关于文件系统监控：ssdt hook和文件系统过滤驱动本质区别-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 2 楼无非是指令流上监控的位置不一样，不知道够不够本质~~ 2009-11-18 22:55 0
ImHolly 雪币： 412 活跃值： (30) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 293 粉丝 1 关注私信	ImHolly 1 3 楼这个太本质了。 SSDT监控的是各种用户态到内核态的函数调用，要监控哪种就看你自己需要了，当然其中有一部分还是要走到文件系统的文件系统过滤监控的是系统上的所有文件的操作，SSDT也是能监控到的，只不过文件系统比SSDT更底层一些 2009-11-18 23:23 0
dayed 雪币： 225 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 222 粉丝 1 关注私信	dayed 1 4 楼一个是非专业方法,一个微软提供的专业方法 2009-11-19 02:49 0
cyndyli 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 64 粉丝 0 关注私信	cyndyli 5 楼有点不解的是，为什么说文件系统驱动比 ssdt hook底层一些。谢谢楼上的各位。 2009-11-19 10:43 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 6 楼 NtCreateFile,NtReadFile,NtWriteFile,NtQueryInformationFile等等操作最终都转化为IRP发向文件系统驱动，这个时候文件系统过滤驱动才开始起作用，所以过滤驱动比SSDT要底层，楼主要补的知识还很多 2009-11-19 11:12 0
寒冰心结雪币： 7992 活跃值： (2566) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 238 粉丝 0 关注私信	寒冰心结 7 楼呵呵..教主大牛说的很对了. 再明白一点就是. 发IRP.交给文件系统驱动来处理.以达到预期目的. 太繁琐了. 如果都让程序员自己做.会有问题的. 所以微软给封装了一下. 这些函数.就是NtCreateFile,NtReadFile,NtWriteFile,NtQueryInformationFile 这类的函数. 可见.这类函数的调用.最后还是要做那些发IRP什么的动作.. 2009-11-19 12:42 0
cyndyli 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 64 粉丝 0 关注私信	cyndyli 8 楼，感谢楼上各位的指导，明白一点了，刚才看到一个帖子是《跟踪NtReadFile系统服务的执行过程》，好像是achillis 说的那样。多谢各位了，谢谢伤遗忘，给出详细的解说。 2009-11-19 16:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 2 楼无非是指令流上监控的位置不一样，不知道够不够本质~~ 2009-11-18 22:55 0
ImHolly 雪币： 412 活跃值： (30) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 293 粉丝 1 关注私信	ImHolly 1 3 楼这个太本质了。 SSDT监控的是各种用户态到内核态的函数调用，要监控哪种就看你自己需要了，当然其中有一部分还是要走到文件系统的文件系统过滤监控的是系统上的所有文件的操作，SSDT也是能监控到的，只不过文件系统比SSDT更底层一些 2009-11-18 23:23 0
dayed 雪币： 225 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 222 粉丝 1 关注私信	dayed 1 4 楼一个是非专业方法,一个微软提供的专业方法 2009-11-19 02:49 0
cyndyli 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 64 粉丝 0 关注私信	cyndyli 5 楼有点不解的是，为什么说文件系统驱动比 ssdt hook底层一些。谢谢楼上的各位。 2009-11-19 10:43 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 6 楼 NtCreateFile,NtReadFile,NtWriteFile,NtQueryInformationFile等等操作最终都转化为IRP发向文件系统驱动，这个时候文件系统过滤驱动才开始起作用，所以过滤驱动比SSDT要底层，楼主要补的知识还很多 2009-11-19 11:12 0
寒冰心结雪币： 7992 活跃值： (2566) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 238 粉丝 0 关注私信	寒冰心结 7 楼呵呵..教主大牛说的很对了. 再明白一点就是. 发IRP.交给文件系统驱动来处理.以达到预期目的. 太繁琐了. 如果都让程序员自己做.会有问题的. 所以微软给封装了一下. 这些函数.就是NtCreateFile,NtReadFile,NtWriteFile,NtQueryInformationFile 这类的函数. 可见.这类函数的调用.最后还是要做那些发IRP什么的动作.. 2009-11-19 12:42 0
cyndyli 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 64 粉丝 0 关注私信	cyndyli 8 楼，感谢楼上各位的指导，明白一点了，刚才看到一个帖子是《跟踪NtReadFile系统服务的执行过程》，好像是achillis 说的那样。多谢各位了，谢谢伤遗忘，给出详细的解说。 2009-11-19 16:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

关于文件系统监控：ssdt hook和文件系统过滤驱动 本质区别

关于文件系统监控：ssdt hook和文件系统过滤驱动本质区别