[求助]hook NtCreateSection 后获得文件句柄的疑问-编程技术-看雪-安全社区|安全招聘|kanxue.com

sunwubo

2010-11-26 19:13

4721

原文及源码地址：http://www.codeproject.com/KB/system/soviet_protector.aspx

看雪上08年精华帖：http://bbs.pediy.com/showthread.php?t=65772

在调试的时候，发现若只安装驱动程序，不能获得文件句柄，只有打开监控进程的时候才会活得hfile。为什么？

收藏・1

免费・0

支持

最新回复 (2)
sunwubo 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	sunwubo 2 楼问题中用的源码上传的附件： protect.rar （16.22kb，5次下载） 2010-11-26 19:18 0
sunwubo 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	sunwubo 3 楼刚又看了遍源码，意识到它是在应用层将索引号传到内核的，惭愧啊…… 2010-11-26 21:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

sunwubo

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
sunwubo 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	sunwubo 2 楼问题中用的源码上传的附件： protect.rar （16.22kb，5次下载） 2010-11-26 19:18 0
sunwubo 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	sunwubo 3 楼刚又看了遍源码，意识到它是在应用层将索引号传到内核的，惭愧啊…… 2010-11-26 21:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复