
2011-01-28 15:41 来自版块 - 内核编程
-
我做了一个磁盘过滤驱动,其中需要写磁盘扇区,使用以下代码,在XP中可以正常工作,但是在WINDOWS 7下,代码一直等待;停止在红色部分NTSTATUS WriteDiskDataEx(PDEVICE_OBJECT dev, LARGE_INTEGER offset, PUCHA... 全文
2011-01-18 18:25 来自版块 - 内核编程
-
不知道我上面的形容准确不,我使用DDK编译时,输入build,编译如果有错误,会显示如下:1、错误的行号前,会有一个1> 101> 100>之类的东西;2、错误会重复二次;虽然这个不影响使用,但是这样放在这里,总是让人觉得不太好;请各位高手帮帮忙;谢谢。。刚上... 全文
2010-05-15 20:04 来自版块 - ABC初学者
-
请各位老大,那个帮我看看,我如何找到一个分区中的MFT文件所在的位置以及长度。。。要死人了。。帮帮我。。谢谢。。各位老大。。。
2008-10-13 19:34 来自版块 - 文件系统(过滤)驱动程序开发
-
我用WINOBJ,打开设备的属性时,有一个安全标签,可以设置这个设备的安全权限,请问一下,这个是如何实现的..谢谢请各位指点一下,或者说提示一下用了什么函数,我在网上找了半天,也没有找到.
2008-06-06 14:20 来自版块 - 内核编程
-
最近出来了一个非常厉害的毒,利用的是脱链..按我的理解,磁盘过滤驱动,不可以动态的卸下,就应该说无法脱链.但是他却是做到了..用devicetree查看时,发现磁盘过滤驱动全部不在了.上传上,我找出来的驱动,希望有高手可以帮忙看一下.有没有办法不让他脱链呢.谢谢 [附件] [附件]
2008-05-26 11:44 来自版块 - 黑客反汇编之 asm2c
-
小弟初学这个,看不明白.以前看过的例子只有HTTPDISK中的..那个太简单了.在网上下载到PCAUSA的例子,看了一下,一大堆,根本找不出来那个是TDI CILENT的例子.我只要在驱动中可以调用,进行TCP连接,发送数据,接收数据,断开连接.这几个操作就行了..麻烦各位老大指... 全文
2008-05-18 13:52 来自版块 - NDIS网络接口开发
-
我利用HTTPDISK源程序中的TDI来连接网络.一切都正常.当使用SEND发送数据时,如果数据长度大于等于512,这时就会出错.SEND这个函数当时会正常返回,但是当前的TCP连接会自动断开.当下一个操作(不管是发送,还是接收)都会出错.通过跟踪另一端服务器时,发现服务器接收驱... 全文
2008-05-18 01:46 来自版块 - NDIS网络接口开发
-
我要在驱动中,保护一段数据的访问.要保证访问这个数据时,只有一线程在访问.(多CPU平台)请问应该用自旋锁还是互斥.我看一些书上介绍说,自旋锁是用于多CPU平台上保护一段数据的只有一个线程访问的.那么,是不是说互斥,在多CPU平台上,并不能实现这样的功能呢?还是二者是等价的..谢... 全文
2008-03-05 11:31 来自版块 - 文件系统(过滤)驱动程序开发
-
首先祝各位朋友,新年快乐再请教问题:我的一个驱动,运行于单CPU下时,正常,双CPU时就死机。我检查后发现,在改写一个关键的全局变量时,没有做同步,估计就是这里的问题。请问一下,在双CPU下,如何进行同步。。。提个大约方向就行。谢谢。。或者告诉几个关键函数。
2008-02-12 18:22 来自版块 - 文件系统(过滤)驱动程序开发
-
拦截格式化操作我用diskperf做的一个磁盘过滤驱动,拦截指定分区,禁止他写。这时,我对其进行格式化。却可以成功。case 0: case IOCTL_DISK_CHECK_VERIFY: case IOCTL_STORAGE_CHECK_VERIFY: ... 全文
2008-01-31 10:43 来自版块 - 文件系统(过滤)驱动程序开发
-
我想把我写的一个驱动程序加密,应该如何做呀。好像市面上没有这样的软件。。请大家推荐一下。。谢谢。。我本来找到一个。VMProtect,加密时,出现这个问题,我怎么解决 呀。Q: 当我保护驱动文件时,弹出对话框“区段 .text 处于新区段的头部”,这个问题该如何解决?A: 您需要... 全文
2008-01-23 13:24 来自版块 - 驱动及应用程序安装程序制作
-
我从朋友处得到一份,测试了一下,可以在还原保护状态下直接写磁盘再分析了一下,发现,加载了一个驱动,通过驱动写的,用devicetree查看,这个驱动连一个设备都没有创建,什么都没有。太奇怪了。也不是用的一般方法,直接写\\Device\\Harddisk0\\DR0。。找不出他是... 全文
2008-01-19 12:33 来自版块 - 反流氓、反木马和rootkit
-
我弄了一个文件过滤驱动,监视一个指定的目录,如果这个目录中,有数据发生了更改(写),就记录下来.方法是:建立一个同名的目录,把当前改变的文件的内容,记录在这个同名目录下的同名文件中我做出来后,测试复制,改写后保存,都是正常的.现在遇上二个问题:1、新建一个文件时(比如:新建exc... 全文
2008-01-01 22:03 来自版块 - 文件系统(过滤)驱动程序开发
-
我写了一个小的文件过滤驱动,作用是把当前写的这个文件的内容保存下来.现在能成功取到写的内容了.不过,输出的长度好像长于当前的内容.我在保存时,写文件总是不成功,提示错误0xc00054代码如下:请各位帮我看一下.谢谢.._inline NTSTATUS SaveFile (UN... 全文
2007-12-30 13:47 来自版块 - 文件系统(过滤)驱动程序开发
-
我做了一个磁盘过滤驱动,按簇进行的读写跳转,达到还原的目的.一切正常...还算比较可以..但是因为速度太慢了,我就想,如把分块定为几个簇,就容易了.所以,我定为8个簇读写一次.因为,BITMAP文件中一个字节表示8个簇,这样方便..其它代码基本不变.同样处理不满8个簇的情况和记录... 全文
2007-12-21 17:21 来自版块 - 文件系统(过滤)驱动程序开发
-
当系统一次调用这个例程时,如果说这个例程还没有完成,系统有没有可能,再次调用....举例:我有一个磁盘过滤驱动在IRP_MJ_READ这个例程中,有一百行代码,现在刚好执行到50行,但是并没有返回,也没有等待,正在向下执行。系统有没有可能刚好在这个时候,又调用这个例程呢。。。。如... 全文
2007-12-18 21:10 来自版块 - 文件系统(过滤)驱动程序开发
