老话题新想法：“瑞星”2000/NT下的filesystem hook是如何做的？完美的hooker。

楼主^#

更多发布于：2002-10-07 19:38

我发现安装“瑞星”后无须重启系统文件钩子即可生效，并且hook A盘时没有读盘动作，非常完美。研究了一下它的.sys二进制代码，发现它程序中引用了\\FileSystem\\Ntfs、\\FileSystem\\Fastfat、\\FileSystem\\Rdr、\\FileSystem\\MRxSmb、\\FileSystem\\Cdfs，使用这些东西有什么用途呢？？并且同时也未找到它引用了IoAttachDevice、IoAttachDeviceByPointer、IoAttachDeviceToDeviceStack这些hook时用的函数，真不知它是如何做的？？

再进一步研究发现：它试图hook \"\\DosDevices\\a:\"...\"\\DosDevices\\z:\"，这一点与filemon不同，filemon 用的是\"\\DosDevices\\a:\\\"，这样不会出现“读盘”动作，但又如何做到拦截文件操作呢？

小弟刚入门，有很多问题想不通，肯请哪位大侠赐教：如何做出象瑞星这样的filesystem hook？或有其它比filemon更好的办法。先谢过了！！！

喜欢1

最新喜欢：

ljmmar...

ysy 驱动中牛注册日期2002-02-18 最后登录2008-08-25 粉丝0 关注0 积分201分威望29点贡献值0点好评度19点原创分0分专家分0分加关注写私信	沙发^# 发布于：2002-10-07 22:24 那好好研究吧！祝你好运！
	回复(0) 喜欢(0)

eqinzm

驱动牛犊

注册日期2001-10-18
最后登录2018-05-29
粉丝0
关注0
积分2分
威望20点
贡献值0点
好评度10点
原创分0分
专家分0分

加关注写私信

板凳^#

发布于：2002-10-08 01:10

最简单的就是修改ServiceTable
截ZwCreateFile ZwOpenFile就行了
没有任何问题

Hi

回复喜欢

Axi

驱动牛犊

注册日期2002-02-05
最后登录2016-01-09
粉丝0
关注0
积分20分
威望2点
贡献值0点
好评度2点
原创分0分
专家分0分

加关注写私信

地板^#

发布于：2002-10-08 09:45

最简单的就是修改ServiceTable
截ZwCreateFile ZwOpenFile就行了
没有任何问题

这个有问题的。特别是修改ZwOpenFile，他会让你死的不明不白。

举世而誉之而不加劝，举世而非之而不加沮，定乎内外之分，辩乎荣辱之境，斯已矣。

回复喜欢

eqinzm

驱动牛犊

注册日期2001-10-18
最后登录2018-05-29
粉丝0
关注0
积分2分
威望20点
贡献值0点
好评度10点
原创分0分
专家分0分

加关注写私信

地下室^#

发布于：2002-10-08 10:05

没有任何问题
如果是经常死机说明你的程序有问题

Hi

回复喜欢

chengliuwen 驱动牛犊注册日期2002-10-06 最后登录2004-01-15 粉丝0 关注0 积分0分威望0点贡献值0点好评度0点原创分0分专家分0分加关注写私信	5楼^# 发布于：2002-10-08 12:13 可惜小弟还很菜，只会用记事本看.sys中的东西（看不懂汇编），所以无法从根本上了解瑞星的工作过程。怎样修改“ServiceTable”？？如何做？能否再详细一些？？谢谢。
	回复(0) 喜欢(0)

$fracker$ fracker 驱动太牛注册日期2001-06-28 最后登录2021-03-30 粉丝0 关注0 积分219分威望81点贡献值0点好评度23点原创分0分专家分1分加关注写私信	6楼^# 发布于：2002-10-08 14:46 发一个瑞星的驱动来看看。fracker@yeah.net
	回复(0) 喜欢(0)

chengliuwen 驱动牛犊注册日期2002-10-06 最后登录2004-01-15 粉丝0 关注0 积分0分威望0点贡献值0点好评度0点原创分0分专家分0分加关注写私信	7楼^# 发布于：2002-10-08 15:32 大侠们能否帮着研究一下，附件是瑞星的驱动，看能否有些头绪。
	附件名称/大小下载次数最后更新 2002-10-08_Hooksys.sys (20KB) 5 回复(0) 喜欢(0)

您需要登录后才可以回帖，登录或者注册