|
[求助]如何在驱动和特定进程间共享内存?
IOCTRL_CODE是怎么定义的?in_buffer传的对不对? |
|
[求助]有人能看出这是什么算法吗
又想了想 OnEncode()是不可逆的,^0x19说明只希望保留第0,3,4位的值, 不应该是用来整个加密和解密的. 所以问题是OnEncode()到底是什么情况才会被调用. |
|
|
|
[求助]请教各位一个问题关于文件传输,请各位看看的
那文件系统驱动算什么? 文件系统的网络访问可以通过查询SRV以及impersonation等确定网络访问并找出SID,但要找到IP等信息,就要费一番功夫了。在Windows 7里就简单多了。 另外文件若是通过如FTP等协议或其他的软件搞走的,也许只能通过协议过滤,比较麻烦。 |
|
[分享]缓存管理器
补充一下,文件的缓存不仅在READ中可以生成,在WRITE和SET_INFORMATION中也是可以进行初始化的,就是简单的调用缓存初始化函数CcInitializeCacheMap(),其他步骤以及FastIO的处理都是类似的。 |
|
[求助]求助NtQuerySystemInformation列模块返回的Section是什么?
FileObject中的FileName在MJ_CREATE完成以后不一定存的是真正的文件名 |
|
[讨论]关于4个字节的算法
看上去象是一个32bit的hash函数,你要是有运行程序反汇编应该不是太难. |
|
[分享]简单防删除文件方法小技巧 等待申请码
这种方法是不行的。首先对于一个打开的文件,文件系统会等到所有最后一个句柄关闭的时候再执行删除,你有没有试试重新启动你的机器看这个文件还在不在?而且你开文件时用的是FILE_SHARE_READ。如果文件已经被用其它方法打开了,你这样就根本打不开。另外你这样开文件就不关,会有大量的垃圾句柄在系统层,就等着系统死机吧。 没有仔细研究过IceSword,但感觉IceSword是用来绕过过滤驱动,直接访问文件系统的。任何在过滤层方案都是可以被和谐的,就算IceSword不行,还会有别的sword。 |
|
[求助]RSA1024和AES128加密一个128位的字符串,哪个时间短?
RSA属于asymmetric key算法,AES属于symmetric key 算法。一般来说,asymmetric算法会比symmetric算法慢很多。当然准确的计算时间还和算法的具体实现有关。 |
|
[求助]驱动的加载顺序start=3
以下摘自MS$文档: Driver Start Types A kernel-mode driver's start type specifies whether the driver is to be loaded during or after system startup. There are five possible start types: SERVICE_BOOT_START (0x00000000) Indicates a driver started by the operating system (OS) loader. File system filter drivers commonly use this start type or SERVICE_DEMAND_START. On Microsoft Windows XP and later systems, filters must use this start type in order to take advantage of the new file system filter load order groups. SERVICE_SYSTEM_START (0x00000001) Indicates a driver started during OS initialization. This start type is used by the file system recognizer. Except for the file systems listed below under "SERVICE_DISABLED," file systems (including network file system components) commonly use this start type or SERVICE_DEMAND_START. This start type is also used by device drivers for PnP devices that are enumerated during system initialization but not required to load the system. SERVICE_AUTO_START (0x00000002) Indicates a driver started by the Service Control Manager during system startup. Rarely used. SERVICE_DEMAND_START (0x00000003) Indicates a driver started on demand, either by the PnP Manager (for device drivers) or by the Service Control Manager (for file systems and file system filter drivers). SERVICE_DISABLED (0x00000004) Indicates a driver that is not started by the OS loader, Service Control Manager, or PnP Manager. Used by file systems that are loaded by a file system recognizer (except when they are the boot file system) or (in the case of EFS) by another file system. Such file systems include CDFS, EFS, FastFat, NTFS, and UDFS. Also used to temporarily disable a driver during debugging. |
|
[注意]天草教程
就是从天草的站点:www.begin09.com |
|
[求助]已知C++源代码,怎么在其生成的exe的反汇编代码中定位某个函数?
我的理解是LZ是有游戏引擎的源码,但没有游戏的源码,LZ想在游戏的运行码中找到某个函数地址。 看看源码,上下多看几层,也许能找到下断点的地方。 |
|
|
|
|
|
[求助]~驱动-禁止复制~
文件在同一卷上和不同卷间通过explorer复制,其过程是不一样的。 同一卷上走的是MJ_SET_INFORMATION IRP,所以Hook NtSetInformationFile是可能实现禁止的。 在不同卷上复制,实际上就是简单的 MJ_CREATE, MJ_READ, MJ_WRITE IRPs。这些IRP和一般的文件读写没有区别,所以很难实现禁止,一个第三方的软件自己实现的读写拷贝就更没有规律可循了。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值