首页>编程与逆向>PC安全编程>反流氓、反木马和rootkit>通过hook disk.sys的方法来检测文件隐藏
回复
« 返回列表
flying2008
flying2008
驱动牛犊
驱动牛犊
  • 注册日期2005-12-15
  • 最后登录2010-04-02
  • 粉丝0
  • 关注0
  • 积分695分
  • 威望85点
  • 贡献值0点
  • 好评度67点
  • 原创分0分
  • 专家分0分
写私信
阅读:2924回复:3

通过hook disk.sys的方法来检测文件隐藏

楼主#
更多 发布于:2007-05-28 14:13
我准备通过hook disk.sys的方法来检测文件隐藏,但在driver/disk下面有很多device,我该hook 哪个device
象其中有一个\Device\Harddisk1\DP(1)0x7e0000-0x5f1c0600+3设备,我利用函数IoGetDeviceObjectPointer获得该对象的指针,总是报错。
但是\Device\Harddisk1\DR1可以获得
应该hook哪个驱动对象?
喜欢1

最新喜欢:

wingmanwingma...
回复
WQXNETQIQI
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
写私信
沙发#
发布于:2007-05-28 16:37
驱动开发者 呵呵
回复(0) 喜欢(0)
flying2008
flying2008
驱动牛犊
驱动牛犊
  • 注册日期2005-12-15
  • 最后登录2010-04-02
  • 粉丝0
  • 关注0
  • 积分695分
  • 威望85点
  • 贡献值0点
  • 好评度67点
  • 原创分0分
  • 专家分0分
写私信
板凳#
发布于:2007-05-28 18:59
多谢,虽然反汇编不好,但是还是有收获。
若要hook disk.sys驱动的dispatch函数,该怎么办,还是我刚开始提出的问题,该hook哪个设备,哪位高手能说说这两个设备的区别在哪儿。看了些资料但还是懵懵懂懂的。
回复(0) 喜欢(0)
WQXNETQIQI
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
写私信
地板#
发布于:2007-05-28 19:51
dispatch function是driver的
改DrvierObject就可以了
驱动开发者 呵呵
回复(0) 喜欢(0)
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部