|
[原创]文件过滤驱动sfilter学习笔记
不是IoCompleteRequest返回STATUS_MORE_PROCESSING_REQUIRED , 是完成函数返回STATUS_MORE_PROCESSING_REQUIRED. |
|
[原创]文件过滤驱动sfilter学习笔记
完成函数如果返回 STATUS_MORE_PROCESSING_REQUIRED 的话, 本层驱动还是要完成此IRP的. |
|
[原创]文件过滤驱动sfilter学习笔记
这跟缓冲命中有什么关系, 我是在Create例程中处理, 那时候文件还没有被打开或者创建, 何来缓冲, 不懂, 求解释? 那如果我要在文件创建前弹窗给用户判断是否要创建文件呢? 有好方法吗? 跪求指点~ |
|
[原创]发一个小工具(源码)
软件更新是验证MD5的, 上面图中的不验证HASH, 就是不考虑软件更新的情况. |
|
[原创]文件过滤驱动sfilter学习笔记
[QUOTE=tydef;959269][1]比如我们要阻止病毒在Windows目录下创建文件, 那么我们就要在此文件还没创建的时候得到此文件的全路径. 要在这个时候得到文件的路径, 楚狂人也说了有点麻烦. 下面提供一个函数给大家, 用于在文件创建前得到路径. CREATE不见得都是成功的 所以没创建时候获得路径有几率是失败的 所以...[/QUOTE] Create确实有失败的情况, 我在MzfFileMonitor中就只过滤了生成成功的情况, 对于返回值不是STATUS_SUCCESS的情况, 直接舍弃了, FileMon是不管失败还是成功都显示在R3程序中. 但是, 要阻止文件创建就只能在Create之前. 虽然他在创建过程中有可能会失败~ FASTIO我的理解是为了提高文件系统的效率而设的, 因为在文件吞吐量大的情况话, 每个都要分配IRP, 填写IRP中的各个域, 释放IRP占用的内存等等操作, 会相当消耗时间. 所以在FASTIO返回FALSE的时候, 文件过滤驱动才会调用正常的IRP例程, 这点可以实验获得, 楚狂人的教程中也有提到. |
|
[原创]文件过滤驱动sfilter学习笔记
这个文章是对楚狂人教程的一点补充. 我的学习经验是, 你看完楚狂人的教程后, 在回过头去看sfilter代码, 看完之后再实践下写个小工具什么的, 最后再实践中遇到不懂的, 回过头来看楚狂人的教程记忆会很深刻, 也会加深理解. |
|
[原创]文件过滤驱动sfilter学习笔记
NDIS还没学, 等到把文件过滤驱动看透了之后在来学下NDIS. |
|
[原创]文件创建监控小工具-MzfFileMonitor(开源)
场面话嘛, 吼吼~~ |
|
[原创]发一个小工具(源码)
基本上加上了描述了, 哈哈. |
|
[原创]发一个小工具(源码)
代码包括了用户层和内核层, 通信是必须的. 但是写的比较烂. 将就的看看吧, 哈哈. |
|
[讨论]5年,脱胎换骨.特立帖为证!
帮兄弟做个见证,O(∩_∩)O哈哈~ |
|
[招聘]上海摩力游招聘高级游戏安全工程师
想起高中的时候跟同学一起玩惊天动地,哈哈. |
|
[原创]Windows内核编程来实现注册表还原保护的一种方法
好文章.Mark一下,可能以后有用,谢谢LZ. |
|
[招聘]深圳腾讯招聘客户端安全驱动开发工程师
10W+,这是年薪? |
|
SSDT Hook为什么还要在自己的函数中调用原函数?
现在理解了,谢了,兄弟.嘿嘿. |
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值