trent的个人空间

trent： TDI 过滤 ，传说中的问题

楚狂人教材里：一个传说中的问题有一个传说中的问题，那就是netbt这个设备发送TCP数据的时候，无法被我们的TDI过滤驱动过滤到。尽管我们前面已经过滤了TDI_SEND。netbt是Netbios Over Tcp/Ip，是用于计算机名字解析，对于想监控网络邻居的安全系统非常重要... 全文

2013-05-28 11:07 来自版块 - NDIS网络接口开发

trent： TDI hook 创建IRP导致 NO_MORE_IRP_STACK_LOCATIONS问题

使用TDI hook参考tdifw代码：。。。query_irp = TdiBuildInternalDeviceControlIrp(TDI_QUERY_INFORMATION, devobj, irps->FileObject, NULL,... 全文

2013-05-20 16:42 来自版块 - NDIS网络接口开发

trent： TDI hook 是否支持Windows 2008

Hook \\Driver\\Tcpip 在2008下能成功，但没用，网上是说要hook tdx，没更详细信息。有了解的吗？谢谢

2013-04-27 09:59 来自版块 - NDIS网络接口开发

trent： 好久没来了，灌个水

灌一贴，好像水版都是新人了

2007-01-31 22:25 来自版块 - 疯狂灌水&& 人生 &&娱乐

trent： PsSetCreateProcessNotifyRoutine

我用PsSetCreateProcessNotifyRoutine监控进程的启动和运行： 第一次运行能监控到，但以后再运行同一个路径下同一个的话就监控不到了，不知大伙如到过同样问题没？改名后运行好像也有问题，显示的是改名前的名字！ 我是在正版的XP SP2 HOM... 全文

2005-06-21 18:03 来自版块 - 文件系统(过滤)驱动程序开发

trent： 一个蓝屏的问题

作了一个安装包，安装完了以后重启机器偶尔会出现蓝屏，dump出来的信息是未知硬件错误。进安全模式也起不来。所以我怀疑是不是某个sys安装有问题。安装程序本身就是拷贝些文件，没有特别的操作，但是安装调用了DAO3.5，MDAC2.8和水晶报表的安装程序。所以我怀疑是DAO3.5，M... 全文

2005-06-01 15:01 来自版块 - ABC初学者

trent： 借人气问个问题

作了一个安装包，安装完了以后重启机器偶尔会出现蓝屏，dump出来的信息是未知硬件错误。进安全模式也起不来。所以我怀疑是不是某个sys安装有问题。安装程序本身就是拷贝些文件，没有特别的操作，但是安装调用了DAO3.5，MDAC2.8和水晶报表的安装程序。所以我怀疑是DAO3.5，M... 全文

2005-06-01 14:56 来自版块 - 疯狂灌水&& 人生 &&娱乐

trent： 识别文件打开是执行还是别的操作

在FILEMON 的 IRP_MJ_CREATE调度处整样判断可执行文件打开操作是否是被执行还是别的操作呢?是通过相关的FileObject里的标志位还是别的东西!我找到FILE_EXECUTE这个标志但不知对应的标识放在哪的?有知道的请多多指点!

2005-05-31 10:30 来自版块 - 文件系统(过滤)驱动程序开发

trent： 问题

问题是这样的:我在FILE FILTER DRIVER 中用ZwSetInformationFile对一个文件进行重命名操作: 对英文名是没有问题的, 但对中文就不行了,函数调用是成功的,只是显示的是乱码,后坠是对的, 譬如:C:\\新建 文本文档1.txt 改... 全文

2005-02-22 13:07 来自版块 - 文件系统(过滤)驱动程序开发

trent： 关于6位QQ号的骗局

以下内容为转贴[警告]关于一些免费申请6位QQ和美女脱衣视频的骗子伎俩前些时候一些垃圾网站纷纷打出了‘登陆QQ.la**.Cn，免费获赠QQ币’的骗子手法，使一些初级网民抱着免费所得的心态，一时间满世界的垃圾信息满天飞，受骗用户通过虚假连接越来越多。分析表明，这可能是该网站为了提... 全文

2005-02-13 14:03 来自版块 - 疯狂灌水&& 人生 &&娱乐

trent： 驱动网用firefox浏览回复不了帖子阿，提示密码错误

:( :( :( :([编辑 - 2/12/05 by trent]

2005-02-12 00:16 来自版块 - 疯狂灌水&& 人生 &&娱乐

trent： 问题：保存注册表

大家新年好： 问大家一个问题： 我在注册表的HKEY_LOCAL_MACHINE\SOFTWARE下新创建了一个主键，我想知到这个值被保存到哪个文件里哪？ 通过文件监控能截获到保存的操做吗？ 我截获了好象没有，只是写了些LOG文件

2005-02-10 14:28 来自版块 - 文件系统(过滤)驱动程序开发

trent： 整样判断一个文件写结束呢？

在FILEMON的IRP_MJ_WRITE里我整样判断写结束了呢？在currentIrpStack->Parameters.Write.ByteOffset可以吗？有好的快的办法吗？不用close和clear来判断！

2005-01-08 17:21 来自版块 - 文件系统(过滤)驱动程序开发

trent： 高难问题 备份数据库

我想用文件监控实时备份数据库： 我测试如下：当我对D盘的QAZ.MDB数据库进行操作时，把数据库的变化实时更新在E盘的QAZ.MDB里，譬如我更新了一条记录，那样我在E盘的QAZ.MDB里也要同步更新，我测了并没有对没MDB的写操作发生，好像只有MSACCESS.EXE的写... 全文

2004-12-30 12:17 来自版块 - 文件系统(过滤)驱动程序开发

trent： 注册表监控

我HOOK了注册表的重命名操作：我整样知道改名后的键值呢？大家有好的建议吗？

2004-12-16 17:19 来自版块 - 内核编程

trent： filedisk

我想问一下哪有FILEDISK 的98版本！

2004-12-15 16:16 来自版块 - 文件系统(过滤)驱动程序开发

trent： ndis hook 请牛人指点

我用NDIS HOOK 的方法用于VPN,是向系统注册假协议的方法钩住了想要控制的函数对一般的收发都可以但对于接收完成的函数却没有被调用,导致不能解密!是我搞错了,还是这种机制就不能用于VPN方面呢?用PASSTHRU的话安装和切换不是很好,而且不稳定!大家看看有何经验和建议!H... 全文

2004-12-13 15:49 来自版块 - NDIS网络接口开发

trent： ZwCreateFile

我想在驱动中的分发例程中打开文件但是打不开大家帮看看,谢谢!HANDLE ntFileHandle;IO_STATUS_BLOCK ioStatus;OBJECT_ATTRIBUTES objectAttributes;UNICODE_STRING file... 全文

2004-11-28 18:01 来自版块 - 文件系统(过滤)驱动程序开发

trent： 隐藏进程

我用驱网的ROOTKIT的技术隐藏两个进程发现我只能隐藏其中的一个代码如下:在NTSTATUS NewZwQuerySystemInformation 函数中struct _SYSTEM_PROCESSES *curr = (struct _SYSTEM_PROCESSES *)... 全文

2004-11-26 16:19 来自版块 - 文件系统(过滤)驱动程序开发

trent： 98下FILEMON的问题

我用FILEMON监控98下的文件操作禁止对文件的访问对于删除重命名都可以但对打开就不可以，这时候系统死掉了！代码如下：case IFSFN_OPEN:if ( MatchFilePolicy( fullpathname ) ){ return 0; 这时系统说缺页错... 全文

2004-11-24 10:48 来自版块 - 文件系统(过滤)驱动程序开发