-
具体表现是在一些机器上。 自动 安装的时候没有出现 提示硬件安装的窗口(提示驱动没有数字签名的那个窗口 passthru miniport)。cmd下输入net start passthru后。出现错误提示code ,查找这个错误码 提示。被禁用或者依靠的服务没有开启。 ... 全文
2008-06-30 16:25 来自版块 - NDIS网络接口开发
-
本身是重定向不起作用的问题,后来发现是本应该到达Recv例程的,包并没有到。可是在截包软件中却发现包已经发出。包的IP MAC肯定没有错误。半年前也曾经遇到过这样的问题。最后设置了一个包的FLAG 使问题得以解决。DONT_LOOPBACK.没想到半年后 又出现了新的问题,到底包... 全文
2008-06-20 11:39 来自版块 - NDIS网络接口开发
-
在vc里 直接反汇编可以看到 该函数在IAT中的 偏移地址。。然后该地址里存放的是函数实际的地址用windbg 只能看到函数地址。反汇编的地址 不是现实的偏移 而是Kernal32!CreateProcess之类的地址用什么命令能查看到?达到vc中的效果?
2008-05-21 16:02 来自版块 - 文件系统(过滤)驱动程序开发
-
在PreWrite 中提取要写的文件并发送到应用层进行检测。可是为什么不用 swapBuffer中的方法得到MDL 或者 Readbuffer 中的地址 新建内存发送上去呢?而用RtlReadfile这2种方法的区别在哪?还是说可以通用那我swapbuffer中是否可以用这种方法... 全文
2008-04-21 15:22 来自版块 - 文件系统(过滤)驱动程序开发
-
我拿minispy 查看 文件操作的IRP分发。发现跟移动有关的IRP_MJ MN 等等IRP有如下几个IRP_MJ_DIRECTORY_CONTROLIRP_MJ_QUERY_VOLUME_INFORMATION可是从表面来。。禁止哪个IRP都不能防止拷贝啊?有人能提供下思路... 全文
2008-04-11 17:36 来自版块 - 文件系统(过滤)驱动程序开发
-
谁知道的给介绍介绍啊,应用层的HOOK也成。谢谢拉。
2008-03-03 21:11 来自版块 - 文件系统(过滤)驱动程序开发
-
最近写了个NDIS中间层发包函数,直接改的passthru的MpSendpackets 来发送自己的包。然后测试的时候发现有些网卡能发包,而有些不能。经过调试,确认是有线卡和无线卡的区别。关键代码是这个:NdisIMCopySendPerPacketInfo(MyPacket, ... 全文
2008-02-18 17:39 来自版块 - NDIS网络接口开发
-
虽然文件传输没有加密 ,可是 文件传输之前的通讯 ,建立连接 是加密的数据.如果不把建立连接的包解密开,能直接监控 qq的文件传输嘛?
2008-01-08 17:52 来自版块 - 反流氓、反木马和rootkit
-
尝试着改了一下 效果都不是很理想啊..谁有经验说说
2007-12-28 16:59 来自版块 - NDIS网络接口开发
-
我的目的是 在MpSendPackets中 如果检测到某包A,则 发送A ,并且构造另外一个包B并且发送A和B现在是调用NdisSend后蓝屏代码如下Status = NdisAllocateMemoryWithTag(&pPacketContent,PacketLen,... 全文
2007-12-25 18:11 来自版块 - NDIS网络接口开发
-
前几天 需要改个usb过滤驱动。.我看看minifilter这东西挺新....而且结构看着比sfilter 舒服....xp测试程序没问题。.结果..2000 2003 都不能用。.我回来看Doc..发现The Filter Manager is currently avail... 全文
2007-12-07 11:06 来自版块 - 文件系统(过滤)驱动程序开发
-
要做一个。禁用 U盘的 程序 ..用sFilter 的话 ,我在attack的时候 如何进行判断刚刚插入的是U盘?我也看了看minifilter 貌似 简单点 不过没sfilter直观 .也见过一些驱动类似USBSTOR 的 这个是哪个框架的?
2007-12-05 17:00 来自版块 - 文件系统(过滤)驱动程序开发
-
原来采用。spi收集数据,并且进行过滤。由于spi不稳定改有passthru完成数据收集。现在我已经取得数据。需要做的是把数据传到上层,并且等待分析,然后根据分析结果,来判断是否放行。我考虑了几种做法可能都会影响数据传输。有什么更好的办法呢?deviceIo+2个事件:应用层等待... 全文
2007-12-04 16:08 来自版块 - NDIS网络接口开发
-
在passthru 下加了一个。。test.c 和test.h 我在protocol.c 里面 掉用test.c 里面定义好的方法,可是提示找不到 这个函数我在protocol.c 中已经 #include "test.h"了这个是不是因为 要加extern... 全文
2007-11-30 14:56 来自版块 - NDIS网络接口开发
-
如 瑞星的墙 他的可信任列表 记录了名字以及存储的位置我读了一些文章,想通过修改PEB表来修改进程名字和路径,绕过防火墙参照网上代码后,修改了进程的本身引入module的名字和地址可是进程名字在管理器中并没有改变实验是在xp中做的,是否是ms在xp中做了变更呢?来组织修改PEB
2007-11-26 15:14 来自版块 - 反流氓、反木马和rootkit
-
我做过滤 这2个函数中的数据都 必须过滤嘛?可否象Send那样 屏蔽掉一个再问下这2个函数的区别 以及 作用。
2007-11-22 17:36 来自版块 - NDIS网络接口开发
-
仅仅只是能保护本机的ARP 列表 不被篡改,当有 针对主机 "修改网关地址的时候"。接到冒充从网关 发的 arp-reply , 他会报警 。毕竟假的arp-reply 和保存的真实网关地址不一样。 对于给网关发的假的arp-repl... 全文
2007-11-21 12:00 来自版块 - 反流氓、反木马和rootkit
-
我正在写一个ARP防火墙,在中毒机器追踪这里遇到了麻烦。我自己写的病毒可以把 冒充的机器的EtHeader里的SHost 改掉 。发送的包,在别人看来完全没有我自己的痕迹。是不是这样的话,完全不可能在另外一台机来追踪我呢?还有外来ARP欺骗包是何如鉴别的?必须得有认证机制嘛
2007-11-19 17:45 来自版块 - 反流氓、反木马和rootkit
-
这个函数 得在passthru的哪个函数里取得Mac地址??MPSendPackets 里面掉用就蓝屏 应该是IRQL问题Callers of NdisReadNetworkAddress run at IRQL = PASSIVE_LEVEL. 我记得Sendpackets是D... 全文
2007-11-14 15:07 来自版块 - NDIS网络接口开发
-
如 瑞星的墙 他的可信任列表 记录了名字以及存储的位置我读了一些文章,想通过修改PEB表来修改进程名字和路径,绕过防火墙参照网上代码后,修改了进程的本身引入module的名字和地址可是进程名字在管理器中并没有改变实验是在xp中做的,是否是ms在xp中做了变更呢?来组织修改PEB
2007-11-09 17:37 来自版块 - 内核编程
