能力值:
( LV9,RANK:610 )
|
-
-
2 楼
无非是指令流上监控的位置不一样,不知道够不够本质~~
|
能力值:
( LV5,RANK:70 )
|
-
-
3 楼
这个太本质了。
SSDT监控的是各种用户态到内核态的函数调用,要监控哪种就看你自己需要了,当然其中有一部分还是要走到文件系统的
文件系统过滤监控的是系统上的所有文件的操作,SSDT也是能监控到的,只不过文件系统比SSDT更底层一些
|
能力值:
( LV5,RANK:60 )
|
-
-
4 楼
一个是非专业方法,一个微软提供的专业方法
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
有点不解的是,为什么说文件系统驱动比 ssdt hook底层一些。谢谢楼上的各位。
|
能力值:
( LV9,RANK:610 )
|
-
-
6 楼
NtCreateFile,NtReadFile,NtWriteFile,NtQueryInformationFile等等操作最终都转化为IRP发向文件系统驱动,这个时候文件系统过滤驱动才开始起作用,所以过滤驱动比SSDT要底层,楼主要补的知识还很多
|
能力值:
( LV3,RANK:20 )
|
-
-
7 楼
呵呵..教主大牛说的很对了.
再明白一点就是.
发IRP.交给文件系统驱动来处理.以达到预期目的.
太繁琐了.
如果都让程序员自己做.会有问题的.
所以微软给封装了一下.
这些函数.就是NtCreateFile,NtReadFile,NtWriteFile,NtQueryInformationFile 这类的函数.
可见.这类函数的调用.最后还是要做那些发IRP什么的动作..
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
,感谢楼上各位的指导,明白一点了,刚才看到一个帖子是《跟踪NtReadFile系统服务的执行过程》,好像是achillis 说的那样。多谢各位了,谢谢伤遗忘,给出详细的解说。
|
|
|