KingV

驱动牛犊

注册日期2001-11-27
最后登录2006-08-04
粉丝0
关注0
积分20分
威望2点
贡献值0点
好评度2点
原创分0分
专家分0分

加关注写私信

阅读：1510回复：6

关于FILEMON系统驱动加载，是这样滴~~~

楼主^#

更多发布于：2004-09-12 17:01

FILEMON的系统驱动已经做到FILEMON.EXE文件中了，在运行时释放出来后动态滴加载，加载完毕后驱动文件就被从硬盘上删除了，有2个系统驱动文件：一个VXD滴，一个SYS滴，其实在FILEMON.EXE文件中很容易找到这2个文件，可以直接将他们读出来写到一个文件中去，然后你就可以得到以前FILEMON版本里有的2个系统驱动文件FileMon.vxd和FileMon.sys,这样就可以像加载普通驱动文件一样在机器启动或者其他你需要的时候加载他们了！
如何在FILEMON.EXE中找这2个文件呢？用16进制滴编辑器如ULTRAEDIT、HEXEDIT等软件在FILEMON.EXE中找4D 5A标志，你就能找到这2个文件的开始偏移，然后读出来写到另外一个文件即可！
大体透露一下FILEMON的加载方式吧：FILEMON不在使用服务管理方式来加载，而是直接操作注册表和使用了一个NTDLL.DLL的API：NtLoadDriver来实现滴~~~具体嘛，就不再多说了，大家应该多去自己分析，才能学到和掌握更多的技术！

喜欢0

nustzhua

驱动中牛

注册日期2002-06-19
最后登录2015-09-27
粉丝0
关注0
积分18分
威望2点
贡献值0点
好评度1点
原创分0分
专家分0分

加关注写私信

沙发^#

发布于：2004-09-13 08:55

不错，不错。

不限容量的免费邮箱 www.k65.net

回复喜欢

wowocock

VIP专家组

注册日期2002-04-08
最后登录2016-01-09
粉丝16
关注2
积分601分
威望1651点
贡献值1点
好评度1227点
原创分1分
专家分0分

加关注写私信

板凳^#

发布于：2004-09-13 09:17

不错，不错。

花开了，然后又会凋零，星星是璀璨的，可那光芒也会消失。在这样一瞬间，人降生了，笑者，哭着，战斗，伤害，喜悦，悲伤憎恶，爱。一切都只是刹那间的邂逅，而最后都要归入死亡的永眠

回复喜欢

TH1999

驱动小牛

注册日期2004-03-30
最后登录2013-01-22
粉丝0
关注0
积分14分
威望66点
贡献值0点
好评度11点
原创分0分
专家分0分

加关注写私信

地板^#

发布于：2004-09-13 18:51

我晕，还用得着使用ULTRAEDIT、HEXEDIT这些软件来提取吗？用不这着吧？直接使用VC6的IDE使用resource的方式打开，然后export就可以了啊！

[img]http://61.128.167.6/uploadFace/2127_200421415585766440.gif[/img]

回复喜欢

fslife

驱动大牛

注册日期2004-06-07
最后登录2016-01-09
粉丝0
关注0
积分9分
威望49点
贡献值0点
好评度20点
原创分0分
专家分0分

加关注写私信

地下室^#

发布于：2004-09-15 12:03

Good, Very Good .

在交流中学习。。。

回复喜欢

KingV

驱动牛犊

注册日期2001-11-27
最后登录2006-08-04
粉丝0
关注0
积分20分
威望2点
贡献值0点
好评度2点
原创分0分
专家分0分

加关注写私信

5楼^#

发布于：2004-09-15 19:03

我晕，还用得着使用ULTRAEDIT、HEXEDIT这些软件来提取吗？用不这着吧？直接使用VC6的IDE使用resource的方式打开，然后export就可以了啊！

是的，你说的8错，如果是我的话就肯定不会把他们弄到Resource里面去。所以，如果某个工具有限制，最好使用一些看是很笨但绝对能学习到东西的方法！！

回复喜欢

lonelyeagle 驱动牛犊注册日期2003-10-29 最后登录2006-04-07 粉丝0 关注0 积分10分威望1点贡献值0点好评度1点原创分0分专家分0分加关注写私信	6楼^# 发布于：2004-09-16 08:53 FILEMon在安全模式不能加载，可有的驱动可以在安全模式加载，是啥原因呢？
	回复(0) 喜欢(0)

您需要登录后才可以回帖，登录或者注册

关于FILEMON系统驱动加载，是这样滴~~~

最新喜欢：