首页>编程与逆向>PC安全编程>反流氓、反木马和rootkit>为什么这么多IRP_MJ_CREATE包?
回复
« 返回列表
bladellz
bladellz
驱动小牛
驱动小牛
  • 注册日期2006-03-20
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分1000分
  • 威望121点
  • 贡献值0点
  • 好评度120点
  • 原创分0分
  • 专家分0分
写私信
阅读:1637回复:2

为什么这么多IRP_MJ_CREATE包?

楼主#
更多 发布于:2007-04-06 22:32
  我做了一个监控驱动程序,目的是在检测到有PE文件被打开的时候拦截它,然后扫描这个文件。
我发现  打开一次PE文件,会有N 个IRP_MJ_CREATE包,我找不到它们的区别啊?

如果我无法分辨它们,一个文件打开操作我就要扫描N次,效率太低了

怎么办呢?
喜欢0
回复
jl2004
jl2004
驱动小牛
驱动小牛
  • 注册日期2007-04-10
  • 最后登录2011-02-22
  • 粉丝0
  • 关注0
  • 积分21分
  • 威望276点
  • 贡献值0点
  • 好评度129点
  • 原创分0分
  • 专家分0分
写私信
沙发#
发布于:2007-07-11 09:18
老大,能不能说清楚点,俺还没搞明白
向前,向前,向前....
回复(0) 喜欢(0)
rayyang2000
rayyang2000
管理员
管理员
  • 注册日期2001-03-23
  • 最后登录2012-09-13
  • 粉丝3
  • 关注0
  • 积分1036分
  • 威望925点
  • 贡献值3点
  • 好评度823点
  • 原创分0分
  • 专家分0分
写私信
板凳#
发布于:2007-04-20 08:46
自己做cache,查过的,就放到cache里面,直接忽略
天天coding-debugging中----超稀饭memory dump file ======================================================== [b]Windows Device Driver Development and Consulting Service[/b] [color=blue][url]http://www.ybwork.com[/url][/color] ========================================================
回复(0) 喜欢(0)
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部