zhangleierli的个人空间

zhangleierli： 天书夜读的反汇编部分有一段代码不能理解，求救！

下面是发行版3*3矩阵相乘的反汇编。int myfunction(int a[3][3],int b[3][3],int c[3][3]) { int i,j; for(i=0;i<3;i++) 00401000 mov eax,dword ptr [es... 全文

2008-11-23 07:50 来自版块 - 内核编程

zhangleierli： 保存在filedisk虚拟盘文件内的内容，能不能扒出来？

用filedisk生成虚拟盘，存入一个word文档，关闭虚拟盘后，我从这个虚拟盘文件中能扒出这个word文档么，或者说是从这个文档中扒出一些信息也行，可以做到么？

2008-03-10 10:30 来自版块 - 文件系统(过滤)驱动程序开发

zhangleierli： hook NtCreateUserProcess链接时出错！

hook了ZwCreateUserProcess ， 也在程序内声明内，可是链接时还是没有找着。怎么解决啊，我用的是WDK编译的。

2008-02-29 14:46 来自版块 - 内核编程

zhangleierli： 灵异现象！所有https网页都不能打得开？

机器不知道是中毒了，还是怎么回事，所有https网页都不能打得开，比如淘宝需要付钱的网页，网上银行等，都打不开，还有QQ游戏，浩方等也登不上去。有解决办法么，我已经把机器用GHOST恢复到刚装系统时的状态了，还是一样。重新安装系统也试了不行，换了个路由器试了也不行，但是同一网内的... 全文

2008-02-27 12:28 来自版块 - 内核编程

zhangleierli： 有什么函数能把\device\harddiskvolume1转为c:这种形式？

从文件句柄里能得到文件的路径，但是盘符是用\device\harddiskvolumeX\ 表示的，我想把它转为c:这种形式，以让应用层来使用。有转换的函数或方法么？

2008-02-22 14:44 来自版块 - 文件系统(过滤)驱动程序开发

zhangleierli： 死锁的症状是不是死机？

我在hook的函数里等待应用层传来的事件，然后由应用层来设置这个事件，现在程序运行一会就死机了，不知道是不是因为多次进入hook函数造成等待同一事件多次。

2008-02-21 15:39 来自版块 - 文件系统(过滤)驱动程序开发

zhangleierli： 通过deviceioctrl传入应用层函数的地址入内核，地址为何会变？

我在尝试用apc回调ring3函数， 通过deviceioctrl把应用层回调函数传入驱动后，发现得到的地址和在应用层看到的值不同。

2008-02-20 18:32 来自版块 - 内核编程

zhangleierli： 驱动有什么方法发送数据到应用层？

应用层发给驱动是用deviceiocntrol，这个我知道。现在我想在驱动内拦截一些函数，把得到的信息传给应用层程序，由应用层决定是继续执行拦截的函数，还是拒绝访问。就像卡巴斯基做的一样有个交互的过程。不知道用什么机制能够把信息传给应用层，请大侠们指点。

2008-02-19 12:31 来自版块 - 文件系统(过滤)驱动程序开发

zhangleierli： 有什么方法能把驱动里检测的数据传给应用层?

我hook了zwcreatesection想把每次检测到到exe路径传给应用层。等应用层做出回答后，驱动内再继续走下。现在不知道这块怎么实现。能否指点下。

2008-02-19 10:33 来自版块 - 内核编程

zhangleierli： exe和dll的加载，应该拦截哪些函数？

只要应用层hook了 CreateProcess和LoadLibiary ，这种局限性太大，而且LoadLibiary只能拦到动态加载的dll。在内核下应该拦截哪些，请大侠们指教

2008-02-15 15:51 来自版块 - 内核编程

zhangleierli： 根据文件句柄有什么函数能判断是否是根目录？？

如题。

2008-01-24 13:56 来自版块 - 文件系统(过滤)驱动程序开发

zhangleierli： IoCreateDevice创建的设备Flag 默认是 DO_BUFFERED_IO 吗？

看了FileMon的代码，开始创建自己的控制设备，没有设置Flag， 在Dispatch函数里，接受的数据用的是Irp->AssociatedIrp.SystemBuffer 。我搜索了一下整个代码都没有DO_BUFFERED_IO，是不是创建完一个设备后，默认就是DO_B... 全文

2008-01-18 14:46 来自版块 - 文件系统(过滤)驱动程序开发

zhangleierli： 懂汇编的来看下求PTE,PDE的算法

MOV EAX, ESIAND EAX, 0xFFFFF3FFSHR EAX, 0ASUB EAX, 40000000MOV EAX, ESIAND EAX, FFCFFFFFSHR EAX, 14SUB EAX,3FD00000当 ESI 寄存器的值为一个虚地址时，这两段代码分... 全文

2008-01-16 10:13 来自版块 - 内核编程

zhangleierli： local dos device namespace，global dos device namespace ???

我在filedisk驱动内创建的dos device name，用winobjex看是在session目录下，也就是说在当前登录用户的local dos namespace, 为什么在“我的电脑”里看不到盘符。而在应用层用DefineDosDevice创建的dos device ... 全文

2008-01-12 22:31 来自版块 - 内核编程

zhangleierli： miniport驱动的框架和WDM有什么区别阿？

另外那有miniport驱动学习的教材？

2008-01-10 18:00 来自版块 - 内核编程

zhangleierli： CR3寄存器里存的是物理地址还是虚拟地址？

刚刚看了undocument NT 里面描述的不清楚。我的理解是CR3 存放的是页目录的物理地址。系统发生进程切换时，会把相应的页目录的物理地址存入CR3寄存器 ？？，并把4K的页目录内容映射到0xC0300000 ？？4K的页目录里存放的是页表的物理地址？然后再根据这些物理地址... 全文

2008-01-04 18:28 来自版块 - 内核编程

zhangleierli： ultraedit修改了驱动内的一个字符串后，驱动无法加载。加载时会有MD5校验？

闲来无事，把以前写的一个隐藏文件驱动内的字符串换成了别的字串，本以为可以隐藏我改过的文件。结果驱动加载不能加载了，想不明白啊 。

2007-12-26 13:13 来自版块 - 内核编程

zhangleierli： 驱动在一个组内的加载顺序如何能看的出来？？

我看到有很多驱动分成了很多组，组与组之间的依赖在注册表下能看得出来。可组内各驱动加载的顺序怎么来看？

2007-12-21 18:02 来自版块 - 内核编程

zhangleierli： 加入#include <ntifs.h>编译不能通过？

程序#include <ntifs.h>, 会有一大堆编译错误，我在source文件里加上INCLUDES=$(BASEDIR)\inc\ifs\wnet这句就没问题了。可我看sfilter的source里也没有这句，直接#include <ntifs.h>... 全文

2007-12-21 13:51 来自版块 - 内核编程

zhangleierli： MountPointManager这个设备有什么作用？

请教大虾们，这个设备是不是给mount出来的设备建立符号连接用的？

2007-12-07 16:21 来自版块 - 内核编程