【请教】关于pwdump7的直接读取SAM文件的原理

楼主^#

更多发布于：2010-02-03 12:38

pwdump7可以直接从底层读取系统中正在使用的SAM、system文件，而不是注入到lsass进程中。
据说它是使用了rkdetecter的文件驱动。
请问这是什么原理呢？是否有类似的开源代码呢？

多谢啦！

kernel hacking

znsoft

管理员

加关注写私信

沙发^#

发布于：2010-02-04 06:30

是不是直接发irp下去？

http://www.zndev.com 免费源码交换网 ----------------------------- 软件创造价值，驱动提供力量! 淡泊以明志，宁静以致远。 ---------------------------------- 勤用搜索，多查资料，先搜再问。

回复喜欢

发帖回复

您需要登录后才可以回帖，登录或者注册