-
在我的XP系统里面我hook了zwopenprocess,BSOD发生了,但同样的代码在一些机器上运行正常。我在本机装上Compuware_DriverStudio_v3.1准备调试,结果装完后又好了,但我卸载了driverstudio以后又发生了BSOD。然后我用windbg分... 全文
2007-10-24 22:25 来自版块 - 内核编程
-
在我的XP系统里面我hook了zwopenprocess,BSOD发生了,但同样的代码在一些机器上运行正常。我在本机装上Compuware_DriverStudio_v3.1准备调试,结果装完后又好了,但我卸载了driverstudio以后又发生了BSOD。然后我用windbg分... 全文
2007-10-24 09:37 来自版块 - 文件系统(过滤)驱动程序开发
-
我hook了zwcreatefile等几个系统调用,并设置了一个全局计数器,在进入函数例程的时候加一,退出的时候减一,在驱动卸载的时候判断计数器的数值,一般来说刚卸载的时候计数器的值都是大于1的,然后进行等待,有时候计数器在等段时间后会变成0,但有时候还是大于1,不管等多久还是,... 全文
2007-10-01 19:06 来自版块 - 文件系统(过滤)驱动程序开发
-
hook了zwcreatefile~每次return前系统都调用__security_check_cookie,偶尔就弹出了f7的bugscheck~然后dump~~真的不清楚是哪里的原因~还望高手指点一下呀.
2007-09-20 15:11 来自版块 - 文件系统(过滤)驱动程序开发
-
为什么以下hook代码在有些机器上会荡机?__declspec(dllimport) ServiceDescriptorTableEntry_t KeServiceDescriptorTable;//宏定义#define SYSTEMSERVICE(_function) KeS... 全文
2007-09-03 17:06 来自版块 - 文件系统(过滤)驱动程序开发
-
编译2000ddk中的sfilter后生成的驱动加载后老是进不去sfcreate例程,是怎么回事啊?不管是打开还是创建文件都进不了,相反有时候回进去,如我安装qq程序时进去了,但是里面的数据和指针都有问题,谁遇到过这种情况?忘大侠解答~~
2007-08-09 16:08 来自版块 - 文件系统(过滤)驱动程序开发
-
我使用PsCreateProcessNotifyRoutine注册了一个回调函数NotifyRoutine,在xp及2003下使用正常,可是在2000下测试的时候,进程创建工作正常,进程结束时系统就不调用我注册的回调函数了,很奇怪,望大牛解答一下.
2007-08-03 08:26 来自版块 - 文件系统(过滤)驱动程序开发
-
为什么我打开一个txt文档却既没有irp-mj-read又没有fastio-read的消息呢?还有我一个irp包能够同时有几种request吗??以下是我用filespy捕获到的~Process IRP Request IRP Flags FileObje... 全文
2007-07-09 13:09 来自版块 - 文件系统(过滤)驱动程序开发
-
//定义记录结构typedef struct ServiceDescriptorEntry { unsigned int *ServiceTableBase; unsigned int *ServiceCounterTableBase; //Used only i... 全文
2007-07-06 12:23 来自版块 - 文件系统(过滤)驱动程序开发
-
我hook了zwsetinformationfile~想在删除文件的时候对文件进行保存,在hook的函数里面调用了zwcreatefile zwreadfile zwwritefile等函数,可以startservice的时候总是说找不到指定的程序,大侠请问是什么原因呢?
2007-07-04 18:19 来自版块 - 文件系统(过滤)驱动程序开发
-
为什么我的电脑只要一启动了softice~cpu就会被一个进程占满呢?一般来说是一个叫什么lognui.exe的进程,这是什么原因呢?
2007-04-12 08:06 来自版块 - 开发工具使用
-
为什么我的电脑只要一启动了softice~cpu就会被一个进程占满呢?一般来说是一个叫什么lognui.exe的进程,这是什么原因呢?
2007-04-12 08:06 来自版块 - 文件系统(过滤)驱动程序开发
-
如果对设备禁用了,如何防止通过设备管理器将设备开启呢?如果是hookapi的话对应的是哪个api呢?
2007-04-06 12:54 来自版块 - USB驱动开发
-
请问如果对设备禁用了,如何防止通过设备管理器将设备启动呢?如果是hookapi的话对应的是哪个api呢?
2007-04-06 12:54 来自版块 - 文件系统(过滤)驱动程序开发
-
请问如何让一个可执行程序不被任务管理器杀死?
2007-03-28 09:11 来自版块 - 文件系统(过滤)驱动程序开发
-
请问如何让一个可执行程序不被任务管理器杀死?
2007-03-28 09:11 来自版块 - 黑客反汇编之 asm2c
-
请问一下能不能通过打印机过滤驱动获取本地打印机需要打印的数据呢?
-
请问如何在驱动层知道下层储存设备是USB设备呢?
2007-03-12 11:16 来自版块 - 文件系统(过滤)驱动程序开发
-
FILEMON在动态加载过程中使用了 hDevice = CreateFile( completeDeviceName, GENERIC_READ | GENERIC_WRITE, ... 全文
2007-03-06 11:34 来自版块 - 文件系统(过滤)驱动程序开发
-
最近在写一个后台服务,请问一下在没有窗口的应用程序中该怎么捕获usb存储设备插入计算机的消息呢?
2007-03-06 09:01 来自版块 - 文件系统(过滤)驱动程序开发
