能力值:
( LV8,RANK:120 )
|
-
-
2 楼
BS你,,,,,,,,,,,,,,,,,,,哈。fileobject里面好像有标志位
|
能力值:
( LV5,RANK:70 )
|
-
-
3 楼
给个不靠普的。
BOOLEAN
IsFromNetAccess (
__in PFLT_IO_PARAMETER_BLOCK iopb
)
{
NTSTATUS ntStatus;
PACCESS_TOKEN pToken=NULL;
PTOKEN_SOURCE pTokenSrc=NULL;
PSECURITY_SUBJECT_CONTEXT secSubCtx;
BOOLEAN ret=FALSE;
secSubCtx=&(iopb->Parameters.Create.SecurityContext->AccessState->SubjectSecurityContext);
do
{
if(secSubCtx->ClientToken!=NULL || secSubCtx->PrimaryToken!=NULL)
{
pToken=SeQuerySubjectContextToken(secSubCtx);
}
if(pToken==NULL)
break;
ntStatus=SeQueryInformationToken(pToken,TokenSource,&pTokenSrc);
if(NT_SUCCESS(ntStatus))
{
pTokenSrc->SourceName[TOKEN_SOURCE_LENGTH-1]=0x00;
if(_stricmp(pTokenSrc->SourceName,"NtLmSsp")==0)
{
ret=TRUE;
}
}
else
{
DbgPrint("SeQueryInformationToken Failed!!!\n");
}
}while(0);
if(pTokenSrc!=NULL)
ExFreePool(pTokenSrc);
return ret;
}
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
楼上威武,不过我是HOOK FSD,在这个分派例程里来处理,我想问下那个参数IOPB是什么呀?
|
能力值:
( LV4,RANK:50 )
|
-
-
5 楼
骷髅王大哥威武~
|
能力值:
( LV5,RANK:70 )
|
-
-
6 楼
这是MiniFilter里面的结构,注意这个
Create.SecurityContext->AccessState->SubjectSecurityContext
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
THANK U,这个和IO_STACK_LOCATION里的Parameters.Create都是同一个结构吧
|
|
|