|
阅读:1329回复:8
大佬们,如何作HOOK的地方是HOOK 文件系统驱动的dispatch 的例程
HOOK的地方是HOOK 文件系统驱动的dispatch 的例程,这种方法相对比较通用,也正是HE4HookInv使用的方法
但如何作呢,如有源代码和原理文档,给我一份,OK? e_mail:sprbeyond@sohu.com |
|
|
|
沙发#
发布于:2005-05-11 16:53
在xp和2000下,这种方法是可行的。
不过在xp sp2以及以后的版本中,过滤文件系统有新变化。 |
|
|
|
板凳#
发布于:2005-05-12 11:29
在xp和2000下,这种方法是可行的。 什么新变化??请介绍下 ?? |
|
|
|
地板#
发布于:2005-05-12 15:30
有变化吧,以后的64位可能会有变化吧,32位的应该不会有太大的变化
|
|
|
地下室#
发布于:2005-05-12 16:05
大家给点实质内容吧!】
如何才能hook 到文件系统的 dispatch 的例程呢? |
|
|
|
5楼#
发布于:2005-05-13 10:38
微软新搞了一个minifilter的东西,我现在刚开始学习,
据微软自己的介绍,比传统的fs filter有很多优点。而且微软 也推荐developer采用新的模型。 |
|
|
|
6楼#
发布于:2005-05-13 14:07
大家给点实质内容吧!】 我觉得我还不明白你准备用什么方式去hook? |
|
|
|
7楼#
发布于:2005-05-13 14:31
能否给我一份minifilter资料?
Thank you! email:sprbeyond@sohu.com |
|
|
|
8楼#
发布于:2005-05-13 16:16
whdc网站上有介绍
|
|
|