|
[求助]利用驱动名检测FileMon的问题
我用winobj看了看, 你那个版本的filemon 的gui device 的符号链接 名字是 "Filemon701", 你应该CreateFile 这个名字 而不是驱动的镜像名 |
|
[求助]IoSetCompletionRoutine
我的理解, irp发起者对应的 current irpStack 是虚的, 而最底层的 设备又不需要completion routine, 所以每层都把comopletion routine 放到下一层, 而最后一层没有 |
|
|
|
[求助]这个理论对不对 CPU运行指令速度有关
可以用障碍同步等一下嘛 |
|
[求助]How to call ZwWriteFile with APCs disabled
那我何时ZwClose 呢 |
|
[求助]How to call ZwWriteFile with APCs disabled
那能在循环中等待work item 完成吗, 如果不能就不好办了? |
|
[求助]帮忙看看 irp write file 代码
ntfs.sys!XXXXXX bugCheck , 我发现只有在current process = system 时 write 会出错 |
|
[求助]驱动卸载前如何等待所有线程都关闭了再卸载
use Remove Locks |
|
[求助]怎样由ZwMapViewOfSection 的BaseAddress 查到 section ?
thanks a lot |
|
|
|
[求助]菜鸟弱弱的问下!
file system filter, hook |
|
[求助]NtCreateSection进程监控
也有进程自己再运行一个自己的实例啊 |
|
[求助]NtCreateSection进程监控
那有没有判断 “自己影射“ 的情况的方法? |
|
[求助]NtCreateSection进程监控
还是有问题, 比如我运行firefox, 记录到如下: explorer.exe:1724:[syswatch!DtrNtCreateSection]D:\Program Files\Mozilla Firefox\firefox.exe [syswatch!DtrNtCreateProcessEx]D:\Program Files\Mozilla Firefox\firefox.exe firefox.exe:352:[syswatch!DtrNtCreateSection]D:\Program Files\Mozilla Firefox\firefox.exe 就是说先由 进程创建者 NtCreateSection , 然后 NtCreateProcessEx, 然后被创建进程又一次NtCreateSection 了它自己 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值