首页>编程与逆向>内核编程>请教,关于然后绕过文件驱动访问文件的?
回复
« 返回列表
dtod
dtod
驱动牛犊
驱动牛犊
  • 注册日期2006-07-20
  • 最后登录2013-09-09
  • 粉丝0
  • 关注0
  • 积分418分
  • 威望355点
  • 贡献值0点
  • 好评度54点
  • 原创分0分
  • 专家分0分
写私信
阅读:1587回复:13

请教,关于然后绕过文件驱动访问文件的?

楼主#
更多 发布于:2007-01-11 15:02
  请教,关于然后绕过文件驱动访问文件的?
请教,比如系统的NTFS。SYS Dispatch Routine被HOOK 后不让访问A文件了,那么如何才能绕过他访问文件,是否可以直接发IRQ给更下面的驱动读文件呢?比较DISK。SYS等,不太明白请指教,谢谢。
喜欢1

最新喜欢:

bibiyangbibiya...
回复
WQXNETQIQI
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
写私信
沙发#
发布于:2007-01-11 15:04
可以发给disk.sys不过文件系统结构就得你自己分析了
驱动开发者 呵呵
回复(0) 喜欢(0)
dtod
dtod
驱动牛犊
驱动牛犊
  • 注册日期2006-07-20
  • 最后登录2013-09-09
  • 粉丝0
  • 关注0
  • 积分418分
  • 威望355点
  • 贡献值0点
  • 好评度54点
  • 原创分0分
  • 专家分0分
写私信
板凳#
发布于:2007-01-11 15:29
谢谢 不容易,发送个DISK和个NTFS 的IRQ 是否差不多呢,要考虑写什么的呢? 是否有相关的文章?
回复(0) 喜欢(0)
wowocock
wowocock
VIP专家组
VIP专家组
  • 注册日期2002-04-08
  • 最后登录2016-01-09
  • 粉丝16
  • 关注2
  • 积分601分
  • 威望1651点
  • 贡献值1点
  • 好评度1227点
  • 原创分1分
  • 专家分0分
写私信
地板#
发布于:2007-01-11 18:26
真要做的话就全自己实现,从硬盘直接读写到文件系统解析,说穿了就是自己实现个微型的核心,不然解决不了问题.
花开了,然后又会凋零,星星是璀璨的,可那光芒也会消失。在这样 一瞬间,人降生了,笑者,哭着,战斗,伤害,喜悦,悲伤憎恶,爱。一切都只是刹那间的邂逅,而最后都要归入死亡的永眠
回复(0) 喜欢(0)
dtod
dtod
驱动牛犊
驱动牛犊
  • 注册日期2006-07-20
  • 最后登录2013-09-09
  • 粉丝0
  • 关注0
  • 积分418分
  • 威望355点
  • 贡献值0点
  • 好评度54点
  • 原创分0分
  • 专家分0分
写私信
地下室#
发布于:2007-01-12 13:29
谢谢 WQXNETQIQI 和 wowocock 的

wowocock 所说的也是我想了很久想实现的,请各位 给一点点资料什么的只要一点就可以,可是现在一点不知该从哪着手的  ?
回复(0) 喜欢(0)
dtod
dtod
驱动牛犊
驱动牛犊
  • 注册日期2006-07-20
  • 最后登录2013-09-09
  • 粉丝0
  • 关注0
  • 积分418分
  • 威望355点
  • 贡献值0点
  • 好评度54点
  • 原创分0分
  • 专家分0分
写私信
5楼#
发布于:2007-01-16 14:41
回复(0) 喜欢(0)
killvxk
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
写私信
6楼#
发布于:2007-01-17 09:24
有资料的话,谁都可以了作了,关键是这玩艺资料——硬盘厂商不同,RAW IO指令格式还不一样,复杂度足够杀人了~
没有战争就没有进步 X3工作组 为您提供最好的军火
回复(0) 喜欢(0)
dtod
dtod
驱动牛犊
驱动牛犊
  • 注册日期2006-07-20
  • 最后登录2013-09-09
  • 粉丝0
  • 关注0
  • 积分418分
  • 威望355点
  • 贡献值0点
  • 好评度54点
  • 原创分0分
  • 专家分0分
写私信
7楼#
发布于:2007-01-17 19:36
郁闷,谢谢KILLVXK了
回复(0) 喜欢(0)
wowocock
wowocock
VIP专家组
VIP专家组
  • 注册日期2002-04-08
  • 最后登录2016-01-09
  • 粉丝16
  • 关注2
  • 积分601分
  • 威望1651点
  • 贡献值1点
  • 好评度1227点
  • 原创分1分
  • 专家分0分
写私信
8楼#
发布于:2007-01-17 19:46
参考REACTOS,资料很全啊,还有那么多___NIX系列的开原OS,能参考的资料太多了......
花开了,然后又会凋零,星星是璀璨的,可那光芒也会消失。在这样 一瞬间,人降生了,笑者,哭着,战斗,伤害,喜悦,悲伤憎恶,爱。一切都只是刹那间的邂逅,而最后都要归入死亡的永眠
回复(0) 喜欢(0)
dtod
dtod
驱动牛犊
驱动牛犊
  • 注册日期2006-07-20
  • 最后登录2013-09-09
  • 粉丝0
  • 关注0
  • 积分418分
  • 威望355点
  • 贡献值0点
  • 好评度54点
  • 原创分0分
  • 专家分0分
写私信
9楼#
发布于:2007-01-17 20:11
再次谢谢wowocock
看了看NT的文件系统的代码 ,自己实现真是有点困难
对了, 看到有人提到 ”关于直接发送IRP给NTFS“这个方法也可以有办法绕过被HOOK 了的Dispatch Routine的而成功的 想IS1.8以后那样的 ,是否这个方法也是可以的?
回复(0) 喜欢(0)
wowocock
wowocock
VIP专家组
VIP专家组
  • 注册日期2002-04-08
  • 最后登录2016-01-09
  • 粉丝16
  • 关注2
  • 积分601分
  • 威望1651点
  • 贡献值1点
  • 好评度1227点
  • 原创分1分
  • 专家分0分
写私信
10楼#
发布于:2007-01-17 20:27
绕过被HOOK 了的Dispatch Routine还有INLINE HOOK在后面等着,所以最好自己实现,至少在文件系统层,应该可以.DISK属于类驱动,应该也问题不大,不过再往下就难说了.
花开了,然后又会凋零,星星是璀璨的,可那光芒也会消失。在这样 一瞬间,人降生了,笑者,哭着,战斗,伤害,喜悦,悲伤憎恶,爱。一切都只是刹那间的邂逅,而最后都要归入死亡的永眠
回复(0) 喜欢(0)
WQXNETQIQI
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
写私信
11楼#
发布于:2007-01-17 20:30
引用第10楼wowocock2007-01-17 20:27发表的“”:
绕过被HOOK 了的Dispatch Routine还有INLINE HOOK在后面等着,所以最好自己实现,至少在文件系统层,应该可以.DISK属于类驱动,应该也问题不大,不过再往下就难说了.

恢复恢复,直接恢复
驱动开发者 呵呵
回复(0) 喜欢(0)
dtod
dtod
驱动牛犊
驱动牛犊
  • 注册日期2006-07-20
  • 最后登录2013-09-09
  • 粉丝0
  • 关注0
  • 积分418分
  • 威望355点
  • 贡献值0点
  • 好评度54点
  • 原创分0分
  • 专家分0分
写私信
12楼#
发布于:2007-01-17 20:42
恩,谢谢
麻烦再请教下
关于我了看 NT代码 和您说的 参考 REACTOS 的,是否看DISK。SYS是怎么实现的 有可能自己实现他的就可以的是吗,谢谢。
回复(0) 喜欢(0)
killvxk
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
写私信
13楼#
发布于:2007-01-17 21:06
如果是要在disk层分析文件系统就可以了(呵呵)
如果要RAW IO,那么还得继续向下一层~
没有战争就没有进步 X3工作组 为您提供最好的军火
回复(0) 喜欢(0)
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部