microbe的个人空间

microbe： 64位初探：Set your process as protected-process

在64位操作系统上，设定你的进程为受保护进程，在Vista SP1及以上有效。具体的原理，给64位操作系统连上内核调试器以后dt nt!_eprocess就知晓了，我就不占篇幅贴过来，呵呵。LONG ulFlag = 0;PLONG plProtectedBits = NULL;... 全文

2009-10-27 15:55 来自版块 - 内核编程

microbe： Kernal Data and Filtering Support for Windows Server 2008.doc

发一篇Microsoft的文档，有研究这个玩意儿的志同道合者么？一起研究研究 我在坛子里搜到一篇关于调用ObRegisterCallbacks返回ACCESS_DENIED的帖子，这篇文档里就有答案（需要Driver Digital Signing和LINK wiht /INTE... 全文

2009-10-27 15:36 来自版块 - 内核编程

microbe： 我已经无法再往前进一步了。。。。

搞了这么长时间，依旧没有什么进展，测试出一个问题几个星期没办法解决。有时候所有能想到的办法都已经试过了，但是就是解决不了。。。。sigh，我真的觉得了我已经无法再往前走一步了。。。。也奉劝坛子里新来的兄弟，能不搞这玩意儿就不要搞了，吃哪碗饭不是吃哦。。。sigh。。。。牢骚满腹... 全文

2008-08-19 15:43 来自版块 - 文件系统(过滤)驱动程序开发

microbe： 怎么样调试FastFat文件系统？？

我用常规的调试过滤驱动的方法，好像调不进去哦，，是不是还需要什么别的设置？就是用wdk里面的代码编译以后调试，有没有哪位大哥教教我啊，，或者给点这方面的文章或资料也行。谢谢各位了！

2008-08-05 14:55 来自版块 - 文件系统(过滤)驱动程序开发

microbe： 死锁了，郁闷，大侠指导下啊！

搞搞搞，搞出一个死锁，Verifier检测不出来，调了N长时间，是由我的驱动的引起的，但可能不是我驱动内部存在死锁，可能是造成系统其他部分死锁了。。。关于死锁，大家有什么调试和跟踪经验啊，能不能指点一下迷津啊！感觉死锁最难搞了。。。。

2008-06-11 09:35 来自版块 - 文件系统(过滤)驱动程序开发

microbe： 简单测试了下sefs

Just one question：按照进程中受关注的文件扩展来进行加解密可行吗？比如说VC，我可以把源代码存成任意扩展名也！这样不是明文就出来了啊！各位都是按进程和进程扩展来设置加解密策略吗？我现在是这么做的，但是发觉似乎有漏洞啊，，，还请高手们多多指教哦

2008-06-03 15:41 来自版块 - 文件系统(过滤)驱动程序开发

microbe： 问一个关于进程创建NotifyRoutine和镜像加载NotifyRoutine的问题？

请知道的大侠指导下：PsSetCreateProcessNotifyRoutine和PsSetLoadImageNotifyRoutine这两个通知回调是同步的还是异步的啊，会不会我这个回调函数还没有搞完，这个进程就已经去create文件了呢？？非常谢谢！

2008-06-03 10:29 来自版块 - 文件系统(过滤)驱动程序开发

microbe： 郁闷了，IO 管理器一直不停地发FAST_IO_READ请求。。。

在测试VC 6.0加解密的时候，在项目文件里面点开一个源文件，MSDEV.EXE就一直不停地发送FAST_IO_READ的读请求，一直发一直发，是何道理哦？在什么情况下，IO管理器会有这么奇怪的行为呢？碰到过此情况的大侠指点一下啊，无尽感谢！！

2008-05-30 14:52 来自版块 - 文件系统(过滤)驱动程序开发

microbe： 请教下高手，小文件读写与大文件的区别及对策

我的过滤驱动，针对小文件就可以，大一点的文件就不行，我在想，除了会多几个IRP之外，小文件和大文件的读写还会有其他的不同吗？大一点的文件，动不动就是几十百个IRP，调试都不好下手，看打印信息也看不出什么门道来。。。期望高手能够指导下啊，另外对大文件的读写有什么调试对策哦，搞了几个... 全文

2008-05-26 15:53 来自版块 - 文件系统(过滤)驱动程序开发

microbe： 还是关于MS-Word的问题，设置文字字体或颜色以后，文件就坏了

真是个奇怪的问题啊，我的Word文件增加文字内容的时候，文件是没有问题的，但是一旦改变文字的颜色或字体，再保存，打开以后文件就坏了。想问下Word保存这些文字的属性是个什么机制啊，难道是用单独的流来保存么？我对Word的处理的时候，就是根据后缀（DOC和TMP）来处理，也没有考虑... 全文

2008-05-23 11:44 来自版块 - 文件系统(过滤)驱动程序开发

microbe： 关于FltDoCompletionProcessingWhenSafe

我现在在测试MS-Word时，发现大一点的文件（200多页吧(1.5M)，不算特别大），在使用Word另存为功能时，会发生word死锁。我用Driver Verifier检测我的驱动也没有检测出来，无奈之下只好打印详细信息，通读代码，后来我发现有可能是read中的解密出了问题，在... 全文

2008-05-16 16:12 来自版块 - 文件系统(过滤)驱动程序开发

microbe： 使用WinDbg和虚拟机调试Windows驱动程序

版里又有人问起驱动程序怎么调试，我发我Blog上的一篇文章，主要讲如何使用WinDbg和虚拟机（Vritual PC 以及VMWare，一样的）来调试驱动程序。讲的是最最基本的配置过程，给novice的，老鸟完全可以无视 。。。

2008-05-07 08:28 来自版块 - 文件系统(过滤)驱动程序开发

microbe： 关于数据结构的问题

大家在做加解密过滤驱动的时候，会有很多情况好把自己的多个结构数据保存起来，供后续的情况使用，如： tooflat的例子中用到RTL_GENERIC_TABLE来存FILE_CONTEXT; 还有如果要得到当前进程路径，有一种办法是利用PsSetLoadI... 全文

2008-01-30 10:42 来自版块 - 文件系统(过滤)驱动程序开发

microbe： 楚狂人教程中判别线程是否是自己线程的函数好使么

BOOLEAN WitIsMyThread(IN PWIT_THREAD thread){ HANDLE cur_handle = PsGetCurrentThreadId(); return (cur_handle == thread->tid);}判别线程的... 全文

2007-12-24 17:16 来自版块 - 文件系统(过滤)驱动程序开发