关于tdimon的文章,有意思，有试过的吗

文章阅读 武汉白云黄鹤站 精华区

--------------------------------------------------------------------------------
发信人: huyuguang (激情不再), 信区: SysInternals WWW-POST
标  题: Re: tdimonnt
发信站: 武汉白云黄鹤站 (Thu May 17 09:12:57 2001) , 转信

【 在 fist (星仔迷) 的大作中提到: 】
: 【 在 xjaguar (jaguar?run for ever) 的大作中提到: 】
: : 想必大家都知道sysinternels上的tdimon。
: : 对我来说，它最奇怪、也最有用的一点是，它可以监视本机上
: : tcp,ip和其它传输层的动作。但从DDK的帮助却看不到如何完成
: : 这样的功能，唯一类似恐怕是hook driver。
就是一个非常正常的tdi filter driver，并不需要什么特别的技术。
另外，那个免费版本并不是用driver做的，是用snmp。
: ----我觉得它结合了tdi 和 中间层的驱动程序的特点，所以
: DDK中的这两部分讲到了这些内容，作者和老斑竹的TCP filter不同一般
: 人之处是可以把这些知识灵活贯通。
: : 这几天把tdimon反汇编，大致明白了它的结构。
: :
: : tdimonnt.exe内包含rcreg.sys 和rcreg.vxd。它们以资源的形式存在程序中，
: : 程序检查系统版本，装载对应的驱动。
: : nt/2000下使用.sys。rcreg.sys在它的dirverentry内成功完成通常的动作后，
: : 调用位于 0001169A的函数,函数原形应类似于
: : (long arg1, long arg2, WCHAR* devname, PUNICODE_STRING devname2)
: : 这个函数会获取devname对应的设备对象(如\"\\device\\tcp\",\"\\decice\\udp\")的指
: : 针pobj。复制它们的MajorFunction,并用自己的函数替代(偏移量00014B16)。
: :
: : 这样移花接木的做法实在有趣，不知道对于其它设备对象是否也能如法炮制?
: ------这是很正常的方法，例如art baker的书里的例子（chapter 15)
: 首先得到目标驱动程序的设备指针
:  status=IoCreateDeviceObjectPointer(
:             &TargetDeviceName,
:              FILE_ALL_ACCESS,
:              &FileObject,
:              &TargetDevice);
: 然后把中间驱动程序绑定到目标程序。
:   status=IoCreateDevice(
:              FilterDriver,
:              sizeof(DEVICE_EXTENSION),
:              NULL,
:              FILE_DEVICE_UNKNOWN,
:              0,
:              TRUE,
:              &FilterDevice);
:   status=IoAttachDeviceByPointer(
:              FilterDevice,
:              TargetDevice);
:
: :

--
我已经不再需要激情
※ 来源:．武汉白云黄鹤站WWW bbs.whnet.edu.cn. [FROM: 61.135.3.141]

 

--------------------------------------------------------------------------------
返回首页 分类讨论区 全部讨论区

一说白云就气，我都注册了不只一个用户了，可是想发帖子就说我没权限~~~

教育网的偶是只看不发

你这家伙在啊~~你也是用新闻组来看帖子？？

怎么用？偶不会哩

新闻组那个东东怎么用哦，从来没试过，说来听听

这个就是！按一下就可以了！
 [url]news://mail.driverdevelop.com [/url]

不过发文章好象不能直接发！看到是挺方便的！希望啊宁改进改进！

大家转载我的文章顺便给点分啊...

文章阅读 武汉白云黄鹤站 精华区

--------------------------------------------------------------------------------
发信人: huyuguang (激情不再), 信区: SysInternals WWW-POST
标  题: Re: tdimonnt
发信站: 武汉白云黄鹤站 (Thu May 17 09:12:57 2001) , 转信

【 在 fist (星仔迷) 的大作中提到: 】
: 【 在 xjaguar (jaguar?run for ever) 的大作中提到: 】
: : 想必大家都知道sysinternels上的tdimon。
: : 对我来说，它最奇怪、也最有用的一点是，它可以监视本机上
: : tcp,ip和其它传输层的动作。但从DDK的帮助却看不到如何完成
: : 这样的功能，唯一类似恐怕是hook driver。
就是一个非常正常的tdi filter driver，并不需要什么特别的技术。
另外，那个免费版本并不是用driver做的，是用snmp。
: ----我觉得它结合了tdi 和 中间层的驱动程序的特点，所以
: DDK中的这两部分讲到了这些内容，作者和老斑竹的TCP filter不同一般
: 人之处是可以把这些知识灵活贯通。
: : 这几天把tdimon反汇编，大致明白了它的结构。
: :
: : tdimonnt.exe内包含rcreg.sys 和rcreg.vxd。它们以资源的形式存在程序中，
: : 程序检查系统版本，装载对应的驱动。
: : nt/2000下使用.sys。rcreg.sys在它的dirverentry内成功完成通常的动作后，
: : 调用位于 0001169A的函数,函数原形应类似于
: : (long arg1, long arg2, WCHAR* devname, PUNICODE_STRING devname2)
: : 这个函数会获取devname对应的设备对象(如\"\\device\\tcp\",\"\\decice\\udp\")的指
: : 针pobj。复制它们的MajorFunction,并用自己的函数替代(偏移量00014B16)。
: :
: : 这样移花接木的做法实在有趣，不知道对于其它设备对象是否也能如法炮制?
: ------这是很正常的方法，例如art baker的书里的例子（chapter 15)
: 首先得到目标驱动程序的设备指针
:  status=IoCreateDeviceObjectPointer(
:             &TargetDeviceName,
:              FILE_ALL_ACCESS,
:              &FileObject,
:              &TargetDevice);
: 然后把中间驱动程序绑定到目标程序。
:   status=IoCreateDevice(
:              FilterDriver,
:              sizeof(DEVICE_EXTENSION),
:              NULL,
:              FILE_DEVICE_UNKNOWN,
:              0,
:              TRUE,
:              &FilterDevice);
:   status=IoAttachDeviceByPointer(
:              FilterDevice,
:              TargetDevice);
:
: :

--
我已经不再需要激情
※ 来源:．武汉白云黄鹤站WWW bbs.whnet.edu.cn. [FROM: 61.135.3.141]

 

--------------------------------------------------------------------------------
返回首页 分类讨论区 全部讨论区
 

现在手头分紧，胡大虾也要分下回一次给个哈

该分值一半是另一个贴子胡大虾的分哈

知道了，不是可用分紧，是参与分紧

正在试新闻组,hehe

测试成功，打算del 离线浏览器

对了，你也不能发贴子??不能发还是很麻烦哦