首页>编程与逆向>内核编程>困惑了好久,还是没有头绪
回复
« 返回列表
alberts
alberts
驱动牛犊
驱动牛犊
  • 注册日期2001-09-29
  • 最后登录2002-08-12
  • 粉丝0
  • 关注0
  • 积分0分
  • 威望0点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
阅读:1306回复:6

困惑了好久,还是没有头绪

楼主#
更多 发布于:2002-06-25 11:02
各位好,我想开发一个文件访问的审计程序,但是用记事本打开一个文件的时候,却截获不到任何读操作读的IRP,据说是因为记事本实用的mapping file,请问这个问题如何解决,才能截获到读请求?谢了
喜欢0
回复
Tom_lyd
Tom_lyd
驱动大牛
驱动大牛
  • 注册日期2001-09-02
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分10分
  • 威望1点
  • 贡献值0点
  • 好评度1点
  • 原创分0分
  • 专家分0分
写私信
沙发#
发布于:2002-06-28 18:14
去www.osr.com看看IFS KIT FAQ,里面有一项专门讲了这个问题。
Tom_lyd
回复(0) 喜欢(0)
zhangyl
zhangyl
驱动牛犊
驱动牛犊
  • 注册日期2001-07-18
  • 最后登录2009-03-05
  • 粉丝0
  • 关注0
  • 积分0分
  • 威望0点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
板凳#
发布于:2002-06-28 16:27
可以直接Hook API的,如下几个足够:
CreateFile
ReadFile
CloseFile

相信肯定可以截获的(我没有试过)
签名是什么?
回复(0) 喜欢(0)
alberts
alberts
驱动牛犊
驱动牛犊
  • 注册日期2001-09-29
  • 最后登录2002-08-12
  • 粉丝0
  • 关注0
  • 积分0分
  • 威望0点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
地板#
发布于:2002-06-28 08:33
我是在win2000下使用的,使用记事本打开文件的时候,只可以看到CREATE和CLOSE等操作,但看不到读操作,据说因为记事本使用的是mapping file,直接访问了虚存里面的文件
回复(0) 喜欢(0)
yanghui
yanghui
驱动牛犊
驱动牛犊
  • 注册日期2002-01-29
  • 最后登录2009-10-29
  • 粉丝0
  • 关注0
  • 积分0分
  • 威望0点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
地下室#
发布于:2002-06-27 16:17
不知你用的是何种操作系统及何种版本的filemon,我用的是win 98 SE,filemon v4.32,可以从中看到记事本的文件读写访问请求
回复(0) 喜欢(0)
alberts
alberts
驱动牛犊
驱动牛犊
  • 注册日期2001-09-29
  • 最后登录2002-08-12
  • 粉丝0
  • 关注0
  • 积分0分
  • 威望0点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
5楼#
发布于:2002-06-25 13:18
我参考过了,但是filemon也截获不到请求,因为filemon截获的是IRP和fastio,对于记事本使用的mapping file也没用
回复(0) 喜欢(0)
seaquester
seaquester
驱动大牛
驱动大牛
  • 注册日期2002-05-22
  • 最后登录2016-06-16
  • 粉丝0
  • 关注0
  • 积分500分
  • 威望115点
  • 贡献值0点
  • 好评度107点
  • 原创分0分
  • 专家分52分
写私信
6楼#
发布于:2002-06-25 11:57
你可以参考一下FileMon源代码,本站应该有的。



-------------------------
Use The Source, Luke :)
八风舞遥翩,九野弄清音。 鸣高常向月,善舞不迎人。
回复(0) 喜欢(0)
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部